31 décembre 2013

Espagne: amende à l'encontre de Google en ce qui concerne sa politique de confidentialité

Le 19 décembre 2013, l'Agence espagnole de protection des données (AEPD) a rendu ses conclusions dans le cadre de la procédure de sanction ouverte en juin dernier (communiqué [en anglais] et billet) contre Google pour violation des principes énoncés dans la Ley Organica de Proteccion de Datos (LOPD - en espagnol / en anglais) quant à la politique de confidentialité de l'entreprise entrée en vigueur le 1er mars 2012. 

Ainsi, l'AEPD dans sa Resolución R/02892/2013 [en espagnol] condamne Google à une amende totalisant 900 000 euros pour violation: 
- de l'article 6.1 de la LOPD selon lequel le traitement des données personnelles exige le consentement de la personne concernée. Or, 
"AEPD’s inspection has demonstrated that Google collects personal information through nearly a hundred of services and products offered in Spain, in many cases not providing adequate information about what data is collected, what data is used for what purposes and without obtaining a valid consent of the data subjects. For example, Google does not inform clearly to users of Gmail that the content of mails and attached files is filtered with the aim to insert tailored advertising. Where Google does inform it uses vague terminology, with generic and unclear expressions that prevent users from knowing what they really mean [...] The result of that approach is an indeterminate and unclear Privacy Policy. The lack of adequate information, particularly about the specific purposes justifying the processing of data, renders meaningless a consent that in order to be valid should be specific and informed." 
- de l'article 4.5 de la LOPD relatif à la suppression des données personnelles lorsque celles-ci ne sont plus nécessaires ou utiles aux finalités pour lesquelles elles ont été collectées. Or, selon l'AEPD
"Contrary to the provisions of Spanish law, Google stores and maintains data for periods of time indeterminate or unjustified, thereby contravening the legal mandate to cancel data when it ceases to be necessary for the purpose which determined its collection. The conservation of the data indefinitely, beyond the requirements arising from the purposes alleged at the time of collection, constitutes unlawful data processing." 
- et des articles 15 et 16 de la LOPD relatifs aux droits d'accès et de rectification des personnes concernées étant entendu que: 
"[...] Google hinders - and in some cases prevents - the exercise of the rights of access, rectification, cancellation and opposition. The procedure that citizens have to follow to exercise their rights or to manage their own personal information requires them to access to an undetermined number of web pages, scattered in several links, that are not available for all types of users and, occasionally, with denominations that do not always refer to its real object. The Company itself recognizes that users must run at least seven different processes, and reserves the right to not respond to requests involving "a disproportionate effort"."  
Partant, en vertu de l'article 44.3 de la LOPD
- traiter des données sans le consentement des personnes concernées (par. b));
- conserver des renseignements personnels qui ne sont plus nécessaires ou utiles (par. c)); ou encore 
- entraver ou d'empêcher l'exercice du droit d'accès et de rectification aux personnes concernées (par. e)) 
constituent des infractions graves punissables d'une amende pouvant aller de 40001 à 300 000 euros conformément à l'article 45.2 de la LOPD. Dès lors, compte tenu des critères de l'article 45.4 ou encore du manque de collaboration de la part de Google avec les autorités de protection des données personnelles, l'AEPD a décidé d'imposer une amende de 300 000 euros pour chacune des infractions constatées. 
"Por otra parte, teniendo en consideración los criterios de graduación de las sanciones establecidos en el artículo 45.4, en concreto, el carácter continuado de las infracciones; el volumen masivo de datos personales que recaba y somete a tratamiento; la vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal, puesto que es una empresa que tiene como actividad la prestación de servicios a través de Internet y tiene un constante tratamiento de datos de carácter personal; su volumen de negocio o actividad; que la información personal relativa a los usuarios representa un factor importante en el desarrollo de la actividad empresarial de Google y en la obtención de beneficios, considerando el modelo económico de Google; que las infracciones son el resultado del sistema de recogida y tratamientos de datos diseñado intencionadamente por Google, cuya irregularidad ha sido puesta de manifiesto a la entidad durante toda la fase de investigación, y de la implantación de una política de privacidad deficiente, ineficaz y no ajustada a la normativa, en lo que Google ha mostrado una actitud contumaz desconociendo todos los requerimientos efectuados por las autoridades europeas que han participado en las actuaciones para que dicha política de privacidad no fuese aplicada; así como el perjuicio que dicho sistema causa a la privacidad de los usuarios; procede la imposición de las sanciones establecidas en el artículo 45.2 de la LOPD en su cuantía máxima, es decir, por importe de 300.000 euros (trescientos mil euros) por cada una de las infracciones."
(Source: AEPD, Resolución R/02892/2013, p. 137)
Et, l'AEPD exige que Google adopte, sans délai, des mesures pour se mettre en conformité avec la LOPD et qu'elle en soit avisée (Source: AEPD, Resolución R/02892/2013, p. 139)

À suivre donc ...

Pour aller plus loin, voir notamment: 

27 décembre 2013

CNIL: Recommandation sur les cookies

En adoptant la Délibération n°2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, la Commission nationale de l'informatique et des libertés (CNIL) entend "rappeler les principes qu'il conviendrait de respecter pour permettre l'utilisation [des cookies et autres traceurs] dans les conditions fixées par l'article 32-II" de la Loi informatique et libertés qui se lit comme suit:     
32-II. Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;   
- des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
Ainsi, en plus de préciser le champ d'application, les obligations respectives des éditeurs de sites et des émetteurs de cookies, les paramètres du navigateur, la durée de vie des cookies (i.e. "treize mois au minimum" - art. 5) ou encore le cas spécifique des cookies de mesure d'audience, la CNIL insiste, à l'article 2, notamment sur le fait que
- "les cookies nécessitant un recueil du consentement ne peuvent être déposés ou lus sur son terminal, tant que la personne n'a pas donné son consentement"; 
- "la validité du consentement est liée à la qualité de l'information reçue. Celle-ci doit être visible, mise en évidence et complète. [...]"; 
- "le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer".
Dès lors, pour répondre aux exigences de l'article 2, la CNIL "recommande une procédure de recueil du consentement en deux étapes: 
Dans la première étape, l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau :
  • des finalités précises des cookies utilisés ;
  • de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.
Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c'est-à-dire tant qu’elle ne s'est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton « rechercher »).

