30 octobre 2011

France: protection de l'identité ... devant le Sénat

Le 3 novembre prochain, le Sénat examinera en deuxième lecture la proposition de loi relative à la protection de l'identité numérique (billet). À cette occasion, la Commission nationale de l'informatique et des libertés rend publique une note d'observations sur cette proposition.

Dans cette note, on peut lire que
  • "les données biométriques ne sont pas des données à caractère personnel "comme les autres"", "elle est produite par le corps lui-même et le désigne ou le représente, lui et nul autre, de façon immuable" ... il est donc nécessaire de porter une attention particulière aux empreintes digitales, aux caractéristiques du visage (i.e. reconnaissance faciale) et d'accroître le niveau d'exigence quant à leur utilisation (i.e. finalité et proportionnalité) (p. 2-3)
  • la CNIL a eu à se prononcer "sur des projets de traitements biométriques mis en oeuvre dans le cadre de la délivrance de titres d'identité ou de voyages" ... si elle considère que "l'introduction dans les titres d'identité et de voyage d'un composant électronique contenant des données biométriques est proportionnée par rapport à l'objectif de renforcement de la sécurité de l'établissement et de la vérification des titres" (p. 3-4)
  • la CNIL émet des réserves quant à "la création de la base de données biométriques centralisée" et "si une telle base centralisée de données biométriques était néanmoins envisagée, des garanties supplémentaires de nature à assurer la protection des données personnelles des citoyens français devraient être introduites" (i.e. limitation des empreintes enregistrées, absence de liens avec les données de l'état civil) (p. 4, 7);
  • la CNIL "considère que la mise en oeuvre par l'État de dispositifs de reconnaissance faciale des personnes présente des risques importants pour les libertés individuelles", elle "exprime [donc] sa plus grande réserve sur la possibilité, ouverte par la proposition de loi, de recourir à de telles fonctionnalités dans le cadre des demandes de titres d'identité et de voyage" (p. 7)
  • la CNIL estime que des garanties doivent accompagnées les "nouvelles fonctionnalités de la carte nationale d'identité qui permettra de s'authentifier en ligne et de signer électroniquement" afin d'éviter que celles-ci ne permettent "le suivi des personnes sur internet ou l'exploitation par l'État d'informations sur les transactions privées effectuées par les citoyens" (p. 8).
À suivre donc.
(05-11-2011)  Comme indiqué sur le site du Sénat, ce dernier a adopté avec modifications la proposition de loi relative à la protection de l'identité. Les modifications sont relatives à la base de données biométriques centralisée: 
"Lors de sa première lecture, le 1er juin, le Sénat, sous l'impulsion du rapporteur François Pillet (ratt. UMP, Cher), avait modifié le texte d'origine afin d'apporter une garantie matérielle rendant impossible l'identification d'une personne à partir de ses seules empreintes biométriques enregistrées dans la base. Il s'agit du système des fichiers dits à "liens faibles".
Dans ce cas, les empreintes du titulaire de la carte d'identité sont stockées dans un grand dossier informatique et distinguées par un numéro spécifique. Lors d'une vérification d'identité, la base indique seulement si cette identité correspond à une empreinte du dossier sans la désigner.
Les députés, lors de l'examen du texte, le 7 juillet, ont supprimé cette garantie, revenant au projet d'origine qui prévoyait l'identification sur la base de l'empreinte.
La commission des Lois du Sénat, saisie pour la deuxième lecture, a donc rétabli cette technique du "lien faible" pour le fichier." 
(05-11-2011) Laurence NEUER, "Protection de l'identité: les sénateurs défendent les libertés publiques", Le Point, 03 novembre 2011. L'auteure indique qu'en ce qui concerne la création d'une base de données biométriques centralisée, 
"la position de la Haute Assemblée se rallie à celle de la Cnil qui, dans une note du 27 octobre, avait estimé que la "proportionnalité de la conservation sous forme centralisée de données biométriques au regard de l'objectif légitime de lutte contre la fraude documentaire n'est à ce jour pas démontrée". Il existe, selon la Cnil, des modalités de lutte contre la fraude qui apparaissent aussi efficaces et plus respectueuses de la vie privée des personnes.
"
L'article mentionne également que 
"allant jusqu'au bout de leur logique, les sénateurs ont par ailleurs interdit le recours au dispositif de reconnaissance faciale à partir des images numérisées des visages contenues dans la nouvelle carte d'identité et enregistrés dans le fichier, conformément à l'avis de la Cnil, mais pas à celui des députés. Ces derniers devraient de nouveau examiner le texte dans les prochaines semaines."
À suivre donc. 

