31 mars 2012

Europe: avis du Groupe 29 sur la réforme de la protection des renseignements personnels

Le Groupe de l'article 29 vient de publier un avis sur le projet de "réforme globale des règles en matière de protection des données pour accroître la maîtrise que les utilisateurs ont sur leurs données, et réduire les coûts grevant les entreprises" présenté le 25 janvier dernier par la Commission européenne (billet). 

On peut y lire que:  
"The Article 29 Data Protection Working Party (Working Party or WP29) welcomes the proposals adopted by the European Commission that seek to reinforce the position of data subjects, to enhance the responsibility of controllers and to strengthen the position of supervisory authorities, both nationally and internationally. Subject to further improvement the rules proposed can significantly reduce the existing fragmentation and strengthen data protection across Europe.
The Working Party in particular welcomes the inclusion of provisions that give incentives to controllers to invest, from the start, in getting data protection right (such as data protection impact assessments, data protection by design and data protection by default). The proposals place clear responsibility and accountability on those processing personal data, throughout the information life cycle.
The Working Party underlines the importance of the provisions intended to clarify and strengthen data subjects’ rights, notably by clarifying the notion of consent, the introduction of a general transparency principle and enhanced redress mechanisms. Also, the introduction of a data breach notification duty that provides consistency across all sectors is very welcome.
The Working Party also welcomes the fact that the proposals harmonise the powers and competences of supervisory authorities to more effectively ensure and where necessary enforce compliance, both individually and in cooperation with each other, for example, by being able to impose significant fines.
Despite its general positive stance toward the proposed Regulation, the Working Party feels that parts of the proposal for a Regulation need clarification and improvement. With regard to the Directive for data protection in the area of police and justice, the Working Party is disappointed by the Commission’s level of ambition and underlines the need for stronger provisions.
The Working Party has carefully studied both proposals and with this opinion provides its first general reaction to them. The opinion highlights areas of concern and where appropriate makes suggestions for improvement. Where appropriate, the Working Party may produce further opinions on specific provisions or aspects of the proposals in the future.
The Working Party calls on the Council and members of the European Parliament to take the opportunity to improve both proposals and enhance the protection of personal data in the European Union."
(Source: Article 29, Opinion 01/2012, p. 4)
Pour plus de détails:

26 mars 2012

FTC: rapport sur la protection de la vie privée des consommateurs

Après avoir reçu plus de 450 commentaires sur la version préliminaire, la Federal Trade Commission publie aujourd'hui la version finale de son rapport Protecting Consumer Privacy in an Era of Rapid Change: Recommendations For Businesses and Policymakers

Ce rapport invite les entreprises qui collectent et utilisent des renseignements personnels à adopter de meilleures pratiques et, encourage le Congrès à réfléchir sur une possible législation en matière de vie privée. Ainsi,
"The final report calls on companies handling consumer data to implement recommendations for protecting privacy, including: 
- Privacy by Design - companies should build in consumers' privacy protections at every stage in developing their products. These include reasonable security for consumer data, limited collection and retention of such data, and reasonable procedures to promote data accuracy; 
- Simplified Choice for Businesses and Consumers - companies should give consumers the option to decide what information is shared about them, and with whom. This should include a Do-Not-Track mechanism that would provide a simple, easy way for consumers to control the tracking of their online activities. 
- Greater Transparency - companies should disclose details about their collection and use of consumers' information, and provide consumers access to the data collected about them. [...]

While Congress considers privacy legislation, the Commission urges individual companies and self-regulatory bodies to accelerate the adoption of the principles contained in the privacy framework, to the extent they have not already done so. Over the course of the next year, Commission staff will work to encourage consumer privacy protections by focusing on five main action items:
- Do-Not-Track - The Commission commends the progress made in this area: browser vendors have developed tools to allow consumers to limit data collection about them, the Digital Advertising Alliance has developed its own icon-based system and also committed to honor the browser tools, and the World Wide Web Consortium standards-setting body is developing standards. "The Commission will work with these groups to complete implementation of an easy-to-use, persistent, and effective Do Not Track system," the report says.
- Mobile - The FTC urges companies offering mobile services to work toward improved privacy protections, including disclosures. To that end, it will host a workshop on May 30, 2012 to address how mobile privacy disclosures can be short, effective, and accessible to consumers on small screens.
- Data Brokers - The Commission calls on data brokers to make their operations more transparent by creating a centralized website to identify themselves, and to disclose how they collect and use consumer data. In addition, the website should detail the choices that data brokers provide consumers about their own information.
- Large Platform Providers - The report cited heightened privacy concerns about the extent to which platforms, such as Internet Service Providers, operating systems, browsers and social media companies, seek to comprehensively track consumers' online activities. The FTC will host a public workshop in the second half of 2012 to explore issues related to comprehensive tracking.
- Promoting Enforceable Self-Regulatory Codes - The FTC will work with the Department of Commerce and stakeholders to develop industry-specific codes of conduct. To the extent that strong privacy codes are developed, when companies adhere to these codes, the FTC will take that into account in its law enforcement efforts. If companies do not honor the codes they sign up for, they could be subject to FTC enforcement actions."
(Source: FTC, Press Release)