Ainsi, sauf consentement préalable de l’internaute, le dépôt et la lecture de cookies ne doivent pas être effectués :
  • si l’internaute se rend sur le site (page d'accueil ou directement sur une autre page du site à partir d'un moteur de recherche par exemple) et ne poursuit pas sa navigation : une simple absence d’action ne saurait être en effet assimilée à une manifestation de volonté ;
  • s’il clique sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, refuse le dépôt de cookies.
Dans la seconde étape, les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement :
  • pour l’ensemble des technologies visées par l’article 32-II précité ;
  • par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience.
La Commission souligne que la mise en œuvre de ce dispositif, si elle est de nature à répondre aux exigences posées par l’article 32-II de la Loi informatique et libertés, n’est pas exclusive d’autres modes plus renforcés de recueil du consentement."
(nos soulignements)
Et, pour permettre tant aux internautes qu'aux développeurs, éditeurs de service, régies publicitaires et autres réseaux sociaux de mieux appréhender les enjeux inhérents à l'utilisation des cookies et autres traceurs, la CNIL propose notamment des fiches pratiques, des outils et codes sources, des vidéo pédagogiques, des fiches conseils et un "logiciel [Cookiesviz] pour visualiser en temps réel le dépôt et la lecture des cookies lors d'une navigation" 

Pour plus de détails, voir notamment: 

17 décembre 2013

Monaco: les 20 ans de la Loi relative à la protection des informations nominatives

Pour souligner les 20 ans de la Commission de contrôle des informations nominatives (CCIN) et de la Loi n°1.165 relative à la protection des informations nominatives, l'autorité monégasque publie une bande dessinée intitulée Les aventures de la CCIN ... 20 ans déjà! 
"Pour fêter les 20 ans de la loi n°1.165 du 23 décembre 1993, la CCIN a décidé d'éditer une bande dessinée (BD) pédagogique. Parce qu'il n'y a pas d'âge pour aimer la BD, la CCIN a souhaité aborder de manière ludique des grands thèmes de la protection des données personnelles tels que les réseaux sociaux, la vidéosurveillance, les transferts de données vers l'étranger, et enfin la coopération internationale des autorités de protection des données personnelles membres du réseau  francophone." 
(Source: CCIN, "La CCIN ... 20 ans déjà!", Actualité)
Bonne lecture. 

8 décembre 2013

Monaco: la CCIN et ses pouvoirs de contrôle

En vertu de la Loi n°1.165 relative à la protection des informations nominatives modifiée en 2008, la Commission de contrôle des informations nominatives (CCIN) de la Principauté de Monaco dispose d'un "pouvoir de vérifications et d'investigations nécessaires au contrôle de la mise en œuvre des traitements [d'informations nominatives, soit "la collecte, l'enregistrement, l'organisation, la modification, la conservation, l'extraction, la consultation ou la destruction d'informations, l'exploitation, l'interconnexion ou le rapprochement, la communication d'informations par transmission, diffusion ou tout autre forme de mise à disposition" (art. 1 al. 3 de la Loi n°1.165)]". 

Ce pouvoir est prévu au Chapitre III - Du contrôle de la régularité des traitements et, plus précisément à l'article 18 qui se lit comme suit:  
Art. 18 - La commission de contrôle des informations nominatives fait procéder aux vérifications et investigations nécessaires au contrôle de la mise en œuvre des traitements soit par ses membres, soit par des agents de son secrétariats, soit par des investigateurs nommés par le président sur proposition de la commission et soumis aux obligations prévues à l’article 5-1. Les agents et les investigateurs sont commissionnés et assermentés à cet effet.
Les personnes mentionnées au précédent alinéa doivent être munies d’une lettre de mission du président de la commission de contrôle des informations nominatives précisant expressément le nom et l’adresse de la personne physique ou morale concernée, ainsi que l’objet de la mission, pour accéder aux locaux de celle-ci, pour procéder à toutes opérations de vérification nécessaires, pour consulter tout traitement, pour demander communication ou copie de tout document professionnel et pour recueillir auprès de toute personne compétente les renseignements utiles à leur mission. 
La visite de locaux et les opérations de vérification sur place ne peuvent avoir lieu qu’entre six et vingt et une heures et en présence de l’occupant des lieux, du responsable du traitement ou de son représentant ou, à défaut, d’un officier de police judiciaire requis à cet effet.
À l’issue de la visite et des opérations de vérification sur place, un compte rendu est établi par les personnes mentionnées au premier alinéa. Un exemplaire est remis à l’occupant des lieux, au responsable du traitement ou à son représentant ainsi qu’au président de la commission de contrôle des informations nominatives. 
En date du 25 octobre 2013, le Tribunal Suprême a jugé que ce pouvoir été inconstitutionnel non seulement dans deux requêtes  en annulation de décisions de la CCIN contre un opérateur de télécommunications et hébergeur de sites Internet et sa filiale (décision 1 (maison mère) et décision 2 (filiale)), mais aussi dans un recours tendant à déclarer que la CCIN. a fait une interprétation restrictive et, partant, inconstitutionnelle de l’article 18 de la loi n° 1.165 (décision 3). 