    26 octobre 2011

    Nouvelle-Zélande: sécurité et environnements électroniques

    L'autorité de protection des renseignements personnels néo-zélandaise propose trois fiches-conseils pour demeurer en sécurité dans les environnements électroniques.

    1- Dans la fiche "protect your computer", il est question de "security", "Wi-Fi tips", "passwords and browser options" et "computer disposal". 

    2- Dans celle relative à "protect yourself online", il est rappelé que
    "many people use the internet to communicate and socialise with their friends by posting messages, photos and other information. Maintaining your online privacy depends on your ability to control the amount of personal information that you provide and who has access to that information. Once information is posted on the internet it can be very hard, if not impossible, to completely remove." 
    On y retrouve des conseils sur "social networking", "online shopping", "online trading", "Internet banking", "email", "public internet" et "browsing the Internet".

    3- Et concernant les jeunes, la fiche "protect your children" insiste sur le fait que:
    "Today's children are often more savvy about using the internet than their parents. The internet offers children the opportunity to connect with their friends, research and learn, and be entertained. But using the internet exposes children to many risks.
    Children can be exposed to inappropriate content, subjected to cyber bullying and targeted by predators. Children may share personal information without thinking or knowing about the risks. Parents need to be aware of these risks and take an active role in monitoring and mentoring their children to help them stay safe online."
    Dès lors, il est conseillé notamment de: "talk to your children - make it a partnership", "keep up with what sites your children are visiting and who they connect with online", "talk about the online risks, and guide children about safe and acceptable internet use", "learn about privacy settings and talk to your children about how to use them wisely", "never let a child meet an online friend offline unless a parent is with them", "warn children that people they chat with might not be who they think" ou encore "encourage your children to let you know if they feel bullied". 

    23 octobre 2011

    Hong Kong: dépliant sur la vie privée et les réseaux sociaux

    L'Office of the Privacy Commissioner for Personal Data d'Hong Kong vient de publier un dépliant intitulé "Protecting Online Privacy – Use Social Networking Sites Smartly" qui aborde les points suivants: 
    • When you register for social networking sites ... read the privacy policy ... avoid providing excessive personal data
    • Privacy setting
    • Your personal data will go public - think before you post
    • How to protect your personal data - data security and personal safety

    Ce dépliant fait écho aux matériels développés, entre autres, par la Commission nationale de l'informatique et des libertés (i.e. section pour les jeunes), par la Chaire L.R. Wilson (billet), par la Commission européenne (billet) ou encore par le Commissariat à la protection de la vie privée du Canada (i.e. section pour les jeunes).

    22 octobre 2011

    Facebook et la mémoire

    Que ce soit dans "Facebook: la mémoire cachée" ou dans "Amende possible de 137600$ pour Facebook", les auteurs font référence à l'expérience de Max Schrems un 
    "étudiant autrichien en droit [qui] a réussi à se procurer l’ensemble des données dont Facebook dispose sur lui. [Et] en épluchant les 1222 pages (!) de son dossier, il a constaté que le réseau social avait soigneusement archivé toutes les informations qu’il croyait avoir supprimées depuis belle lurette".
    Suite à cette découverte, Schrems a décidé de saisir le Data Protection Commissioner d'Irlande car selon lui "tous les utilisateurs de Facebook vivant en dehors des États-Unis et du Canada [sont] liés par contrat à Facebook Irlande" (Source: "Facebook: la mémoire cachée"), comme l'illustre le paragraphe 18(1) des conditions d'utilisation de Facebook qui se lit comme suit: 
    "If you are a resident of or have your principal place of business in the US or Canada, this Statement is an agreement between you and Facebook, Inc.  Otherwise, this Statement is an agreement between you and Facebook Ireland Limited."
    [Mise à jour du 24-10-2011] On apprend dans l'article "Facebook accusé de conserver des données effacées et de créer des "profils fantômes"" que l'autorité de protection des données personnelles irlandaise "a ouvert une enquête sur Facebook, après le dépôt de vingt-deux plaintes différentes" par Schrems.

