27 juin 2012

CNIL: infonuagique et PME

Tout comme le Commissariat à la protection de la vie privée du Canada et ses homologues de la Colombie-Britannique et de l'Alberta (billet), la Commission nationale de l'informatique et des libertés vient de publier ses recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing

Ainsi, les petites et moyennes entreprises qui entendent recourir à des services d'infonuagiques doivent: 
  1. identifier clairement les données (sont-elles à caractère personnel, sensibles, stratégiques pour l'entreprise ou utilisées dans les applications métiers) et les traitements qui passeront dans le cloud
  2. définir ses propres exigences de sécurité technique (interopérabilité), pratique (disponibilité, portabilité) et juridique (localisation, confidentialité, règlementation spécifique pour certaines données); 
  3. conduire une analyse de risques afin d'identifier les mesures de sécurité essentielles pour l'entreprise en ce qui concerne notamment le traitement, la dépendance technologique vis-à-vis du prestataire de service, les possibles incidents de sécurité, les réquisitions judiciaires, la durée de conservation des données, les droits d'accès, les flux transfrontières de données, l'impact d'une migration partielle des données; 
  4. identifier le type de cloud pertinent pour le traitement envisagé; 
  5. choisir un prestataire présentant des garanties suffisantes 
  6. revoir la politique de sécurité interne et en informer les employés;
  7. surveiller les évolutions dans le temps du service de cloud choisi. 
Par ailleurs, la CNIL présente les "éléments essentiels devant figurer dans un contrat de prestation de services de cloud computing": informations relatives aux traitements, garanties mises en oeuvre par le prestataire, localisation et transferts, formalités à réaliser auprès de la CNIL, sécurité et confidentialité. Et, elle propose des "modèles de clauses contractuelles" que l'on peut retrouver dans un contrat de service d'infonuagique. 

Pour aller plus loin, 

25 juin 2012

CNIL: vidéosurveillance et vidéoprotection

Dans "La fin de la vie privée" publié à l'été 2010 dans La Revue, l'auteur faisait état de la journée de Nicolas K. pour illustrer ses propos quant au fichage, à la géolocalisation et ... à la surveillance. Sur ce dernier point, la Commission nationale de l'informatique et des libertés (CNIL) vient de publier des fiches et un guide de bonnes pratiques destinés aux différents intervenants.