3 décembre 2013

AFAPDP: pour une plus grande transparence des pratiques gouvernementales lors de la collecte de données à caractère personnel

Les 21 et 22 novembre dernier (billet), la Commission Nationale de contrôle de la protection des données à caractère personnel (CNDP) du Maroc a accueilli la 7° conférence annuelle et la 7° assemblée générale de l'Association francophone des autorités de protection des données personnelles (AFAPDP). 
La présidence de l'AFAPDP est assurée par la Commission d'accès à l'information (CAI) du Québec, le secrétariat général par la Commission nationale de l'informatique et des libertés (CNIL) en France et les vice-présidents sont le Préposé fédéral suppléant à la protection des données et à la transparence en Suisse et la Commission de l’informatique et des libertés (CIL) du Burkina Faso. 

On peut lire dans le communiqué de presse que, lors de l'assemblée générale, les autorités membres de l'AFAPDP ont adopté 
"une Résolution visant à une plus grande transparence des pratiques des gouvernements, recommandant notamment aux gouvernements de soutenir l’adoption aux Nations Unies d’un instrument juridique contraignant de protection des données à caractère personnel et l’adhésion à la Convention n°108 du Conseil de l’Europe et à son protocole additionnel. 
Pour plus de détails,

18 novembre 2013

Canada (CSC): déclaration d'invalidité de la Personal Information Protection Act de l'Alberta

Le 15 novembre 2013, dans l'arrêt Alberta (Information and Privacy Commissioner) c. Travailleurs et travailleuses unis de l’alimentation et du commerce, section locale 401 (2013 CSC 62), la Cour suprême du Canada (CSC) a déclaré la Personal Information Protection Act (PIPA) de l'Alberta et son règlement d'application invalide. 

Avant de présenter l'analyse de la CSC, rappelons que l'intervention de la CSC s'inscrit dans le cadre d'un litige ayant "pris naissance lorsque le syndicat Travailleurs et travailleuse unis de l'alimentation et du commerce, section locale 401 a enregistré des vidéos et pris des photos de personnes en train de franchir sa ligne de piquetage, en vue de s'en servir par la suite dans le cadre de son conflit de travail" [par. 2] et ayant donné lieu au dépôt de plaintes auprès de l'Office of the Information and Privacy Commissioner (OIPC) de l'Alberta invoquant que "les activités du syndicat contrevenaient à la PIPA, qui restreint la faculté d'un certains nombres d'organismes de recueillir, d'utiliser et des communiquer des renseignements personnels" [par. 2].

L'arbitre mandaté par l'OIPC a donné gain de cause aux plaignants [par. 6]. Le syndicat a dès lors "formulé une demande de contrôle judiciaire dans laquelle il a allégué que la loi en question portait atteinte à la liberté d'expression que lui garantit l'al. 2b) de la Charte canadienne des droits et libertés et que cette atteinte n'est pas justifiée au sens de l'article premier [de la Charte]" [par. 2].

La juge en son cabinet, et par la suite la Cour d'appel, ont conclu au fait que "les activités du syndicat comportaient un contenu expressif et qu'il n'y avait aucune raison de les soustraire à la protection de l'alinéa 2b) [et que] la PIPA restreignait directement la liberté d'expression du syndicat en lui interdisant de recueillir, d'utiliser et de communiquer des renseignements personnels concernant des personnes alors qu'elles étaient à la vue du public. [Dès lors] cette violation ne pouvait se justifier au sens de l'article premier" [par. 7 et 8].
Et, la Cour d'appel a considéré "que la PIPA avait une portée trop large. En effet, d'une part, le droit au respect de la vie privée en jeu était mineur, puisque les plaignants se trouvaient dans un lieu public, qu'ils franchissaient une ligne de piquetage et qu'ils étaient avisés que des images étaient recueillies. D'autre part, il fallait tenir compte du droit des travailleurs de négocier collectivement et de celui du syndicat de communiquer avec le public" [par. 8].

Partant, pour déterminer si la PIPA est ou non constitutionnelle, la CSC a dû répondre aux deux questions suivantes:

17 novembre 2013

Canada (CSC): une autorisation expresse préalable est nécessaire pour pouvoir fouiller un ordinateur (et un téléphone cellulaire)

Le 7 novembre 2013, dans l'arrêt R. c. Vu (2013 CSC 60), la Cour suprême du Canada (CSC) s'est prononcé dans une affaire dans laquelle "l'ère du numérique et de l'Internet rencontre le droit relatif aux fouilles, perquisitions et saisies" [par. 1] et, qui soulève la question de savoir si un mandat de perquisition obtenu par des policiers les autorise à fouiller les ordinateurs et les téléphones cellulaires trouvés sur les lieux ou si une telle fouille nécessite une autorisation expresse préalable.

La CSC, même si elle souscrit à la proposition générale de la Cour d'appel selon laquelle "une autorisation expresse préalable de fouiller tout ce qui se trouve dans un lieu en question n'est pas requise" [par. 23], considère néanmoins que "les intérêts en matière de respect de la vie privée que met en jeu la fouille des ordinateurs différent nettement de ceux en cause lors de la fouille de contenants tels des placards et des classeurs. En effet, les ordinateurs sont susceptibles de donner aux policiers accès à de vastes quantités de données sur lesquelles les utilisateurs n'ont aucune maîtrise, dont ils ne connaissent peut-être même pas l'existence ou dont ils peuvent avoir choisi de se départir, et qui d'ailleurs pourraient fort bien ne pas se trouver concrètement dans le lieu fouillé. [Ainsi] considérés au regard des objectifs visés par l'art. 8 de la Charte, ces facteurs commandent l'obtention d'une autorisation expresse préalable" [par. 24].
Charte canadienne des droits et libertés
art. 8 - "Chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives".

11 novembre 2013

Kazakhstan: adoption (et entrée en vigueur prochaine) d'une loi sur la protection des données personnelles

On peut lire sur Privacy and Information Security Law Blog qu'en mai dernier le Kazakhstan a adopté une loi sur la protection des données personnelles (On Personal Data and Their Protection), laquelle entrera en vigueur le 26 novembre prochain. 
"On November 26, 2013, Kazakhstan’s new data privacy law, On Personal Data and Their Protection, will come into effect. The law was passed on May 21, 2013. Kazakhstan is the second country in Central Asia to enact a data privacy law, joining the Kyrgyz Republic, which passed the Law on Personal Data in 2008.
The stated purpose of the Kazakhstan law is the protection of human rights in the collection and processing of personal data. Currently, the protection of personal data in Kazakhstan is regulated by sector and the new law will work alongside the existing regulatory framework. Although an official English version of the law has not yet been released, available analyses indicate that the law applies in both the public and private sectors. The law imposes requirements on database operators and other information collectors relating to purpose limitation, notice, consent, access and correction, destruction of data, security and onward transfer restrictions, including export limitations.
The law does not establish a data protection authority. Each state agency is required to develop and supervise data protection within the industry or government sectors for which it is responsible."
(Source: Privacy and Information Security Law Blog, "Kazakhstan Enacts Data Privacy Law", November 5, 2013)

9 novembre 2013

Internet et l'analyse de votre comportement

Si vous vous demander si votre comportement est analysé sur Internet, l'article "Facebook à la chasse aux souris" paru dans Libération vous intéressera. 

L'auteure Camille Gévaudan insiste non seulement sur les données démographiques "fournies volontairement par les membres du réseau social", mais surtout sur les données comportementales qui "sont récupérées par le site à [l'insu des membres], en surveillant automatiquement et systématiquement toutes leurs actions en ligne" ... et elle continue en disant que ces dernières données "ont une valeur inestimable pour Facebook, qui cherche actuellement à augmenter leur volume dans de larges propositions, et notamment en instaurant un pistage du curseur des internautes, pour savoir précisément quelle zone de l'écran attire leur souris à chaque instant". 
Ce "système de détection de position du curseur et de défilement des pages à l'écran" dont parle l'auteure s'inscrit au nombre des mécanismes utilisés par les entreprises pour anticiper les besoins de leurs clients. 

Cette problématique du profilage à des fins de publicité interpellent les autorités de protection des données personnelles comme l'illustrent notamment la Résolution sur le profilage adoptée lors de la 35° Conférence internationale des commissaires à la protection des données et de la vie privée (billet), les contrôles menés à l'endroit de PayPal en France et de Bell au Canada (billet) ou encore la fiche d'information sur le profilage et la publicité ciblée que vient de publier la Commission d'accès à l'information du Québec. 

23 octobre 2013

France (PayPal) et Canada (Bell): enquête sur des politiques de confidentialité

Les politiques de confidentialité sont un outil permettant aux organismes publics et aux entreprises d'informer les internautes de leurs engagements en matière de protection des renseignements personnels. Lorsque ces politiques sont modifiées, des questions peuvent se poser notamment quant au consentement, à la collecte de nouveaux renseignements, à la communication de ceux-ci à de nouveaux partenaires ou encore à leur utilisation projetée. Certaines modifications peuvent passer inaperçues, d'autres font l'objet d'enquête par les autorités de contrôles comme dans le cas de Google, de Facebook ou dernièrement de PayPal en France ou de Bell au Canada. 

En ce qui concerne PayPal, un service de paiement en ligne, on peut lire sur le site de la Commission nationale de l'informatique et des libertés que: 
"Les principales modifications du " règlement relatif à la vie privée ", qui s'adresse tant aux e-commerçants qu'aux utilisateurs particuliers, portent sur :
- la collecte par PAYPAL de nouvelles données (exemple : géolocalisation des points de ventes acceptant le paiement Paypal et des utilisateurs connectés, service " Paypal Here ") ;
- l'ajout de nouveaux destinataires des données : transmission de tout ou partie des données collectées à de nouveaux organismes ayant pour activité de lutter contre la fraude ou de procéder à des actions de marketing (publicité ciblée) ;
- la transmission d'un nombre plus important de données à certains destinataires tels que Facebook.
Dans le cas où les utilisateurs refuseraient ces modifications, ils sont invités par PAYPAL à fermer définitivement leur compte (cf. information sur le site internet de PAYPAL : "prochaines mises à jour des règlements"). 
La CNIL a décidé d'opérer un contrôle du service de paiement en ligne PAYPAL, actuellement en cours."
En ce qui concerne Bell, une entreprise de télécommunications, on peut lire sur le site du Commissariat à la protection de la vie privée du Canada que: 
"Le Commissariat à la protection de la vie privée du Canada a reçu des plaintes concernant un avis communiqué par Bell Canada qui soulève des préoccupations relatives au profilage des utilisateurs, à la publicité comportementale en ligne et à la protection des renseignements personnels.  Nous ferons enquête.
L’enquête visera à déterminer si les changements prévus dans la façon dont l’organisation traite les renseignements personnels de ses clients sont conformes à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale qui régit la collecte, l’utilisation et la communication des renseignements personnels dans le cadre d’activités commerciales.
Puisque la commissaire à la protection de la vie privée enquête sur cette question au nom des Canadiens, les membres du public n’ont pas besoin de présenter des plaintes en vue d’une enquête complète.
La commissaire pourra décider de rendre publics les résultats de l’enquête, une fois que celle-ci sera achevée, si elle juge que cela est dans l’intérêt du public.
Le Parlement a conféré au Commissariat le mandat d’agir comme ombudsman et comme gardien du droit à la vie privée au Canada".

À suivre donc ...

20 octobre 2013

Californie: nouvelle protection pour les mineurs

Le 23 septembre 2013, le gouverneur de la Californie a sanctionné le projet de loi SB 568 adopté, fin août, à l'unanimité par le Parlement. La Division 8 du California Business and Professions Code contiendra désormais un Chapitre 22.1 intitulé "Privacy Rights for California Minors in the Digital World". 

Ce nouveau chapitre comprend deux sections
- la première (22580) vise à interdire aux opérateurs de services en ligne ou encore d'applications mobiles de diffuser certaines publicités auprès des mineurs, soit toute personne de moins de 18 ans. Ainsi selon la section 22580 (i), cette interdiction vise notamment les boissons alcoolisées, les armes à feu ou de poing, la peinture en aérosol susceptible de détériorer la propriété, le tabac, les cigarettes électroniques, les feux d'artifice ou encore les suppléments alimentaires.  

- la seconde (22581) vise à permettre aux mineurs de supprimer des images ou du texte qu'ils ont mis en ligne. Il convient toutefois de préciser que cette possibilité n'est pas absolue. Seules les informations postées par le mineur pourront être supprimées. Ainsi, si ces informations ont été publiées par un tiers ou reprises sur un autre site Web, elles ne pourront pas être effacées. Et, les images qui ne permettent pas d'identifier le mineur ou pour lesquelles il a reçu une compensation ne pourront pas être supprimées.   
Ce chapitre, comme mentionné à la section 22582 entrera en vigueur le 1er janvier 2015 ... à suivre donc.  

Pour aller plus loi: 

9 octobre 2013

Canada: pour une modernisation des lois sur l'accès à l'information et sur la protection des renseignements personnels

Lors de l'assemblée annuelle des autorités fédérales, provinciales et territoriales qui s'est tenue à Vancouver (Colombie-Britannique), les commissaires et ombudsmans ont adopté, le 9 octobre 2013, une résolution appelant à la modernisation des lois sur l'accès à l'information et sur la protection des renseignements personnels. 
"Il conviendrait de moderniser les lois sur l’accès à l’information et la protection des renseignements personnels du Canada pour protéger ces droits de première importance compte tenu des bouleversements technologiques et des pressions exercées par les citoyens engagés, ont souligné les autorités chargées de la protection de l’accès à l’information et de la vie privée dans une résolution conjointe publiée aujourd’hui.
Dans leur résolution, les commissaires et ombudsmans à l’information et à la protection de la vie privée de toutes les régions du pays encouragent vivement les gouvernements fédéral, provinciaux et territoriaux à mettre à jour leurs lois respectives.
Ils font observer que les révélations récentes concernant les programmes de surveillance du gouvernement ont avivé les préoccupations des Canadiens à l’égard de l’érosion de leur droit à la vie privée et ont suscité des appels en faveur d’une plus grande transparence et d’une supervision accrue.
Ailleurs dans le monde, les lois sur l’accès à l’information et la protection de la vie privée ont été renforcées en fonction des réalités du XXIe siècle, et le Canada ne doit pas être en reste, ont-ils ajouté. [...]
La résolution présente un certain nombre de réformes à examiner, notamment :
- déterminer le moment où les personnes doivent être prévenues lorsque leurs renseignements personnels ont été perdus, volés ou consultés sans autorisation et établir la façon dont cet avis sera formulé;
- instaurer l’obligation prescrite par la loi de documenter les débats, les actions et les décisions des organismes publics pour promouvoir la transparence et la responsabilisation;
- doter les organismes de réglementation de puissants pouvoirs de surveillance et d’application de la loi, notamment la possibilité de prendre des ordonnances exécutoires et des sanctions en cas de non-conformité.
La résolution a été adoptée lors de l’assemblée annuelle des commissaires et des ombudsmans à l’information et à la protection de la vie privée des gouvernements fédéral, provinciaux et territoriaux de tout le Canada."
(Source: Commissariat à l'information du Canada, Communiqué de presse du 9 octobre 2013)
La résolution (lien pointant vers le site du Commissariat à la protection de la vie privée du Canada) est accessible sur les différents sites des commissaires et ombudsmans à l'information et à la protection des renseignements personnels.

6 octobre 2013

Manitoba: adoption (et sanction) du projet de loi 211 sur la protection des renseignements personnels et la prévention du vol d'identité

Le Projet de loi 211 - Loi sur la protection des renseignements personnels et la prévention du vol d'identité, adopté par l'Assemblée législative du Manitoba, a reçu la sanction royale le 13 septembre 2013. Toutefois cette Loi n'est pas encore en vigueur (ajout).

Il a pour objet "de régir la collecte, l'utilisation et la communication de renseignements personnels par les organisations d'une manière qui tienne compte à la fois du droit des particuliers à la protection de leurs renseignements personnels et du besoin des organisations de recueillir, d'utiliser et de communiquer de tels renseignements à des fins raisonnables" (art. 3)

Ainsi, il est notamment prévu qu'une organisation 
  • "est responsable des renseignements personnels qui relèvent de son autorité" (art. 5(1))
  • "désigne un ou plusieurs particuliers qu'elle charge de veiller au respect de la [loi]" (art. 5(3))
  • "établit et applique des politiques et pratiques raisonnables pour s'acquitter des obligations qui lui incombent" (art. 6(a))
  • doit, sauf disposition contraire, obtenir le consentement des personnes concernées avant de recueillir, utiliser et communiquer leurs renseignements personnels (art. 7 et s.)
  • ne peut recueillir (art. 11 et s.), utiliser (art. 16 et s.) et communiquer (art. 19 et s.) des renseignements personnels qu'à des fins raisonnables, 
  • doit reconnaître aux personnes concernées un droit d'accès à leurs renseignements personnels, et le cas échéant de correction (art. 23 et s.)
  • doit déployer "des efforts raisonnables pour faire en sorte que les renseignements personnels recueillis, utilisés ou communiqués par elle ou pour son compte sont exacts et complets (art. 33)
  • doit prendre "des mesures de sécurité raisonnables contre les risques tels l'accès, la collecte, l'utilisation, la communication, la reproduction, la modification, l'aliénation ou la destruction non autorisés" (art. 34)
En plus de retrouver les principes de protection des renseignements personnels énoncés dans plusieurs autres lois, ce texte contient également une dérogation concernant les opérations commerciales (art. 22 et s.) et l'obligation pour une organisation "d'aviser [dès que possible] un particulier si des renseignements personnels le concernant [...] sont volés ou perdus ou si ces renseignements font l'objet d'un accès non autorisé" (art. 34(2))

Par cette dernière disposition, l'Assemblée législative du Manitoba fait écho à une tendance marquée, ici et ailleurs, vers les déclarations obligatoires des incidents de sécurité impliquant des renseignements personnels. À ce sujet, ne serait-ce qu'au Canada, voir notamment l'article 34.1 du Personal Information Protection Act de l'Alberta, les projets de loi C-12 et C-475 déposés à la Chambre des communes lors de la 1ère session de la 41° législature du Parlement du Canada ou encore les recommandations 7 à 9 du Rapport quinquennal 2011 de la Commission d'accès à l'information du Québec. 

Et, avec cette loi, le Manitoba rejoint l'Alberta, la Colombie-Britannique et le Québec qui ont adopté des lois régissant la protection des renseignements personnels dans le secteur privé. Ces trois lois provinciales ont été reconnues comme offrant un niveau de protection essentiellement similaire à la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ). 

Il faudra donc surveiller la réaction du gouverneur en conseil face à l'adoption de cette loi, étant entendu qu'il peut, par décret, "s'il est convaincu qu'une loi provinciale [est] essentiellement similaire à la [LPRPDÉ], exclure l'organisation [...] de l'application de la [LPRPDÉ] à l'égard de la collecte, de l'utilisation ou de la communication de renseignements personnels qui s'effectue à l'intérieur de la province en cause" (art. 26(2)b) LPRPDÉ).

À suivre donc ...

29 septembre 2013

Pologne: déclaration et résolutions adoptées lors de la 35° conférence internationale des commissaires à la protection des données et de la vie privée

1. Du 23 au 26 septembre 2013, les commissaires à la protection des données et de la vie privée se sont réunis à Varsovie (Pologne) lors de la 35° Conférence internationale.

2. Cette conférence a été l'occasion pour les commissaires de discuter de différentes problématiques, dont celle inhérente aux applications mobiles. 

Ainsi, faisant écho, entre autres, aux guides et autres avis rendus par la Federal Trade Commission (billets 1 et 2), le Commissariat à la protection de la vie privée du Canada (CPVPC) (billet) ou le Groupe de l'article 29 (billet), les commissaires ont adoptés la Déclaration de Varsovie sur l'"applification" de la société (en anglais / en français (la traduction française des documents est issue du site du CPVPC)).

Par cette déclaration, les commissaires "[s'engagent] à veiller à ce que les utilisateurs jouissent d'une meilleure expérience en matière de protection de la vie privée, et [ils comptent] discuter avec divers intervenants des secteurs public et privé de leurs rôles et responsabilités". 

Partant, les commissaires rappellent que les développeurs d'applications doivent non seulement "prendre en considération la protection de la vie privée au tout début de la conception d'une application" mais aussi "prendre une décision claire concernant les renseignements qu’ils jugent nécessaires au bon fonctionnement de l’application et s’assurer qu’aucun autre renseignement personnel n’est recueilli sans le consentement éclairé de l’utilisateur". 
Ils insistent aussi sur le fait que "les fournisseurs de systèmes d'exploitation devraient être responsables de leurs plateformes, [notamment en ayant "recours à des sceaux de confidentialité ou à toute autre méthode de certification applicable"]". 

Et, il est prévu que "pendant l'année à venir, les commissaires à la protection des données et de la vie privée du monde entier comptent s'employer à franchir des étapes importantes en vue d'améliorer la protection des données et de la vie privée dans ce domaine, et ils aborderont de nouveau ce sujet à leur 36° conférence, en République de Maurice". 

3. Les commissaires ont également adoptés les résolutions suivantes:  
- Résolution sur le profilage (en anglais / en français) 

Conscients des avantages et des risques liés au profilage et, après avoir rappelé la Déclaration sur le profilage (anglais) adoptée lors de la 34° conférence internationale en Uruguay, les commissaires   
"exhorte[nt] toutes les parties qui effectuent du profilage:
1. à déterminer clairement la nécessité et l’utilisation pratique de chaque activité de profilage et à s’assurer de mettre en place des mesures de sécurité adéquates avant d’entreprendre le profilage;
2. à limiter, conformément au principe de la protection de la vie privée dès l’étape de la conception, les hypothèses et la quantité de données recueillies au niveau nécessaire aux fins licites prévues et, s’il y a lieu, à s’assurer que les données sont suffisamment exactes et à jour pour les fins prévues;
3. à s’assurer que les profils et les algorithmes sous-jacents sont validés en continu pour permettre d’améliorer les résultats et de réduire le nombre de résultats faussement positifs ou négatifs;
4. à informer la société des activités de profilage dans la mesure du possible, y compris de la façon dont les profils sont établis et des fins auxquelles ils sont utilisés, afin que les individus puissent conserver, le plus possible et s’il y a lieu, la maîtrise de leurs renseignements personnels;
5. à s’assurer, surtout en ce qui a trait aux décisions ayant des répercussions juridiques importantes sur des personnes ou influant sur leurs avantages ou leur statut, que ces personnes sont informées de leur droit de consulter et de corriger leurs renseignements personnels et d’avoir recours à une intervention humaine s’il y a lieu, surtout si l’on tient compte de la capacité prédictive toujours plus grande du profilage en raison de l’efficacité croissante des algorithmes;
6. à s’assurer que toutes les activités de profilage font l’objet d’une surveillance appropriée."
(Source: Traduction du CPVPC) 
- Résolution sur la coordination de l’application de la loi à l’échelle internationale (en anglais / en français)