    [Mise à jour du 02-11-2011] On apprend dans un "latest news" de l'Electronic Privacy Information Center que "lawmakers in Washington have sent a letter to Mark Zuckerberg, Facebook's CEO, asking questions about the company's data retention practices, following a news report that a single European Facebook user obtained more than 1,200 pages of his own personal data from the company, including information that he had previously deleted".
    La lettre est disponible à l'adresse suivante: http://markey.house.gov/docs/facebook_caucus_letter_10.29.11.pdf 

    [07-11-2011] Billet "Facebook et la mémoire (2)" référant l'article de C. Gévaudan intitulé "Facebook: l'opacité, plus qu'un métier, une vocation" paru dans la section "Écrans" du Libération du 7 novembre 2011.

    [12-11-2011] "Un étudiant s'attaque à l'appétit de Facebook pour les données", La Presse, 11 novembre 2011.


    À suivre donc.

    20 octobre 2011

    Reconnaissance faciale ... avant la rencontre du FTC

    En prévision de la rencontre du 8 décembre prochain de la Federal Trade Commission visant à discuter des enjeux de la reconnaissance faciale en matière de protection de la vie privée (billet), le sénateur Rockefeller a fait parvenir une lettre à cette instance, comme l'indiquent différentes sources dont
    • l'Electronic Privacy Information Center (EPIC): 
    "Senator John D. Rockefeller (D-WV) sent a letter requesting that the Federal Trade Commission assess the use of facial recognition technology and recommend legislation to protect privacy. Facial recognition technology is being used by technology firms and also police agencies, which has raised civil liberties concerns. The letter cited mobile applications such as SceneTap, which "tracks the male/female ratio and age mix of the crowd [in bars]" and digital advertising at the Venetian Resort in Las Vegas that tailors ads to the person standing in front of the display based on recognition of that person’s age and gender. The FTC will hold a workshop on facial recognition technology on December 8, 2011. EPIC's complaint regarding Facebook's facial recognition is still pending before the FTC."
    • ou encore Kerry Monroe dans Inside Privacy
    "Yesterday, Senator John D. Rockefeller IV (D-W.Va.), chairman of the Commerce, Science, and Transportation Committee sent a letter to the FTC commending the agency for its examination of this emerging technology and requesting a report following the workshop.  Senator Rockefeller indicated that the report should include potential legislative approaches to protect consumer privacy as facial recognition technology proliferates.
    New uses for facial recognition technology are being deployed in both the public and private sectors.  The Federal Bureau of Investigations is working to activate a nationwide facial recognition service, Next Generation Identification, which will be available to law enforcement authorities in select states by January 2012.  And, as Senator Rockefeller noted in his letter, "facial recognition technology is already being put to use in a broad range of commercial areas," including real-time scanning to identify the demographic features of crowds or of individuals standing next to advertising displays, as well as scanning of photographs users upload to an online service to identify the individuals depicted in them.
    The FTC workshop is scheduled for December 8, 2011, and Senator Rockefeller has requested that the FTC provide a preliminary report to the Senate Committee on Commerce, Science, and Transportation by February 8, 2012."
    (Source: Kerry MONROE, "Senator Rockefeller Requests FTC Report on Facial Recognition Technology", Inside Privacy, October 20, 2011)
    À suivre donc.

