30 avril 2012

FCC: rapport d'enquête relatif à Google

La Federal Communication Commission a rendu public son rapport sur l'interception par Google de renseignements personnels via des réseaux WiFi dans le cadre de Google Street View - l'erreur invoquée n'en était pas une. 

[02-05-2012] Dans la continuité du rapport de la FCC, voir notamment: 

28 avril 2012

Facebook et la mémoire (6)

Dans la continuité du billet du 22 décembre 2011, on apprend que Max Schrems pourrait saisir la Commission européenne pour faire valoir ses droits contre Facebook. 

18 avril 2012

CPVPC: Entreprises et Responsabilité

Le Commissariat à la protection de la vie privée du Canada et ses homologues de la Colombie-Britannique et de l'Alberta viennent de publier des lignes directrices visant une meilleure gestion de la protection des renseignements personnels par les entreprises.

Ces lignes directrices fondées sur la responsabilité des entreprises recommandent: 
  • l'élaboration d'un programme de gestion de la protection de la vie privée complet impliquant 
    • un engagement de l'entreprise (participation de la haute direction, nomination d'un agent responsable de la protection de la vie privée, développement de mécanismes redditionnels internes) et 
    • des mesures de contrôle du programme (inventaire des renseignements personnels, mise en place de politiques internes relatives aux obligations contenues dans les lois de protection des renseignements personnels, développement d'outils d'évaluation du risque, formation et sensibilisation des employés, protocole d'intervention en cas d'atteinte, gestion des communications externes);
  • l'évaluation continue du programme de gestion et, le cas échéant, sa révision. 

Pour plus de détails, voir: 

14 avril 2012

Paiement sans contact - ateliers et articles

Payer par carte bancaire sans avoir à taper son code sur le clavier en approchant simplement sa carte du terminal de paiement peut être attrayant ... sauf en ce qui concerne la protection des renseignements personnels. 

Voir à ce sujet l'entrevue de Renaud Liftchitz, consultant sécurité chez BT, opérateur britannique de télécommunications ou encore l'atelier que tiendra la Federal Trade Commission sur cette problématique le 26 avril prochain. 
 
[02-07-2012] Les vidéos de l'atelier tenu par la FTC sont disponibles à l'adresse suivante: http://htc-01.media.globix.net/COMP008760MOD1/ftc_web/FTCindex.html#April26_

----------
[15-04-2012] Et que dire du fait d'utiliser une mesure biométrique pour retirer de l'argent à un guichet automatique ... voir l'article "Quand sa main devient une carte bancaire", publié dans La Presse le 13 avril dernier. 

13 avril 2012

Facebook: clause attributive de compétence

On peut lire sur Legalis que le 23 mars dernier, la cour d'appel de Pau s'est prononcée sur la clause attributive de compétence contenue dans les conditions générales d'utilisation (de 2007) de Facebook: elle est non écrite. 

[20-04-2012] Voir également : 

8 avril 2012

CNIL: Droit à l'oubli numérique (entrevue)

Intéressante entrevue d'Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés sur France-Culture dans le cadre de l'émission Le Bien-Commun
Il est question du droit à l'oubli numérique ... à écouter.
  • Isabelle FALQUE-PIERROTIN, "Le droit à l'oubli numérique", entrevue, Le Bien Commun, France-Culture, 22 mars 2012 (30mn) - baladodiffusion disponible pour les 500 prochains jours.
----------
[17-04-2012] Pour une vision autre du droit à l'oubli:  