Pour plus de détails: 

22 mars 2012

France: protection de l'identité ... devant le Conseil constitutionnel

Suite à l'adoption de loi sur la protection de l'identité (billet), plus de 110 sénateurs et 115 députés ont saisi le Conseil constitutionnel sur la conformité des articles 5 et 10 de cette loi au regard de la Constitution. 

Dans la décision n°2012-652 DC en date du 22 mars 2012 (pdf), le Conseil constitutionnel déclare ces articles contraires à la Constitution: 
"[...] eu égard à la nature des données enregistrées, à l’ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l’article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi ; que, par suite, les articles 5 et 10 de la loi doivent être déclarés contraires à la Constitution [...]"
(Source: Décision n°2012-652 DC, considérant n°11)
Voici le communiqué publié sur le site du Conseil constitutionnel: 
"Par sa décision n° 2012-652 DC du 22 mars 2012, le Conseil constitutionnel s'est prononcé sur la loi relative à la protection de l'identité dont il avait été saisi par plus de soixante députés et plus de soixante sénateurs.
L'article 5 de cette loi prévoyait la création d'un traitement de données à caractère personnel facilitant le recueil et la conservation des données requises pour la délivrance du passeport français et de la carte nationale d'identité. Parmi celles-ci, figurent, outre l'état civil et le domicile du titulaire, sa taille, la couleur de ses yeux, deux empreintes digitales et sa photographie. L'article 10 permettait aux agents des services de police et de gendarmerie nationales d'avoir accès à ce traitement de données à caractère personnel, pour les besoins de la prévention et de la répression de diverses infractions, notamment celles liées au terrorisme.
D'une part, le Conseil constitutionnel a jugé que la création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général.
D'autre part, le Conseil constitutionnel a examiné l'ensemble des caractéristiques du fichier. En premier lieu, il est destiné à recueillir des données relatives à la quasi-totalité de la population française. En deuxième lieu, parmi les données enregistrées dans ce fichier, les données biométriques, notamment les empreintes digitales, sont particulièrement sensibles. En troisième lieu, les caractéristiques techniques de ce fichier permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. En quatrième lieu, la loi déférée autorise la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire.
Eu égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, le Conseil constitutionnel a jugé que l'article 5 de la loi déférée a porté au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Il a en conséquence censuré les articles 5 et 10 de la loi déférée et par voie de conséquence, le troisième alinéa de l'article 6, l'article 7 et la seconde phrase de l'article 8.
Par ailleurs, le Conseil constitutionnel a examiné l'article 3 de la loi qui conférait une fonctionnalité nouvelle à la carte nationale d'identité. Cet article ouvrait la possibilité que cette carte contienne des « données » permettant à son titulaire de mettre en oeuvre sa signature électronique, ce qui la transformait en outil de transaction commerciale. Le Conseil a relevé que la loi déférée ne précisait ni la nature des « données » au moyen desquelles ces fonctions pouvaient être mises en oeuvre ni les garanties assurant l'intégrité et la confidentialité de ces données. La loi ne définissait pas davantage les conditions d'authentification des personnes mettant en oeuvre ces fonctions, notamment pour les mineurs. Le Conseil a en conséquence jugé que la loi, faute de ces précisions, avait méconnu l'étendue de sa compétence. Il a censuré l'article 3 de la loi."
Pour aller plus loin: 

19 mars 2012

CNIL: Google et la vie privée (2)

Dans la continuité du billet du 28 février dernier, la Commission nationale de l'informatique et des libertés a fait parvenir à Google un questionnaire visant 
"à clarifier les implications [des] nouvelles règles [de confidentialité] pour les utilisateurs des services Google, qu’ils soient titulaires d’un compte Google, utilisateurs non authentifiés ou utilisateurs passifs des services de Google sur d’autres sites (publicité, mesure d’audience, etc.)". 
(Source: CNIL, Actualité - 19/03/2012)
Ce questionnaire est composé de 69 questions portant sur: 
- the transition to the new privacy policy, 
- services and collected data, 
- purposes, 
- data retention,
- rights and consent,
- Google terms of service vs. the new privacy policy,
- legitimacy of data connection between services (perimeter, consent and right to oppose, cookies, advertisement, browser settings, mobile platforms),
- information. 

La réponse est attendue d'ici le 5 avril prochain ... à suivre donc.

15 mars 2012

Internet: vos traces

Si vous vous demander quelles traces vous laissez sur Internet, l'article "Internet, sortez les mouchards" paru dans Libération vous intéressera, tout comme la section destinée à cette question sur le site de la Commission nationale de l'informatique et des libertés.

8 mars 2012

Canada: Google et la vie privée (2)

Le 24 février dernier, le Commissariat à la protection de la vie privée du Canada (en collaboration avec ses homologues de l'Alberta, de la Colombie-Britannique et du Québec) a fait parvenir une lettre au siège de Google Canada concernant les modifications apportées à la politique de confidentialité de l'entreprise (billet).

On peut lire aujourd'hui sur le site du Commissariat que
"Pour faire suite à la réception d'une lettre de Google datée du 29 février 2012, la commissaire à la protection de la vie privée du Canada a répondu à la société en lui demandant plus de renseignements concernant les changements récents à sa politique de protection de la vie privée.
Plus précisément, la commissaire désire obtenir des précisions quant aux liaisons potentielles de renseignements personnels entre les comptes Google, et en ce qui a trait à la suppression et à la conservation des données."
(Source: CPVPC, Annonce)
La nouvelle lettre du Commissariat est en date du 1er mars. 

----------
Toujours au sujet de la nouvelle politique de confidentialité de Google entrée en vigueur le 1er mars 2012, lire l'article suivant: 

    Europe: réforme de la protection des renseignements personnels (2)

    [Modifié le 08-03-2012 à 17:30]  
    Le 25 janvier 2012, la Commission européenne a présenté son projet de "réforme globale des règles en matière de protection des données pour accroître la maîtrise que les utilisateurs ont sur leurs données, et réduire les coûts grevant les entreprises" (billet), ce qui a donné lieu à plusieurs commentaires. 

    Ainsi, par exemple, en date du 7 mars 2012, le Contrôleur européen de la protection des données (CEPD) a fait savoir qu'il "se réjouit du renforcement du droit à la protection des données en Europe, mais regrette une nouvelle fois l'absence d'approche globale" (Source: CEPD Communiqué). Ainsi, 
    "Peter Hustinx, CEPD, déclare: "Le règlement proposé constitue un grand pas en avant pour le droit à la protection des données en Europe. Toutefois, nous sommes malheureusement encore et toujours loin d'un ensemble cohérent de règles de protection des données au niveau national et européen dans tous les domaines de la politique de l'UE. Les propositions sont décevantes en matière pénale et laissent également de nombreux instruments de protection des données existants au niveau de l'UE inchangés, comme les règles de protection des données pour les institutions et organes de l'UE ainsi que tous les instruments spécifiques en matière pénale."
    Le CEPD accueille favorablement le règlement comme un instrument directement applicable dans les États membres, car il mettra fin à de nombreuses complexités et incohérences découlant de la mise en oeuvre dans le droit national. Les règles renforceront les droits des individus et responsabiliseront davantage les responsables de traitement quant à la manière de traiter les données personnelles. En outre, le rôle et les pouvoirs des autorités nationales de contrôle (séparément et conjointement) se verront réellement renforcés.
    Toutefois, le CEPD émet certaines réserves, notamment quant:
    - aux possibilités de restreindre les principes et droits de base;
    - aux dérogations possibles dans le cadre du transfert de données vers des pays tiers;
    - aux pouvoirs excessifs accordés à la Commission dans le mécanisme destiné à garantir la cohérence au niveau des différentes autorités de contrôle;
    - aux nouvelles exceptions au principe de limitation de la finalité.
    En ce qui concerne la proposition de directive, le CEPD considère que plusieurs aspects de la proposition ne répondent pas à l'exigence d'un niveau uniforme et élevé de protection des données.
    Peter Hustinx, CEPD, déclare: "Les règles proposées pour la protection des données en matière pénale sont d'une faiblesse inacceptable. Dans de nombreux cas, il n'y a aucune justification quant à l'écart par rapport aux règles prévues dans la proposition de règlement. En matière pénale, certaines règles spécifiques sont nécessaires, mais ne doivent en aucun cas abaisser le niveau général de protection des données."
    Le CEPD est préoccupé en particulier en ce qui concerne:
    - le manque de sécurité juridique quant à l'utilisation ultérieure de données à caractère personnel par les autorités policières et judiciaires;
    - l'absence d'une obligation générale pour les autorités policières et judiciaires de démontrer la
    conformité avec les exigences de protection des données;
    - les conditions insuffisantes encadrant les transferts vers des pays tiers;
    - les pouvoirs indûment limités des autorités de contrôle."
    (Source: CEPD Communiqué)


    Ou encore, la Commission nationale de l'informatique et des libertés (CNIL) qui salue l'engagement unanime des Parlementaires français. En effet, le 7 février 2012, l'Assemblée nationale a exprimé ses "réserves sur la proposition de règlement de la Commission européenne en matière de protection des données personnelles et de la vie privée." (Source: CNIL, Actualité 08/02/2012). Et le 6 mars 2012, le Sénat a adopté une résolution allant dans le même sens. (Source: CNIL, Actualité 08/03/2012)

    7 mars 2012

    France: protection de l'identité ... lecture définitive

    Suite à l'adoption avec modification en novembre dernier de la proposition de loi sur la protection de l'identité par le Sénat (billet), le texte a été examiné en commission mixte paritaire, son article 5 demeurant un sujet de discussion entre les deux chambres.

    Le 10 janvier 2012, la commission a proposé le texte suivant: 
    "Art. 5: Afin de préserver l'intégrité des données requises pour la délivrance du passeport français et de la carte nationale d'identité, l'État crée, dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, un traitement de données à caractère personnel facilitant leur recueil et leur conservation.
    Ce traitement de données, mis en oeuvre par le ministère de l'intérieur, permet l'établissement et la vérification des titres d'identité ou de voyage dans des conditions garantissant l'intégrité et la confidentialité des données à caractère personnel ainsi que la traçabilité des consultations et des modifications effectuées par les personnes y ayant accès.
    L'enregistrement des empreintes digitales et de l'image numérisée du visage du demandeur est réalisé de manière telle qu'aucun lien univoque ne soit établi entre elles, ni avec les données mentionnées aux 1° à 4° de l'article 2, et que l'identification de l'intéressé à partir de l'un ou l'autre de ces éléments biométriques ne soit pas possible.
    La vérification de l'identité du demandeur s'opère par la mise en relation de l'identité alléguée et des autres données mentionnées aux 1° à 6° de l'article 2.
    Le traitement ne comporte pas de dispositif de reconnaissance faciale à partir des images numérisées du visage qui y sont enregistrées."
    (Source: CMP)
    L'Assemblée nationale l'a adopté le 12 janvier 2012. Le Sénat l'a rejeté le 26 janvier 2012.

    La proposition de loi a donc été soumis pour nouvelle lecture aux deux chambres: à l'Assemblée nationale le 1er février 2012 et au Sénat le 21 février 2012 sans parvenir à un accord. 

    Le texte a donc été transmis à l'Assemblée nationale pour lecture définitive et adopté le 6 mars dernier par 285 "pour" contre 173 "contre" et une abstention. 

    En attendant la promulgation de la loi ou la saisine du Conseil constitutionnel, voici certains articles publiés suite à l'adoption de cette proposition de loi sur la protection de l'identité: 
    [08-03-2012] Selon le Huffington Post, le Conseil constitutionnel a été saisi par "plus de 110 sénateurs et 115 députés socialistes, communistes et écologistes". Le texte de la saisine constitutionnelle y est reproduite.   

    5 mars 2012

    Téléphone intelligent et Internet des objets

    En France, la Commission nationale de l'informatique et des libertés (CNIL) publie sa Lettre Innovation et Prospective (n°2) consacrée aux téléphones intelligents et à la protection des renseignements personnels. 

    Cette lettre insiste sur le fait que le smartphone est "notre nouveau compagnon numérique", "un formidable gisement de données" et "une boîte noire que l'on ne sait pas protéger". On peut également y lire qu'il existe plusieurs types de smartphoneurs: les insouciants, les nonchalants, les paranos et les confiants. 

    Au Québec, intéressante entrevue de Pierrot Péladeau à l'émission L'après-midi porte conseil diffusée sur Radio-Canada. Il est question de l'Internet des objets et de son impact sur notre vie privée ... à écouter. 

    1 mars 2012

    États-Unis: réseaux sociaux et vie privée

    Dans son rapport Privacy Management on Social Media Sites, l'institut de recherche Pew Internet indique, entre autres, que nombreux sont les utilisateurs de réseaux sociaux qui
    - ont adopté des paramètres de confidentialité limitant l'accès à leur profil à leurs seuls amis (58%),
    - ont supprimé des contacts de leur liste (63%),
    - ont effacé des commentaires postés sur leur mur (44%), ou encore 
    - ont retiré leur nom sur des photos mises en ligne par d'autres personnes (37%).