    17 octobre 2011

    CNIL: consultation sur l'infonuagique

    Preuve que l'infonuagique est un sujet d'actualité. La semaine dernière le Commissariat à la protection de la vie privée du Canada publiait une foire aux questions et une fiche d'information sur ce thème (billet). Cette semaine la Commission nationale de l'informatique et des libertés (CNIL) lance une consultation jusqu'au 17 novembre 2011 sur cette problématique étant entendu que
    "la CNIL souhaite envisager toutes les solutions tant d'un point de vue juridique que technique afin que soit garanti un haut niveau de protection aux données personnelles tout en tenant compte des enjeux économiques liés au Cloud computing. Cette consultation ne concerne pas des offres de Cloud computing proposées aux particuliers.
    Les solutions envisagées par la Commission sont ici soumises à consultation à destination de l'ensemble de parties prenantes (clients, prestataires, conseil), du 17 octobre au 17 novembre 2011.
    A l'issue de la consultation, l'ensemble des contributions sera exploitée pour en dégager les principales orientations. Elles seront publiées sur le site de la CNIL en même temps que les solutions qu'elle aura dégagée."
    La consultation porte sur la définition de l'infonuagique, la qualification des parties, le droit applicable, l'encadrement des transferts et la sécurité des données. Le formulaire de consultation est disponible sur le site de la CNIL.

      15 octobre 2011

      Québec: Guide sur le Web 2.0 en milieu scolaire

      La Chaire L.R. Wilson sur le droit des technologies de l'information et du commerce électronique de l'Université de Montréal vient de rendre public un Guide pour gérer les aspects juridiques du Web 2.0 en milieu scolaire. Comme l'indique les auteurs, 
      "ce guide est destiné principalement aux personnes responsables de la mise en place et de la gestion de sites ou environnements électroniques dans lesquels se déroulent des activités qui concernent l'univers de l'école. Il sera également utile aux usagers des divers environnements d'Internet. Il fournit des informations sur les risques à gérer et les précautions à prendre par tous ceux qui oeuvrent à la conception, au développement et à l'implantation de systèmes d'information destinées à soutenir des échanges entre les personnes"
      (Source: Guide, p. 12)
      Ce guide se présente de la façon suivante: 
      1. Les responsabilités découlant des activités se déroulant sur Internet
      2. Les principales applications du Web 2.0 (i.e. les sites de réseautage social; les sites de partage de contenu; les blogues; les micro-blogue (Twitter); les sites de notation de personnes, de services ou de produits; les sites Wikis; les flux RSS; la baladodiffusion)
      3. Les modèles de politiques, de mises en garde et de conseils
      CHAIRE L.R. WILSON SUR LE DROIT DES TECHNOLOGIES DE L'INFORMATION ET DU COMMERCE ÉLECTRONIQUE, Guide pour gérer les aspects juridiques du Web 2.0 en milieu scolaire, Juin 2011.

      11 octobre 2011

      CNIL: enquête sur le bavardage d'un iPhone

      On peut lire sur le site de la Commission nationale de l'informatique et des libertés (CNIL) que même si votre iPhone bavarde avec Apple durant votre sommeil pour permettre une mise à jour la base de données de géolocalisation WiFi, 
      "les analyses réalisées par les experts de la CNIL indiquent que les communications entre l'iPhone et Apple ne contiennent pas d'identifiant unique ou autre information permettant d'identifier le téléphone. Ce choix technique, confirmé récemment dans un courrier par Apple, rend cette collecte en principe anonyme et élimine donc largement le risque de traçage des personnes. Néanmoins, Apple devrait informer clairement ses utilisateurs de ce type de traitement".
      Ce résultat comme l'indique la CNIL "ne préjuge [...] pas de la conformité de ce dispositif au regard de la Loi Informatique et Libertés", la CNIL va donc rester vigilante.