6 avril 2012

Canada: rapports d'enquêtes sur Facebook

Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier les conclusions de trois enquêtes menées vis-à-vis de Facebook. Il en ressort que: 
"Si on examine les résultats de ces enquêtes par rapport à ceux de la première enquête sur l’organisation effectuée il y a quelques années, on constate que Facebook semble tenir davantage compte des questions liées à la protection de la vie privée à certains égards, notamment parce qu’il fournit aux membres des renseignements plus clairs et plus compréhensibles au sujet de diverses pratiques de gestion des renseignements personnels, déclare Mme Stoddart. Malgré ces améliorations générales, nous sommes déçus de constater que Facebook n’avait pas prévu les préoccupations importantes liées à la protection de la vie privée que susciterait la mise en œuvre de la fonction « Vous connaissez peut-être… ». La protection de la vie privée doit être intégrée aux fonctions dès le départ — elle ne doit pas être ajoutée après coup, en réaction aux commentaires négatifs des utilisateurs individuels et des autorités de protection des données."
(Source: CPVPC, Communiqué)
Voici les conclusions détaillées de ces enquêtes 

1. Suggestions d'amis (Enquête 2012-002 - Fondée et résolue)
"Trois personnes ont déposé une plainte après avoir reçu des courriels les invitant à joindre Facebook. Ces invitations comprenaient des « suggestions d’amis », soit une liste d’utilisateurs Facebook qui, dans la majorité des cas, étaient des personnes que les plaignants connaissaient. Sans expliquer comment les suggestions étaient créées, les plaignants (qui n’avaient aucun lien avec le site) craignaient que Facebook ait eu accès à leur carnet d’adresses électroniques de façon inappropriée.
L’enquête n’a cependant pas réussi à prouver que Facebook accédait au carnet d’adresses des plaignants. Les suggestions d’amis sont plutôt envoyées à partir de renseignements des carnets d’adresses téléversés par des utilisateurs actuels de Facebook.
Lorsque les plaintes ont été déposées, les invitations fournissaient peu de renseignements quant au processus permettant de suggérer des amis. Elles ne contenaient pas non plus d’option évidente permettant aux destinataires de choisir de ne plus recevoir de messages ou de demander à ce que leur adresse électronique ne soit plus utilisée pour envoyer des suggestions d’amis.
Au cours de l’enquête, l’entreprise a accepté d’apporter plusieurs changements à la suite de discussions avec le Commissariat et un autre bureau international de la protection des données personnelles ayant des préoccupations similaires à ce sujet. Plus particulièrement, Facebook a ajouté une méthode plus conviviale permettant aux utilisateurs de choisir de ne pas recevoir de suggestions d’amis ou d’autres messages. De plus, l’entreprise a retiré les suggestions d’amis des invitations initiales et les envoie seulement dans des rappels subséquents."
(Source: CPVPC, Document d'information)  
2. Extension sociale (Enquête 2011-006 - Pas fondée)
"Les extensions sociales permettent aux utilisateurs de voir le contenu d’autres sites Web tirés de leur profil Facebook, y compris les icônes « J’aime » et « Je recommande ». Par exemple, les membres ayant ouvert une session Facebook qui visitent un site Web de nouvelles peuvent voir une liste d’articles recommandés par leurs amis.
Dans le cas qui nous concerne, le plaignant était préoccupé par l’échange possible de renseignements entre Facebook et les plus de deux millions de sites Web hôtes d’extensions sociales du même genre. L’enquête n’a révélé aucun élément prouvant que Facebook recueillait ou utilisait les renseignements personnels de personnes n’ayant pas de compte Facebook, ou d’utilisateurs n’ayant pas de session ouverte, lorsqu’ils visitent une page Web comportant une extension sociale.
En ce qui concerne les utilisateurs Facebook qui ont ouvert une session et qui visitent une page Web contenant une extension sociale, notre enquête a révélé que, même si Facebook recueillait des renseignements personnels de ces utilisateurs, l’entreprise décrivait de façon appropriée les extensions sociales afin d’obtenir un consentement éclairé. De plus, les utilisateurs qui ne voulaient pas recevoir un contenu personnalisé étaient en mesure de mettre fin à leur session Facebook avant d’accéder aux sites Web contenant des extensions sociales."
(Source: CPVPC, Document d'information)
3. Authentification (Enquête 2011-005 - Pas fondée)
"La troisième enquête résultait d’une plainte prétendant que Facebook recueillait plus de renseignements personnels qu’il n’en avait besoin pour accorder l’accès à un compte Facebook. On a également affirmé que Facebook ne permettait pas de remettre en question sa conformité aux principes de la LPRPDE auprès de son employé désigné responsable de la conformité.
Les résultats de l’enquête ont permis de constater qu’il est possible que les organisations aient besoin de renseignements pour confirmer l’identité des utilisateurs, mais que celles‑ci devraient fournir aux utilisateurs différents moyens de le faire. En ce qui concerne la remise en question de la conformité, on a découvert que Facebook fournissait un formulaire électronique au début des « paramètres de confidentialité » permettant aux utilisateurs de déposer des plaintes relativement à la protection des renseignements personnels.
Dans ce cas, Facebook a expliqué clairement les raisons de sécurité justifiant le besoin des renseignements personnels et a offert aux utilisateurs différentes options pour confirmer leur identité. On a également découvert que les procédures du site relativement aux plaintes concernant la protection de la vie privée étaient accessibles et faciles à utiliser."
(Source: CPVPC, Document d'information) 

Pour plus de détails: 

5 avril 2012

CNIL: Google et la vie privée (3)

La Commission nationale informatique et liberté avait donné à Google jusqu'à aujourd'hui, 5 avril, pour répondre à son questionnaire (billet). C'est chose faite ... mais pour seulement une vingtaine de questions sur soixante neuf.  
"Dans un courrier rendu public jeudi, soit le 5 avril, Google indique qu'en accord avec la Cnil, il a «besoin d'un peu plus de temps» pour répondre au questionnaire, mais qu'en tant qu'«étape intermédiaire», il donne les réponses aux 24 premières questions et «que le reste suivra dès qu'il sera complet».
Interrogé par exemple sur le nombre de «questions/plaintes» que le géant de l'internet aurait reçu depuis qu'il a annoncé la mise en oeuvre de ses nouvelles règles, Google chiffre seulement le nombre de demandes émanant des médias, soit un millier, et indique que les plaintes de la part d'utilisateurs «semblent avoir été minimales».
Le groupe se dit également «incapable» de donner le nombre de personnes ayant visité le site internet dédié au changement des règles de confidentialité.
Google donne également à la Cnil des définitions sur ce qu'il appelle «données sensibles», «données personnelles» ou encore «reconnaissance faciale».
Dans son courrier à la Cnil, Google fait également part de son souhait de «rencontrer» des responsables de la Cnil afin «d'expliquer et de discuter de l'approche de Google en termes de communication envers les utilisateurs»."
(Source: La Presse, 5 avril 2012)
"Rien de passionnant à se mettre sous la dent pour l’instant : Google est arrivé au terme du délai imposé par la Cnil, mais il indique avoir « besoin d’un peu plus de temps » pour répondre au questionnaire. Toutefois, en tant qu’« étape intermédiaire », il répond aux 25 premières questions et promet « que le reste suivra ».
Interrogé par exemple sur le nombre de « questions, plaintes ou réclamations » qu’il a éventuellement reçues depuis l’annonce des nouvelles règles, fin janvier, Google chiffre seulement le nombre de demandes émanant des médias, soit un millier. Il indique que les plaintes de la part d’utilisateurs « semblent avoir été minimales ».
Le groupe se dit également « incapable » de donner le nombre de personnes ayant visité le site Internet dédié au changement des règles de confidentialité. Mais si Google ne connaît pas ses propres statistiques de visites, qui les connaît ?
Mountain View donne également à la Cnil les définitions de ce qu’il appelle « données sensibles », « données personnelles » ou encore « reconnaissance faciale ».
Dans son courrier à la Cnil, Google fait également part de son souhait de « rencontrer » des responsables de la Cnil afin « d’expliquer et de discuter de l’approche de Google en termes de communication envers les utilisateurs »."
(Source: Libération - Écrans, 5 avril 2012)