Rappelant les résolutions adoptées lors des 29°, 33° et 34° conférence internationales sur la coopération internationale, les travaux menés par plusieurs réseaux regroupant les autorités de protection (APEC, GPEN, OCDE, Conseil de l'Europe, Groupe de l'article 29, les réseaux francophone et ibérico-américain), les commissaires "décide[nt] d'encourager davantage les efforts visant à assurer une coordination des enquêtes transnationels et une application de la loi plus efficaces dans les cas appropriés" et, notamment de présenter pour adoption lors de la 36° conférence un document présentant "une approche commune pour le traitement des dossiers transnationaux et la coordination de l'application de la loi". (Source: Traduction du CPVPC)

- Résolution sur l’inscription de la protection des données et de la protection de la vie privée dans le droit international (en anglais / en français) 

Rappelant les déclarations / résolutions adoptées lors des 27°, 28°, 30°, 31° et 32° Conférence internationale, les commissaires sont d'avis "qu’il est urgent de mettre en place un accord juridiquement contraignant sur la protection des données qui garantirait le respect des droits de l’homme grâce à la protection de la vie privée, des renseignements personnels et de l’intégrité des  réseaux, en plus d’accroître la transparence des processus relatifs au traitement des données, en tenant compte, de façon équilibrée, de la sécurité, des intérêts économiques et de la liberté d’expression" et, ils décident "d'enjoindre les gouvernements à promouvoir l'adoption d'un protocole additionnel à l'article 17 du Pacte international relatif aux droits civils et politiques". (Source: Traduction du CPVPC)

ll est à noter que la Federal Trade Commission s'est abstenue lors du vote de cette résolution.

- Résolution sur la transparence des pratiques en matière de renseignements personnels (en anglais / en français) 

Rappelant la résolution adoptée lors de la 25° conférence internationale et reconnaissant la nécessité pour les organismes publics et les entreprises d'adopter des pratiques et des politiques claires et simplifiées en matière de protection des renseignements personnels et de les diffuser pour (re)donner confiance aux indivudus, les commissaires
"convien[nen]t de faire ce qui suit:  
1. Exhorter les organisations qui recueillent des renseignements personnels à expliquer les fins auxquelles ils sont recueillis, à indiquer le nom et les coordonnées de l’organisation ou de la personne responsable, et à préciser la marche à suivre pour demander l’accès à ces renseignements ou les faire corriger;
2. Exhorter les organisations à fournir de l’information utile sur leurs politiques et leurs pratiques en matière de collecte de données dans un langage clair et simple, dans un format facilement accessible, et en tenant compte des caractéristiques des individus auxquels les renseignements se rapportent et de la méthode de collecte;
3. Exhorter les organisations, les autorités chargées de la protection des données et de l’application des lois en matière de protection de la vie privée ainsi que les gouvernements à se pencher sur l’utilité des sceaux d’accréditation, de la certification et des marques de confiance en matière de protection de la vie privée pour renseigner les utilisateurs et les aider à faire des choix plus éclairés;
4. Exhorter les gouvernements à faire preuve d’une plus grande transparence en ce qui concerne leurs pratiques de collecte de renseignements, tout en tenant compte des considérations pertinentes relatives à la sécurité nationale, à la sécurité publique et à la politique publique, dans le but de renforcer l’obligation de rendre des comptes à l’intérieur d’une démocratie et d’assurer le plein exercice du droit fondamental à la vie privée."
(Source: Traduction du CPVPC)  
Il est à noter que la Federal Trade Commission s'est abstenue lors du vote de cette résolution

- Résolution sur une éducation au numérique pour tous (en anglais / en français) 

Rappelant plusieurs instruments internationaux ou encore les résolutions adoptées lors des 30° et 32° conférences internationales, les commaissaires reconnaissent "que le numérique fait aujourd'hui partie de notre vie quotidienne" et qu'il "soulève des défis nouveaux en matière de protection des données et de la vie privée et que le cadre juridique ne peut, à lui seul, apporter toutes les réponses et garanties demandées". Partant, les commissaires "considèrent qu'il est indispensable de faire ce qui suit, [à savoir] promouvoir sans attendre un culture générale du numérique [...] et d'agir ensemble, en collaboration avec tous les acteurs concernés, car il s'agit d'une responsabilité partagées". (Source: Traduction du CPVPC) 

- Résolution sur le suivi sur le Web et la protection de la vie privée (en anglais / en français) 

Reconnaissant les avantages et les risques liés au suivi sur le Web, les commissaires
"exhortent toutes les parties prenantes:  
- à respecter le principe de la limitation des fins;
- à aviser les utilisateurs de l’utilisation d’éléments de suivi, y compris de l’établissement d’empreintes à l’aide d’un appareil et du navigateur, et leur permettre d’avoir la maîtrise de ces éléments;
- à s’abstenir d’utiliser des dispositifs de suivi invisibles à des fins autres que la sécurité et le dépistage des fraudes, ou la gestion du réseau;
- à s’abstenir  d’établir par dérivation un ensemble d’éléments d’information (empreintes) dans le but d’identifier et de surveiller des utilisateurs à des fins autres que la sécurité et le dépistage des fraudes, ou la gestion du réseau;
- à faire preuve de la transparence appropriées au sujet de tous les types de pratiques de suivi sur le Web afin de permettre aux consommateurs de faire des choix éclairés;
- à offrir aux utilisateurs des outils conviviaux leur permettant de maîtriser adéquatement la collecte et l’utilisation de leurs renseignements personnels;
- à s’abstenir d’effectuer un suivi de l’activité en ligne d’enfants ou sur les sites Web destinés aux enfants, à moins qu’il ne soit possible de vérifier qu’un parent a consenti au suivi;
- à respecter le principe du respect de la vie privée dès la conception et à réaliser une évaluation des facteurs relatifs à la vie privée au début de nouveaux projets;
- à utiliser des techniques qui réduisent les répercussions sur la vie privée, notamment la dépersonnalisation et l’utilisation de pseudonymes;
- à promouvoir l’adoption de normes techniques visant à conférer aux utilisateurs une meilleure maîtrise (p. ex. la norme d’interdiction de suivi)". 
(Source: Traduction du CPVPC)
Il est à noter que la République de Slovénie et la France se sont abstenues lors du vote de cette résolution.
4. Cette conférence a également été l'occasion de discuter des priorités stratégiques pour 2014-2015 (Résolution sur l'orientation stratégique de la Conférence - en anglais / en français) et d'accréditer de nouvelles autorités de protection à titre de membres, à savoir les autorités de la République de Maurice, du Kosovo et de Buenos Aires (Argentine) (Résolution d'accréditation - en anglais / en français).

27 septembre 2013

CNIL: vers des sanctions contre Google en ce qui concerne sa politique de confidentialité

Le 20 juin 2013, aux termes de la décision 2013-025, la Commission nationale de l'informatique et des libertés (CNIL) a mis en demeure Google, relativement à sa politique de confidentialité, de se conformer aux dispositions de la Loi "Informatique et Libertés" dans les trois mois (billet)

Le délai prenait fin le 20 septembre 2013. Et, on peut dès lors lire sur le site de la CNIL que 
"au dernier jour du délai de 3 mois accordé à la société Google Inc., la société conteste le raisonnement de la CNIL et notamment l'applicabilité de la loi Informatique et Libertés aux services utilisés par des résidents en France. Elle n'a donc pas effectué les modifications demandées. Dans ce contexte, la présidente de la CNIL va désigner un rapporteur aux fins d'engager une procédure formelle de sanction, telle que prévue par la loi Informatique et Libertés".  

À suivre donc ...

22 septembre 2013

OCDE: amendement des Lignes directrices de 1980 (protection de la vie privée et flux transfrontières de données à caractère personnel)

Le 11 juillet 2013, l'Organisation de Coopération et de Développement Économiques (OCDE) a amendé les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel adoptées le 23 septembre 1980.

Avant de mettre l'accent sur certains des amendements, mentionnons que les Lignes directrices s'appliquent aussi bien au secteur public que privé (art. 2), qu'il convient de les considérer "comme des normes minimales susceptibles d'être complétées par d'autres mesures visant à protéger la vie privée et les libertés individuelles, mesures qui peuvent avoir des incidences sur les flux transfrontières de données à caractère personnel" (art. 6, amendé en 2013) et, que les principes qui y sont mis de l'avant "se complètent et doivent être considérés comme un tout" (art. 3). 

Les principes énoncés à la Partie Deux. Principes fondamentaux applicables au plan nationale des Lignes directrices amendées sont identiques à ceux énoncés en 1980. Ces principes, repris par différentes législations relatives à la protection des données à caractère personnel / des renseignements personnels, sont les suivants: 
  • principe de la limitation en matière de collecte, 
  • principe de la qualité des données, 
  • principe de la spécification des finalités, 
  • principe de la limitation de l'utilisation, 
  • principe des garanties de sécurité, 
  • principe de la transparence, 
  • principe de la participation individuelle, 
  • principe de la responsabilité. 

8 septembre 2013

Pologne et Maroc: deux conférences pour les autorités de protection des données

[Publié le 08/09/2013 à 11:39 - Complété le 08/09/2013 à 12:20 - Ajout le 23/10/2013 à 22:37]

Cet automne la 35° conférence internationale des commissaires à la protection des données et de la vie privée (programme) se tiendra à Varsovie (Pologne) du 23 au 26 septembre prochain. Les discussions porteront sur les thèmes suivants: 
- Les réformes dans le monde entier. L'interopérabilité entre les régions 
- La protection des données personnelles et la technologie   
- Les principaux acteurs : perspectives, rôles, intérêts
Quelques semaines après, les autorités francophones se rencontreront, les 21 et 22 novembre à Marrakech (Maroc), lors de la 7° conférence de l'Association francophone des autorités de protection des données personnelles (AFAPDP) (programme à venir ajouté le 23/10/2013)

Cette 7° conférence de l'AFAPDP est organisée en collaboration avec la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP) du Maroc: 
"A l’invitation de la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP), l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP), organise les 21 et 22 novembre prochains à Marrakech,  la septième Conférence des Autorités de contrôle."
(Source: CNDP - 7° conférence de l'AFAPDP)
Rappelons que la CNDP a été constituée, en août 2010, suite à l'adoption en 2009 de la loi n°09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

À l'instar du Maroc d'autres pays africains ont également adopté une loi de protection des données personnelles. Il en va notamment ainsi du Cap Vert (Loi n°113/V/2001), de la Tunisie (Loi 2004-63), du Burkina Faso (Loi 010-2004/AN), de Maurice (Loi n°13-2004), du Sénégal (Loi 2008-12), du Bénin (Loi 2009-09), du Gabon (Loi n°001-2011) ou encore de l'Afrique du Sud (2013 - sanction présidentielle à venir (billet)). 

À suivre ...