      9 octobre 2011

      Allemagne: réunion des commissaires à la protection des données

      On peut lire sur le site de la Commission nationale pour la protection des données du Grand-Duché du Luxembourg que s'est tenue à la fin du mois de septembre la 82° conférence des commissaires à la protection des données allemands durant laquelle ont été adoptées des résolutions sur les thèmes suivants:
      " Protection des données et réseaux sociaux
      Les chargés à la protection des données ont clairement indiqué lors de la conférence que les réseaux sociaux qui sont actifs sur le marché européen doivent être conformes à la législation européenne sur la protection des données, même s'ils n'ont pas leur siège en Europe. En outre, ils ont critiqué l'intégration directe des plugins sociaux sur les sites Web externes, sans information préalable des utilisateurs. La consultation d'un site web suffit pour que ces plugins de Facebook, Google +, Twitter et d'autres plates-formes transmettent des données concernant les utilisateurs vers les Etats-Unis. Par exemple, une transmission de données a déjà lieu lorsqu'un utilisateur visite un site sur lequel se trouve le bouton "J'aime" de Facebook même s'il ne clique pas sur ce bouton et si le visiteur du site n'est pas enregistré sur cette plate-forme. Pour ces raisons, les commissaires à la protection des données ont fait appel aux autorités publiques de s'abstenir de l'usage de plugins sociaux qui ne répondent pas aux normes nécessaires en matière de protection des données.
      Éducation et protection des données
      La conférence s'est prononcée en faveur de l'intégration de la protection des données dans les programmes d'études. De plus en plus de démarches sont effectuées par Internet, mais nombreux sont ceux qui ne comprennent pas le mode de fonctionnement de ce monde numérique. Il est devenu difficile de garder le contrôle sur ses données, de savoir qui les enregistre et pour quelle raison et si elles ont été transmises à des tiers. Pour cette raison, il est important de former la population aux principes de la protection des données.
      Le paiement électronique anonyme doit rester possible
      Un projet de loi, introduit par le gouvernement fédéral et portant modification de la loi sur le blanchiment d'argent, prévoit l'identification complète lors de l'acquisition de monnaie électronique. L'acquisition anonyme ne serait plus possible et des données de clients devraient déjà être recueillies pour des très petits montants. Les chargés à la protection des données ont rejeté cette collecte de données excessive.
      Lois antiterroristes et surveillance
      Depuis les attentats du 11 Septembre 2001, les autorités ont reçu de nombreux pouvoirs qui leur permettent de capturer des gens qui ne sont pas soupçonnés d'avoir commis un crime ou qui ne posent pas de danger réel. En plus, les données concernant les passagers aériens et les transactions financières sont transférées à l'étranger, sans qu'il soit suffisamment clair ce qui se passe avec ces informations Les chargés à la protection des données ont contesté le fait que beaucoup de ces lois antiterroristes ayant été votées dans l'urgence soient étendues sans évaluation objective et indépendante.
      Le cloud computing
      Les fournisseurs de cloud computing ont été invités lors de la conférence de configurer leurs services de façon à ce qu'ils soient conformes à la protection des données. Les clients devraient seulement utiliser ces services s'ils sont capables de remplir leurs obligations en tant que responsable de traitement. En plus des exigences de confidentialité, d'intégrité et disponibilité des données, la contrôlabilité et la transparence du traitement des données doivent être garanties.
      Introduction du protocole Internet IPv6
      Les chargés à la protection des données ont demandé que la confidentialité et la sécurité des données soient assurées lors du passage vers l'IPv6 (Internet Protocol version 6). Les fournisseurs d'accès Internet et de services ainsi que les fabricants de logiciels et d'équipements informatiques doivent prendre en compte la protection de la vie privée dès la conception et choisir des paramètres par défaut appropriés."
      (Source: Commission Luxembourg, Actualité)
      Les textes des résolutions (en allemand) sont disponibles aussi bien sur le site de la Commission nationale pour la protection des données du Grand-Duché du Luxembourg (section Actualité, Octobre 2011) et sur le site de la Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheidt (section Actualité).

      (13-10-2011) "German DPAs Issue Resolution and Guidance Paper on Cloud Computing and Compliance with Data Protection Law", Privacy and Information Security Law Blog, October 5, 2011.

      8 octobre 2011

      CPVPC: introduction à l'infonuagique

      Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier de la documentation sur l'infonuagique (ou cloud computing). Ce matériel fait suite aux consultations que le CPVPC a conduit en 2010 sur plusieurs problématique dont l'infonuagique (billet). On retrouve donc sur le site du CPVPC une foire aux questions et une fiche d'information sur cette question. 

      Le CPVPC rappelle que 
      "l'infonuagique désigne la fourniture de ressources informatiques sur Internet. Au lieu de conserver les données sur votre disque dur ou de mettre à niveau les applications en fonction de vos besoins, vous recourez à un service qui se trouve à un autre endroit sur Internet où vous stockerez votre information ou dont vous utiliserez les applications. L'utilisation de services d'infonuagique risquent d'avoir des incidences au chapitre de la protection de la vie privée."
      (Source: CPVPC, Introduction à l'infonuagique, Octobre 2011)
      En plus d'expliquer les différents modèles de service et leur popularité (coûts initiaux faible, mise en oeuvre rapide, souplesse d'utilisation, capacité illimité de traitement et de stockage, fiabilité, efficacité, etc.), le CPVPC insiste sur les risques potentiels d'atteinte à la vie privée et à la sécurité.
      "De nombreuses personnes sont préoccupées par le risque de détournement d'usage pouvant être causé par l'infonuagique — c'est-à-dire l'utilisation, par les fournisseurs de services d'infonuagique, des données à des fins non prévues lors de la collecte initiale et pour laquelle le consentement n'a pas habituellement été obtenu. Étant donné le faible coût lié à la conservation des données, rien n'incite à supprimer les données de l'infrastructure infonuagique, et ce ne sont pas les raisons qui manquent pour trouver d'autres utilisations possibles de l'information ainsi stockée.
      Les questions liées à la sécurité, la nécessité de séparer les données lorsque les fournisseurs desservent plusieurs clients, les utilisations secondaires potentielles des données — voilà à quoi les organisations devraient réfléchir lorsqu'elles envisagent de recourir à un fournisseur de services d'infonuagique et qu'elles négocient des contrats ou revoient les modalités d'utilisation du service avec un fournisseur. Étant donné que les organisations sont responsables de la protection des données qu'elles transfèrent au fournisseur, elles doivent voir à ce que les renseignements personnels soient traités de manière appropriée."
      (Source: CPVPC, L'infonuagique, Octobre 2011)
      Et, concernant ces risques potentiels d'atteinte à la vie privée, notamment au regard du traitement transfrontalier des données, le CPVPC précise qu'une entreprise qui décide de recourir à un fournisseur de services d'infonuagique "demeure responsable des renseignements personnels qu'elle transmet à ce service", même si ce dernier se trouve dans un autre pays. (Source: CPVPC, Foire aux questions, Octobre 2011). De plus, les fournisseurs de service établis 
      "à l'extérieur du Canada peuvent également être assujettis aux dispositions de la LPRPDE [i.e. Loi sur la protection des renseignements personnels et les documents électroniques]. Dans la mesure où le fournisseur de services d'infonuagique a un lien réel et substantiel avec le Canada, et qu'il recueille, utilise ou communique les renseignements personnels dans le cadre d'une activité commerciale, il doit protéger les renseignements personnels conformément à la LPRPDE."
      (Source: CPVPC, L'infonuagique, Octobre 2011)

      5 octobre 2011

      CNIL: publication de la "Lettre Innovation et Prospective" de la DEIP

      Créée en janvier 2011, la Direction des Études, de l'Innovation et de la Prospective (DEIP) de la Commission nationale de l'informatique et des libertés a pour mission de "mieux anticiper les évolutions sociétales, économiques et technologiques pouvant avoir un impact sur la protection des données". C'est dans cette perspective que la DEIP mène une réflexion sur deux chantiers: "les smartphones et leur écosystème" et "vie privée 2020", comme le rappelle la première lettre "Innovation et Prospective" de cette direction.   

      Dans cette lettre, la DEIP propose une étude intitulée "les jeunes européens, les réseaux sociaux et la vie privée" et, présente "PRACTIS [i.e. Privacy - Appraising Challenges to Technologies and Ethics], un programme de recherche européen sur l'avenir de la vie privée à suivre".