Ainsi, la CNIL rappelle la distinction entre vidéoprotection et vidéosurveillance:
  • la vidéoprotection fait référence aux caméras installées sur la voie publique ou dans les lieux ouverts aux publics. Elle est soumise au code de la sécurité intérieure. Elle doit faire l'objet d'une autorisation préfectorale, après avis d'une commission départementale présidée par un magistrat. La CNIL en assure le contrôle. 
  • la vidéosurveillance fait référence aux caméras installées dans les lieux non ouverts au public (bureaux d'une entreprise, immeubles d'habitation). Elle est soumise à la Loi Informatique et Libertés et doit faire l'objet d'une déclaration à la CNIL. 
Elle publie des fiches faisant mention des objectifs, des formalités à respecter et des précautions à prendre lors de la mise en place de tels procédés:
  • sur la voie publique: "prévenir des actes de terrorisme, des atteintes à la sécurité des personnes et des biens", "permettre de constater des infractions", "la conservation des images ne doit pas excéder un mois [sauf si des procédures judiciaires sont engagées]", "doit être autorisé par le préfet après avis d'une commission départementale présidée par un magistrat", "valable 5 ans et renouvelable", "les personnes filmées doivent être informées, au moyen de panneaux affichés de façon visible: de l'existence du dispositif, de son responsable, des modalités concrètes d'exercice de leur droit d'accès aux enregistrements visuels les concernant. Ces panneaux sont affichés en permanence dans les lieux concernés et doivent être compréhensibles par tous les publics". (Source: CNIL - Fiche sur la voie publique)
  • au travail: "à des fins de sécurité des biens et des personnes, à titre dissuasif ou pour identifier les auteurs de vols, de dégradations ou d'agressions", "pas filmer les employés sur leur poste de travail, sauf circonstances particulières (employés manipulant de l'argent par exemple, mais la caméras doit davantage filmer la caisse que le caissier)", "pas filmer les zones de pause ou de repos des employés, ni les toilettes", "pas filmer les locaux syndicaux ou des représentants du personnel, ni leur accès lorsqu'il ne mène qu'à ces seuls locaux", "conservation - ne doit pas excéder un mois [sauf si des procédures judiciaires sont engagées]", "si les caméras filment un lieu non ouvert au public (lieux de stockage, réserves, zones dédiées au personnel comme le fournil d'une boulangerie), le dispositif doit être déclaré à la CNIL, [sauf si nomination d'un Correspondant informatique et libertés]", si les caméras filment un lieu ouvert au public (espaces d'entrée et de sortie du public, zones marchandes, comptoirs, caisses) le dispositif doit être autorisé par le préfet du département", "les instances représentatives du personnel doivent être informées et consultées avant toute décision d'installer des caméras", "les personnes concernées (employés et visiteurs) doivent être informées, au moyen de panneau affiché de façon visible dans les locaux sous vidéosurveillance [et] chaque employé doit être informé individuellement (au moyen d'un avenant au contrat de travail ou d'une note de service, par exemple)". (Source: CNIL - Fiche au travail)
  • dans les établissements scolaires: "à des fins de sécurité des biens et des personnes", "afin de renforcer la sécurité des abords", "exclu, sauf cas exceptionnels, de filmer les lieux de vie des établissements (cour de récréation, préau, salle de classe, cantine, foyer, etc.) pendant les heures d'ouverture de l'établissement", "la conservation - ne doit pas excéder un mois [sauf si des procédures judiciaires sont engagées]", "si les caméras filment l'intérieur de l'établissement scolaire et permettent l'enregistrement des images, le dispositif doit être déclaré à la CNIL, [sauf si nomination d'un Correspondant informatique et libertés]", "si les caméras filment les abords de l'établissement et en partie la voie publique, le dispositif doit être autorisé par le préfet du département", "les élèves, leurs parents et les personnels doivent être informés au moyen de panneaux affichés de façon visible: de l'existence du dispositif, de son responsable, des modalités concrètes d'exercice de leur droit d'accès". (Source: Cnil - Fiche dans les établissements scolaires)
  • dans les commerces: "à des fins de sécurité des biens et des personnes, à titre dissuasif, ou pour identifier les auteurs de vols ou d'agressions", "images pas être accessibles à l'ensemble des employés ou des clients", "la conservation - ne doit pas excéder un mois [sauf si des procédures judiciaires sont engagées]", "interdit d'installer des caméras à l'intérieur des cabines d'essayage ou dans les toilettes", "le système ne doit pas être utilisés pour s'assurer que le personnel fait correctement son travail", "si les caméras filment un lieu non ouvert au public - déclaration à la CNIL [sauf si nomination d'un Correspondant informatique et libertés]", si les caméras filment un lieu ouvert au public - autorisation du préfet du département", "les instances représentatives du personnel doivent être informées et consultées avant toute décision d'installer des caméras", "les clients doivent être informés au moyen de panneaux affichés de façon visible [et] chaque employé doit être informé individuellement (au moyen d'un avenant au contrat de travail ou d'une note de service, par exemple). (Source: CNIL - Fiche dans les commerces)
  • dans les immeubles d'habitation: "à des fins de sécurité des biens et des personnes", "possibilité de filmer les espaces communs", "ne pas filmer les portes des appartements ni les balcons ou terrasses des habitants", les images ne doivent pas être librement accessibles à l'ensemble des habitants", "les images sont consultés uniquement en cas d'incident [et] ne doivent pas servir à "surveiller" en temps réel les allées et venues des résidents ou des visiteurs", "la conservation - ne doit pas excéder un mois [sauf si des procédures judiciaires sont engagées]", "si les caméras filment de lieux uniquement accessibles aux personnes autorisée (par exemple, l'accès au hall d'entrée s'effectue à l'aide d'une clé détenue uniquement par les occupants de l'immeuble) et permettent l'enregistrement des images, le dispositif doit être déclaré à la CNIL car les lieux sont considérés comme non ouverts au public", "si les caméras filment un lieu accessible à toute personne (hall d'entrée avec porte sans digicode ni interphone par exemple, le dispositif doit faire l'objet d'une demande d'autorisation auprès du préfet du département car les lieux sont considérés comme ouverts au public", "l'installation de caméras dans une coopropriété doit faire l'objet d'un vote à la majorité lors de l'assemblée générale des copropriétaires", "les personnes concernées doivent être informées par un panneau affiché de façon visible [...]". (Source: Cnil - Fiche sur les immeubles d'habitation)
  • chez soi: "pas soumis aux dispositions de la loi "Informatique et Libertés" ni à celles du code de la sécurité intérieure. [Doivent, en revanche] respecter la vie privée des voisins, des visiteurs et des passants", "ne filmer que l'intérieur de la propriété", "comme tout dispositif filmant des salariés dans un lieu non ouvert au public, une déclaration devra être faite auprès de la CNIL lorsque des employés d'un particulier interviennent à son domicile et que les images font l'objet d'un enregistrement". (Source: CNIL - Fiche chez soi)
Elle publie également, en collaboration avec l'Association des maires de France (AMF), un guide de bonnes pratiques destiné aux maires concernant la vidéoprotection sur la voie publique ou dans les lieux ouverts au public de leur commune. Ce guide met en avant "10 points pour assurer la sécurité collective dans le respect des libertés individuelles", à savoir: 
  1. définir l'objectif recherché, 
  2. délimiter les zones placées sous vidéoprotection, 
  3. désigner un point de contact, soit "l'interlocuteur compétent à qui toute personne intéressée peut s'adresser pour obtenir des informations sur le système de vidéoprotection et notamment le lieu d'implantation des caméras [ou encore] pour exercer son droit d'accès aux images qui la concernent, signaler un problème ou obtenir une information", 
  4. informer le public via des panneaux lisibles, visibles et affichés en permanence, 
  5. garantir le droit d'accès à toute personne justifiant de son identité aux images et aux enregistrements la concernant en s'assurant "de masquer ou de "flouter" le visage des personnes qui ne sont pas concernées par la demande d'accès", 
  6. accueillir les demandes de renseignement et rectifier toute erreur signalée "dans les meilleurs délais", 
  7. limiter la conservation des données en respectant "la durée fixée par l'arrêté préfectoral autorisant le système. Cette durée est en tout état de cause inférieure ou égale à un mois", 
  8. identifier les destinataires des images et s'assurer "que les personnels vidéosurveillants sont bien informés de la réglementation en vigueur", 
  9. sécuriser l'accès au système, 
  10. évaluer et contrôler le système de façon régulière. 


Pour aller plus loin, 

17 juin 2012

CPVPC et CIPVP (Alberta et Colombie-Britannique) - Infonuagique et PME

Le Commissariat à la protection de la vie privée du Canada et ses homologues de la Colombie-Britannique et de l'Alberta viennent de publier un document d'orientation relatif aux enjeux de l'infonuagique pour les petites et moyennes entreprises (PME).

Ce document rappelle qu'une PME qui décide d'externaliser ses services en recourant à un service d'infonuagique, gratuit ou payant, "reste responsable de la protection des renseignements personnels de ses clients et doit faire preuve de transparence sur le plan de la gestion de l'information et des ses pratiques en matière de protection de la vie privée". 

Une PME doit donc "évaluer minutieusement les risques par rapport aux avantages". Elle doit s'assurer de la sécurité mise en place. Elle doit "avoir obtenu les consentements appropriés" avant de recourir à un service infonuagique. Elle doit éviter et "se méfier des situations de détournement d'usage, où le fournisseur de services infonuagiques utilise les renseignements à des fins autres que celles pour lesquelles ils ont été recueillis". Elle doit savoir où seront stockés les données. Elle doit garder le contrôle ce qui "signifie que la propriété des données est clairement définie dans le contrat et que celui-ci contient des dispositions concernant ce que le fournisseur peut faire avec les renseignements personnels et indiquant ce qu'il adviendra de ceux-ci si le fournisseur cesse ses activités. Garder le contrôle signifie également que la [PME] peut mettre fin au contrat, récupérer les données auprès du fournisseur de services infonuagique et demander au fournisseur de confirmer que ses propres systèmes ou ceux de ses sous-traitants ne contiennent plus de renseignements personnels de [la PME]".

Pour permettre aux PME d'évaluer les avantages et les risques du recours à l'infornuagique, ce document propose "une liste présentant certaines des questions importantes que les [PME] devraient se poser lorsqu'elles comparent les divers services infonuagiques": responsabilité, sécurité, usages secondaires, consentement, contrôle, portabilité, droit d'accès. 

Pour plus de détails, voir: 

12 juin 2012

Canada et Luxembourg: la valse des rapports annuels

La fin du printemps annonce la valse des rapports annuels. À cette occasion, les autorités de protection des renseignements personnels présentent leurs activités réalisées durant l'année et, parfois mettent l'accent sur un thème en particulier. Ainsi,

- la protection de la vie privée des jeunes est à l'honneur dans le rapport du Commissariat à la protection de la vie privée (CPVP) du Canada. 
Le CPVP revient sur le fait qu'"on dit souvent que les jeunes de l'ère numérique ne se soucient guère de protéger leur vie privé. C'est faux" (p. 20) ... comme le démontrent, entre autres, certaines études ou encore les conférences données dans les école.

Toutefois, il rappelle que "les jeunes ont tendance à croire que leur espace en ligne est privé et que seuls leurs amis en verront le contenu" (p. 20), que "les adolescents qui grandissent dans un monde en ligne font l'objet d'une surveillance et d'une analyse sans précédent" (p. 20) ou encore que "les enfants et les jeunes font face à des dangers particuliers en matière de protection de la vie privée parce qu'ils n'ont pas la connaissance ni l'expérience voulues pour bien évaluer les risques et prendre les mesures qui s'imposent pour y faire échec" (p. 20).

Et, il insiste sur le fait que "si les enfants sont élevés dans un contexte de surveillance qui fait fi de la vie privée, ils risquent de n'accorder à celle-ci aucune importance. Ces enfants pourraient également ne pas apprendre comment établir leurs propres limites en matière de protection de la vie privée et être moins disposés à respecter les limites d'autrui" (p. 21). En effet, "la surveillance excessive des enfants que l'on réalise sans fixer des limites appropriées ou fournir des explications adéquates peut avoir un effet sur: (1) l'autonomie et le développement social, (2) la confiance, la peur et la capacité d'évaluer les risques, (3) les capacités numériques et, (4) la compréhension de la notion de vie privée" (p. 30 et 31). 

Dés lors, pour favoriser la sensibilisation des jeunes aux enjeux des environnements électroniques, le CPVP a développé des trousses pédagogiques pour les 12-13 ans et les 14-16 ans, une vidéo et des outils pour les parents et les enseignants

Il a également réalisé des enquêtes concernant le traitement des renseignements personnels sur certains sites Web (p. 22- 28) ou encore l'utilisation de caméras de surveillance dans garderies (p. 28-29).  
- la vigilance demeure une priorité pour la Commissaire à l'information et à la protection de la vie privée (CIPVP) de l'Ontario.
Selon le CIPVP, la vigilance s'explique au regard du traitement des mesures de caractéristiques corporelles (ou biométrie) que sont le visage, les empreintes digitales, l'iris ... mais aussi au regard de la conception et de la configuration des appareils mobiles (p. 8-10)

Elle s'explique également par rapport à plusieurs projets de lois fédéraux, plus particulièrement ceux relatifs à l'accès légal visant "à conférer à la police des pouvoirs considérablement accrus leur permettant de retracer des renseignements sur des particuliers pouvant être identifiés au moyen des technologies de communications que nous employons tous les jours: Internet, téléphones intelligents et autres appareils mobiles, parfois sans mandat ni autorisation judiciaire. [de tels sorte qu'] il est très trompeurs de prétendre que de tels projets de loi portent sur l'"accès légal" ou qu'ils visent à protéger les enfants. Ces pouvoirs élargis représentent beaucoup plus: un régime de surveillance intégrée" (p. 6). Cette vigilance face à de tels projets est également mise de l'avant par le CPVP du Canada. 

Elle s'explique aussi par le fait de s'assurer de l'application des principes 
  • de protection intégrée de la vie privée (Privacy by Design - PbD) ce qui revient au directeur général de la protection de la vie privée au sein des organisations dont le rôle va croissant ... ce qui "témoigne de l'importance stratégique de bien gérer l'information et de la demande dont font l'objet ces spécialistes en raison de leur compétences. La gestion de la protection de la vie privée en tant que discipline distincte est en voie d'être normalisée et professionnalisée, et il y a actuellement une pénurie d'ingénieurs et d'architectes en protection de la vie privée qualifiés" ... c'est pourquoi le CIPVP a "décidé de désigner 2011 l'"année de l'ingénieur" (p. 7)
  • d'accès à l'information intégré (Access by Design - AbD) qui "va beaucoup plus loin que la simple divulgation systématique" ... cela "appelle le gouvernement à être plus réceptif et efficace, et à bâtir des rapports fondés sur la collaboration avec les citoyens, le secteur privé et d'autres institutions publiques. [En effet] la nature tentaculaire du Web et des technologies connexes a fait croître considérablement la demande de renseignements détenus par le gouvernement au sein du public, donnant une nouvelle dimension à la participation civique et permettant un apport croissant des citoyens à l'élaboration des politiques et à la prestation des services" (p. 11) ... ce qui n'est pas sans faire écho au concept de données ouvertes (p. 12).
Cette préoccupation quant à l'application des principes de PbD et de AbD se retrouve également au Luxembourg (p. 61)
- la notification des failles de sécurité constitue un temps fort pour la Commission national pour la protection des données (CNPD) au Luxembourg. 
En effet, depuis le 1er septembre 2011, "les fournisseurs de services de communications électroniques accessibles au public, comme les entreprises de téléphonie fixe ou mobile ou les fournisseurs d'accès à Internet, doivent avertir immédiatement la [CNPD] en cas de survenance d'une violation de la sécurité et de la confidentialité de données à caractère personnel et d'informer de surcroît leurs abonnés dès lors que l'incident constaté est susceptible d'affecter défavorablement le niveau de la protection de leur vie privée et des données les concernant" (p. 51).
Par ailleurs, ces rapports mettent également de l'avant les enjeux inhérents, par exemple, à l'informatisation du système de santé, à la constitution de base de données à caractère personnel des élèves, à l'infonuagique, à la publicité comportementale ou encore à la réforme du cadre légal européen sur la protection des données.


Pour plus de détails: 

9 juin 2012

Suisse: Google Street View et la vie privée

Le 31 mai 2012, le Tribunal fédéral suisse a rendu ses conclusions dans une affaire opposant Google Street View au Préposé fédéral à la protection des données et à la transparence (PFPDT) - Retour en arrière:
 
11 novembre 2009: le PFPDT dépose un recours contre Google Street View devant le Tribunal administratif fédéral eu égard au fait que 
" - les visages et les plaques d'immatriculation doivent être rendus totalement méconnaissables,
- les personnes se trouvant dans des zones sensibles doivent être anonymisées,
- aucune prise de vues n'est admise dans le domaine privé,
- Google doit faire connaître à l'avance les villages et les villes où des prises de vues vont avoir lieu et la date de leur mise en ligne."
(Source: PFPDT, "Action contre Google dans l'affaire Street View", section "Thèmes - Internet - Google Street View")

30 mars 2011: le Tribunal administratif fédéral fait droit aux demandes du PFPDT: 
"Dans son arrêt (A-7040/2009), le tribunal est parvenu aux conclusions suivantes concernant les demandes formulées dans l’action du préposé: 
- Avant la publication des images sur Internet, Google doit veiller à ce que les visages et les plaques de contrôle qui y figurent ne puissent pas être identifiés. A proximité d’établissements sensibles (prisons, hôpitaux, centres d’accueil pour femmes battues, etc.), l’anonymat doit par ailleurs être garanti par la suppression d’autres caractéristiques personnelles, comme la couleur de la peau, l’habillement, les moyens auxiliaires utilisés par des personnes handicapées, etc. (demandes 1 et 2 de l’action). 
- Google n’est pas autorisé à photographier des domaines privés comme des jardins ou des cours intérieures fermés, inaccessibles aux regards d’un passant ordinaire, et doit retirer de son site Street View les images de ce type déjà publiées ou obtenir le consentement des personnes concernées (demande 3). 
- Les prises de vues effectuées à partir d’un chemin privé ne sont autorisées que si ce dernier est rendu suffisamment méconnaissable et qu’aucun espace privé inaccessible aux regards d’un passant ordinaire n’y soit montré (demande 4). 
- Avant d’effectuer des prises de vues, Google doit également publier les informations pertinentes dans la presse locale et non se limiter à les publier sur le site Internet de Google Maps; il en va de même au moment où les images sont mises en ligne (demandes 5 et 6)."

31 mai 2012: suite à l'appel de Google, le Tribunal fédéral en arrive à la conclusion que: 

- concernant le fait de rendre "non reconnaissable l'ensemble des visages et des plaques d'immatriculation avant de les diffuser sur Internet, [...] qu'il ne se justifie pas d'exiger, avant la mise sur Internet, une anonymisation complète des visages et des immatriculations de véhicules sur Google Street View, en plus du floutage automatique" et ce, en raison "du fait qu'au plus 1% des images insuffisamment anonymisées sont mise en ligne et que, sur intervention des intéressés, celles-ci peuvent être floutées manuellement par la suite" (Source: Communiqué du Tribunal fédéral du 8 juin 2012) (nos soulignements);

- l'entreprise doit prendre les mesures nécessaires pour mieux informer les personnes concernées des mécanismes permettant de demander le floutage a posteriori des images ... cela doit se faire gratuitement, par voie électronique ou postale;

- "à proximité des établissement sensibles, notamment les écoles, hôpitaux, maisons de retraite, foyers d'accueil pour femmes, ainsi que les tribunaux et les prisons, une anonymisation complète des personnes et des signes distinctifs [i.e. couleur de la peau, vêtement, moyens auxiliaires pour handicapés, etc.] doit être effectuée avant la publication sur Internet" (Source: Communiqué du Tribunal fédéral du 8 juin 2012 et du PFPDT du 8 juin 2012) (nos soulignements);

- "les images d'espaces privées tels que cours clôturées, jardins, etc., à l'abri des regards des passants habituels, ne devraient pas être publiées sur Google Street View sans l'accord des intéressés dans la mesure où - comme c'est le cas jusqu'à présent - les appareils de prises de vue sont situés à plus de 2m de hauteur" ... pour ce faire le Tribunal fédéral accorde "un délai transitoire de trois ans pour la mise en conformité des images déjà publiées sur Internet, alors que les images nouvellement publiées doivent satisfaire immédiatement à cette condition" (Source: Communiqué du Tribunal fédéral du 8 juin 2012 et du PFPDT du 8 juin 2012) (nos soulignements);

- "le droit suisse s'applique également aux entreprises étrangères, dès lors qu'un lien étroit avec la Suisse existe. Street View relève ainsi de la compétence du [PFPDT]" (Source: Communiqué PFPDT du 8 juin 2012).


Voir également: