28 avril 2013

CNIL: rapport d'activité 2012

Dans l'avant-propos du Rapport d'activité 2012 qui vient d'être publié, Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (CNIL), donne le ton: celui de l'audace
"Interrogée à mi-année sur le mot qui décrivait le mieux l'état d'esprit qui devait guider la CNIL en 2012, j'avais parlé d'audace. C'est cette audace qui devait nous permettre d'innover, de repenser la régulation, de renouveler notre action et nos outils pour faire face aux différentes mutations structurelles liées au développement du numérique."
(Source: Rapport d'activité 2012, p. 4)
Cette audace s'illustre au travers les activités / actions de la CNIL en 2012, notamment : 
  • information du public: intervention dans les médias tous les vendredis (Partenariat France Info), mise en place de vidéos visant à sensibiliser les jeunes aux enjeux des réseaux sociaux, de tutoriels sur les smartphones ou encore sur comment limiter ses traces sur Internet, publications de guides (téléphonie, vidéosurveillance/vidéoprotection (p. 40-41), gestion des risques sur la vie privée (p. 43), par exemple), présence sur les réseaux sociaux, etc.
  • délivrance de "labels CNIL" qui, d'une part, "permet[tent] aux organismes de se distinguer en garantissant un haut niveau de protection des données" et, d'autre part, constituent "pour les utilisateur, (...) un indicateur de confiance qui permet ainsi d'identifier et de privilégier les organismes respectueux de leurs données" (p. 36).
  • reconnaissance du rôle essentiel des correspondants "Informatique et Libertés", rôle "consacré par le projet de Règlement européen" (p. 38-39).
  • réception et le traitement des notifications de violation de données personnelles - même si en 2012, le nombre de notification est faible compte tenu du fait "que les modalités de mise en oeuvre de cette nouvelle obligation n'ont été que récemment fixées", la CNIL est d'avis que "dans les mois et les années à venir, cette nouvelle mission aura des conséquences sensibles sur l'activité de la CNIL qui devra non seulement traiter les notifications des fournisseurs de services de communications électroniques, mais également accompagner ces derniers dans l'appréciation et la mise en oeuvre de mesures de protection efficaces" (p. 52-53).
  • réflexion autour de la modernisation de la Convention 108 du Conseil de l'Europe, des Lignes directrices de l'OCDE, mais surtout du cadre européen de protection des données personnelles (p. 65-66)
    Concernant le cadre européen, la CNIL rappelle qu'elle voit une source d'insécurité juridique dans le fait que 
    • "lorsqu['une] entreprise a des établissements dans plusieurs États membres, l'autorité du pays de l'établissement principal de l'entreprise aurait, selon le projet initial, une compétence exclusive";
    • les entreprises pourraient "encadrer les transferts de données hors UE grâce à des instruments juridiques non contraignants ou résultant d'une autoévaluation des risques par le responsable de traitement"; ou encore
    • la Commission européenne se voit octroyer le pouvoir "d'adopter des actes délégués et d'exécution dans un nombre important de domaines"
Cette audace se retrouve également dans les différentes études menées par la CNIL, plus particulièrement celles ayant trait à la place des photos dans la vie numérique (p. 16-19), à l'informatique en nuage (p. 28-29), aux compteurs communicants (p. 32-34), aux règles de confidentialité de Google (p. 67-68), à la vie privée à l'horizon 2020 (p. 70-72)

Elle se reflète enfin dans les sujets de réflexion mis de l'avant par la CNIL pour 2013, à savoir: 
  • le concept de big data (p. 80-82): la CNIL rappelle que "les opportunités offertes par le Big Data sont aujourd'hui majoritairement valorisées dans le domaine du marketing et de la publicité pour des usages d'analyse des données sur le comportement des consommateurs dans le but de mieux anticiper leurs attentes" et que "dans le domaine de la sécurité publique, il s'agit d'agréger et d'analyser un ensemble de données sans le but de détecter les comportements "anormaux" et d'anticiper les menaces criminelles". 
    Partant "l'extrême diversité des données susceptibles d'être analysées, la puissance de calcul permise par les technologies du Big Data, combinées aux capacités de stockage offertes par le cloud conduisent ainsi à s'interroger sur l'effectivité des principes "Informatique et Libertés" appliqués au Big Data ... ou encore "la démocratisation de l'accès à cette puissance de calcul autorise de telles potentialités de croisement et de recoupement de données (pour beaucoup cependant anonymes au départ) qu'elles ouvrent bien évidemment des possibilités infinies de profilage voire de ré-identification des personnes. L'eldorado du Big Data est constitué par ces informations qui ne sont pas nominatives a priori mais qui, grâce au volume de traces ou d'informations en réseaux combinées à d'autres sources, permettent de créer de nouvelles données directement ou indirectement nominatives. En ce sens les technologies du Big Data questionnent l'effectivité des techniques d'anonymisation".
  • le droit à l'oubli numérique (p. 83-84): la CNIL considère qu'"il est nécesaire de s'interroger collectivement sur l'effectivité réelle de ce droit à propos duquel s'exprime une demande social importante", notamment en examinant la possibilité "d'offrir aux utilisateurs des fonctionnalités leur permettant de définir une date de "péremption" de leurs publication ou de gérer leurs propres publications en leur offrant directement la possibilité de les modifier ou de les supprimer", en recourant à une "obligation de déréférencement à la charge des moteurs de recherche" ou encore en prévoyant un "droit à la portabilité". 
  • la biométrie (p. 85-86): la CNIL souhaite s'interroger sur "la perception par les utilisateurs des dispositifs biométriques", sur "le rôle de la CNIL face à l'essor de ces dispositifs" et sur "les instruments proposés par la CNIL à disposition des responsables de traitement". 
À suivre donc.

Pour plus de détails sur le 33e Rapport d'activité, voir: 

26 avril 2013

CNIL: question sur le suivi des adresses IP

Le 29 janvier 2013, une députée européenne - Françoise Castex - a soumis les questions suivantes à la Commission européenne: 
"De plus en plus d'internautes européens, usagers de sites d'achat de billets en ligne, se disent victimes du suivi IP (IP tracking) utilisé par les opérateurs de transport européens.
1. La Commission estime-t-elle que ces pratiques sont conformes au droit de l'Union européenne?
2. Le cas échéant, la Commission a-t-elle prévu de diligenter une enquête à ce sujet?
3. Si ces abus sont vérifiés, qu'a prévu de faire la Commission pour y mettre un terme?"
Le 12 mars 2013, la vice-présidente de la Commission européenne - Viviane Reding - a répondu que: 
"Une adresse IP (Internet Protocol) est un identifiant numérique unique qui est nécessaire à tout dispositif qui se connecte à l'internet. Il est attribué par les fournisseurs d'accès Internet et par les gestionnaires de réseaux locaux. Ceux-ci peuvent, par des moyens raisonnables, identifier les utilisateurs de l'internet, car ils enregistrent systématiquement dans un fichier la date, l'heure, la durée et l'adresse IP dynamique de chaque connexion.
Ces adresses IP peuvent être considérées comme des données à caractère personnel au sens de l'article 2, point a), de la directive 95/46/CE sur la protection des données (la «directive»): elles sont susceptibles de constituer des données à caractère personnel si elles laissent des traces qui, associées à d'autres informations reçues par les serveurs, peuvent être utilisées pour créer des profils et identifier ainsi, directement ou indirectement, les personnes concernées. Ce principe découle de la définition des données à caractère personnel figurant dans la directive. Il est développé plus largement dans le règlement général sur la protection des données proposé par la Commission.
Tout traitement de données relatives aux clients, telles que les adresses IP, doit respecter les dispositions nationales qui mettent en œuvre les exigences de la directive 95/46/CE; ainsi, les données à caractère personnel doivent être traitées pour des motifs légitimes et dans un but spécifique, et le traitement doit être proportionné à l'objectif poursuivi. Les clients des opérateurs de transport doivent en être informés.
Sans préjudice des compétences de la Commission en tant que gardienne du traité, les autorités de contrôle nationales chargées de la protection des données sont les organes compétents pour le suivi de l'application des mesures nationales de transposition de la directive 95/46/CE."

Suite à cette réponse, la députée Castex a fait parvenir une lettre à la présidente de la Commission nationale de l'informatique et des libertés, le 24 avril 2013, afin de connaître la position de la CNIL sur cette question.  

À suivre donc ...

21 avril 2013

Renseignements personnels: qui contrôle quoi ...

Quel contrôle avons-nous sur nos renseignements personnels ... cette problématique fait l'objet de deux articles intéressants portant sur les travaux d'Alessandro Acquisti de l'Université Carnegie Mellon à Pittsburgh. 

3 avril 2013

Europe: action concertée contre Google

Comme mentionné le 1er mars dernier, un groupe de travail regroupant plusieurs autorités européennes de protection des données (France, Allemagne, Espagne, Italie, Pays-Bas et Royaume-Uni) a été constitué. 

Ce groupe a rencontré les représentants de Google afin de discuter des règles de confidentialité de l'entreprise, mais "à l'issue de cette réunion, aucun changement n'a été mis en oeuvre". (Source: CNIL Communiqué)

Par conséquent, "toutes les autorités du groupe de travail [...] ont décidé d'engager [à compter du] 2 avril 2013, et chacune en ce qui la concerne, des actions (enquête, contrôles, etc.)". (Source: CNIL Communiqué)

Ainsi, la Commission nationale de l'informatique et des libertés "a, pour sa part, notifié à Google sa décision d'ouvrir une procédure de contrôle, ainsi qu'une procédure de coopération administrative internationale avec ses homologues du groupe de travail". (Source: CNIL Communiqué)

Voir également l'annonce d'une action concertée sur le site, entre autres, des autorités espagnole et italienne: 

1 avril 2013

Europe: avis sur les applications mobiles

À l'instar de plusieurs autres autorités (i.e. FTC (voir par ex. les guides de février 2013 ou de décembre 2012), Hong-Kong (billet), Canada (billet)), le Groupe de l'article 29 a publié un avis sur les applications mobiles: Opinion 02/2013 on apps on smart devices dans lequel il est notamment fait mention 
- des risques quant à la protection des données personnelles étant entendu que "apps are able to collect large quantities of data from the device (location data, data stored on the device by the user and data from the different sensors) and process these in order to provide new and innovative services to the end user" (p. 5)
Partant, il est mis de l'avant que 
  • "a high risk to data protection comes from the degree of fragmentation between the many players in the app development landscape" (p. 5) et 
  • "the key data protection risks to end users are the lack of transparency and awareness of the types of processing an app may undertake combined with a lack of meaningful consent from end users before that processing takes place.Poor security measures, an apparent trend towards data maximisation and the elasticity of purposes for which personal data are being collected further contribute to the data protection risks found within the current app environment" (p. 5).
- du cadre légal applicable (i.e. Directive 95/46/CE, Directive 2002/58/CE révisée par 2009/136/CE),

- des devoirs et responsabilités de chacun des intervenants, plus particulièrement des développeurs d'applications mobiles, des systèmes d'exploitations, des vendeurs d'applications et autres tiers,

- des exigences quant à l'encadrement des données (i.e. consentement, information préalable, limitation d'utilisation, sécurité, droits d'accès et de rectification des personnes concernées, conservation des données),

- de la problématique des applications mobiles destinées aux jeunes étant entendu que "children are avid users of apps, either on their own devices or on shared devices (e.g. those of their parents, siblings or in an education setting) and there is clearly a large and diverse market for apps targeted at children. But at the same time children have little or no understanding of and knowledge about the extent and sensitivity of the data to which apps may gain access, or the extent of data sharing with third parties for advertising purposes" (p. 26)

Dans sa conclusion, le Groupe de l'article 29 insiste sur le fait que: 
"Many types of data available on a smart mobile device are personal data. The relevant legal framework is the Data Protection Directive, in combination with the specific consent- requirement contained in Article 5(3) of the ePrivacy directive. These rules apply to any app targeted to app users within the EU, regardless of the location of the app developer or app store.
The fragmented nature of the app ecosystem, the wide range of technical access possibilities to data stored in or generated by mobile devices and the lack of legal awareness amongst developers create a number of serious data protection risks for app users. These risks range from a lack of transparency and lack of awareness amongst app users to poor security measures, invalid consent mechanisms, a trend towards data maximisation and elasticity of data processing purposes. 
There is an overlap of data protection responsibilities between the different parties involved in the development, distribution and technical capabilities of apps. Most conclusions and recommendations are aimed at app developers (in that they have the greatest control over the precise manner in which the processing is undertaken or information presented within the app), but often, in order for them to achieve the highest standards of privacy and data protection, they have to collaborate with other parties in the app ecosystem, such as the OS and device manufacturers, the app stores and third parties, such as analytics providers and advertising networks".  
(Source: Opinion 02/2013, p. 27)
Pour aller plus loin,