3 avril 2012

Facebook et la mémoire (5)

Dans la continuité du billet du 22 décembre 2011, on peut lire l'article suivant sur la mise en oeuvre des recommandations de l'autorité irlandaise de protection des données personnelles par Facebook suite au recours déposé par Max Schrems:

2 avril 2012

Europe: avis du Groupe 29 sur la reconnaissance faciale

Le Groupe de l'article 29 vient de publier un avis sur la reconnaissance faciale: Opinion 02/2012 on facial recognition in online and mobile services

Après avoir rappelé que la Directive 95/46/CE s'applique en l'espèce, cet avis fait plusieurs recommandations visant les responsables du traitement des données (data controller): 
1. Unlawful processing for the purposes of facial recognition
In an online setting, images can be acquired by the data controller in many ways such as provided by the users of the online or mobile service, their friends and colleagues or from a third party. Images may contain the faces of the users themselves and/or other registered or non-registered users or acquired without the knowledge of the data subject. Regardless of the means by which these images may be acquired a legal basis is required to process them.
Recommendation 1: If the data controller is acquiring the image directly then they must ensure they have the valid consent of the data subjects prior to acquisition and provide sufficient information relating to when a camera is operating for the purpose of facial recognition.
Recommendation 2: If individuals are acquiring digital images and uploading them to online and mobile services for the purpose of facial recognition the data controllers must ensure that the image uploaders have consented to the processing of the images which may take place for the purposes of facial recognition.
Recommendation 3: If data controllers are acquiring digital images of individuals from third parties (e.g. copied from a website or purchased from a different data controller) they must carefully consider the source and the context in which the original images are acquired and processed only if the data subjects had consented to such processing.
Recommendation 4: Data controllers must ensure that digital images and templates are only used for the specified purpose for which they have been provided. Data controllers should put technical controls in place in order to reduce the risk that digital images are further processed by third parties for purposes for which the user has not consented to. Data controllers should put in place tools for users to control the visibility of their images that they have uploaded where the default is to restrict access by third parties.
Recommendation 5: Data controllers must ensure that digital images of individuals who are not registered users of the service or have otherwise not consented to such processing are only processed in so far as the data controller has a legitimate interest for such processing. (...)
Security breach during transit
In the case of online and mobile services it is likely that there will be data transit between image acquisition and the remaining processing stages (e.g. uploading an image from a camera to a website for feature extraction and comparison).
Recommendation 6: The data controller must take appropriate steps to ensure the security of data transit. This may include encrypted communication channels or encrypting the acquired image itself. Where possible, and especially in the case of authentication/verification, local processing should be favoured.

2. Face Detection, Normalisation, Feature Extraction
Data minimisation
Templates generated by a facial recognition system may contain more data than are necessary to perform the specified purpose(s).
Recommendation 7: Data controllers must ensure that data extracted from a digital image to build a template will not be excessive and will only contain the information required for the specified purpose, thereby avoiding any possible further processing. Templates should not be transferrable between facial recognition systems.
Security breach during data storage
Identification and authentication/verification are likely to require the storage of the template for use in a later comparison.
Recommendation 8: The data controller must consider the most appropriate location for storage of the data. This may include on the user’s device or within the data controller’s systems. The data controller must take appropriate steps to ensure the security of the data stored. This may include encrypting the template. It should not be possible to obtain unauthorised access to the template or storage location. Especially for the case of facial recognition for the purpose of verification, biometric encryption techniques may be used; with these techniques, the cryptographic key is directly bound to the biometric data and is re-created only if the correct live biometric sample is presented on verification, whereas no image or template is stored (thus forming a type of “untraceable biometrics”).
Subject access
Recommendation 9: The data controller should provide the data subjects with appropriate mechanisms to exercise their right of access, where appropriate, to both the original images, and the templates generated in the context of facial recognition.
(Source: Article 29, Opinion 2/2012, p. 8-10)

Pour plus de détails: