29 septembre 2013

Pologne: déclaration et résolutions adoptées lors de la 35° conférence internationale des commissaires à la protection des données et de la vie privée

1. Du 23 au 26 septembre 2013, les commissaires à la protection des données et de la vie privée se sont réunis à Varsovie (Pologne) lors de la 35° Conférence internationale.

2. Cette conférence a été l'occasion pour les commissaires de discuter de différentes problématiques, dont celle inhérente aux applications mobiles. 

Ainsi, faisant écho, entre autres, aux guides et autres avis rendus par la Federal Trade Commission (billets 1 et 2), le Commissariat à la protection de la vie privée du Canada (CPVPC) (billet) ou le Groupe de l'article 29 (billet), les commissaires ont adoptés la Déclaration de Varsovie sur l'"applification" de la société (en anglais / en français (la traduction française des documents est issue du site du CPVPC)).

Par cette déclaration, les commissaires "[s'engagent] à veiller à ce que les utilisateurs jouissent d'une meilleure expérience en matière de protection de la vie privée, et [ils comptent] discuter avec divers intervenants des secteurs public et privé de leurs rôles et responsabilités". 

Partant, les commissaires rappellent que les développeurs d'applications doivent non seulement "prendre en considération la protection de la vie privée au tout début de la conception d'une application" mais aussi "prendre une décision claire concernant les renseignements qu’ils jugent nécessaires au bon fonctionnement de l’application et s’assurer qu’aucun autre renseignement personnel n’est recueilli sans le consentement éclairé de l’utilisateur". 
Ils insistent aussi sur le fait que "les fournisseurs de systèmes d'exploitation devraient être responsables de leurs plateformes, [notamment en ayant "recours à des sceaux de confidentialité ou à toute autre méthode de certification applicable"]". 

Et, il est prévu que "pendant l'année à venir, les commissaires à la protection des données et de la vie privée du monde entier comptent s'employer à franchir des étapes importantes en vue d'améliorer la protection des données et de la vie privée dans ce domaine, et ils aborderont de nouveau ce sujet à leur 36° conférence, en République de Maurice". 

3. Les commissaires ont également adoptés les résolutions suivantes:  
- Résolution sur le profilage (en anglais / en français) 

Conscients des avantages et des risques liés au profilage et, après avoir rappelé la Déclaration sur le profilage (anglais) adoptée lors de la 34° conférence internationale en Uruguay, les commissaires   
"exhorte[nt] toutes les parties qui effectuent du profilage:
1. à déterminer clairement la nécessité et l’utilisation pratique de chaque activité de profilage et à s’assurer de mettre en place des mesures de sécurité adéquates avant d’entreprendre le profilage;
2. à limiter, conformément au principe de la protection de la vie privée dès l’étape de la conception, les hypothèses et la quantité de données recueillies au niveau nécessaire aux fins licites prévues et, s’il y a lieu, à s’assurer que les données sont suffisamment exactes et à jour pour les fins prévues;
3. à s’assurer que les profils et les algorithmes sous-jacents sont validés en continu pour permettre d’améliorer les résultats et de réduire le nombre de résultats faussement positifs ou négatifs;
4. à informer la société des activités de profilage dans la mesure du possible, y compris de la façon dont les profils sont établis et des fins auxquelles ils sont utilisés, afin que les individus puissent conserver, le plus possible et s’il y a lieu, la maîtrise de leurs renseignements personnels;
5. à s’assurer, surtout en ce qui a trait aux décisions ayant des répercussions juridiques importantes sur des personnes ou influant sur leurs avantages ou leur statut, que ces personnes sont informées de leur droit de consulter et de corriger leurs renseignements personnels et d’avoir recours à une intervention humaine s’il y a lieu, surtout si l’on tient compte de la capacité prédictive toujours plus grande du profilage en raison de l’efficacité croissante des algorithmes;
6. à s’assurer que toutes les activités de profilage font l’objet d’une surveillance appropriée."
(Source: Traduction du CPVPC) 
- Résolution sur la coordination de l’application de la loi à l’échelle internationale (en anglais / en français)

Rappelant les résolutions adoptées lors des 29°, 33° et 34° conférence internationales sur la coopération internationale, les travaux menés par plusieurs réseaux regroupant les autorités de protection (APEC, GPEN, OCDE, Conseil de l'Europe, Groupe de l'article 29, les réseaux francophone et ibérico-américain), les commissaires "décide[nt] d'encourager davantage les efforts visant à assurer une coordination des enquêtes transnationels et une application de la loi plus efficaces dans les cas appropriés" et, notamment de présenter pour adoption lors de la 36° conférence un document présentant "une approche commune pour le traitement des dossiers transnationaux et la coordination de l'application de la loi". (Source: Traduction du CPVPC)

- Résolution sur l’inscription de la protection des données et de la protection de la vie privée dans le droit international (en anglais / en français) 

Rappelant les déclarations / résolutions adoptées lors des 27°, 28°, 30°, 31° et 32° Conférence internationale, les commissaires sont d'avis "qu’il est urgent de mettre en place un accord juridiquement contraignant sur la protection des données qui garantirait le respect des droits de l’homme grâce à la protection de la vie privée, des renseignements personnels et de l’intégrité des  réseaux, en plus d’accroître la transparence des processus relatifs au traitement des données, en tenant compte, de façon équilibrée, de la sécurité, des intérêts économiques et de la liberté d’expression" et, ils décident "d'enjoindre les gouvernements à promouvoir l'adoption d'un protocole additionnel à l'article 17 du Pacte international relatif aux droits civils et politiques". (Source: Traduction du CPVPC)

ll est à noter que la Federal Trade Commission s'est abstenue lors du vote de cette résolution.

- Résolution sur la transparence des pratiques en matière de renseignements personnels (en anglais / en français) 

Rappelant la résolution adoptée lors de la 25° conférence internationale et reconnaissant la nécessité pour les organismes publics et les entreprises d'adopter des pratiques et des politiques claires et simplifiées en matière de protection des renseignements personnels et de les diffuser pour (re)donner confiance aux indivudus, les commissaires
"convien[nen]t de faire ce qui suit:  
1. Exhorter les organisations qui recueillent des renseignements personnels à expliquer les fins auxquelles ils sont recueillis, à indiquer le nom et les coordonnées de l’organisation ou de la personne responsable, et à préciser la marche à suivre pour demander l’accès à ces renseignements ou les faire corriger;
2. Exhorter les organisations à fournir de l’information utile sur leurs politiques et leurs pratiques en matière de collecte de données dans un langage clair et simple, dans un format facilement accessible, et en tenant compte des caractéristiques des individus auxquels les renseignements se rapportent et de la méthode de collecte;
3. Exhorter les organisations, les autorités chargées de la protection des données et de l’application des lois en matière de protection de la vie privée ainsi que les gouvernements à se pencher sur l’utilité des sceaux d’accréditation, de la certification et des marques de confiance en matière de protection de la vie privée pour renseigner les utilisateurs et les aider à faire des choix plus éclairés;
4. Exhorter les gouvernements à faire preuve d’une plus grande transparence en ce qui concerne leurs pratiques de collecte de renseignements, tout en tenant compte des considérations pertinentes relatives à la sécurité nationale, à la sécurité publique et à la politique publique, dans le but de renforcer l’obligation de rendre des comptes à l’intérieur d’une démocratie et d’assurer le plein exercice du droit fondamental à la vie privée."
(Source: Traduction du CPVPC)  
Il est à noter que la Federal Trade Commission s'est abstenue lors du vote de cette résolution

- Résolution sur une éducation au numérique pour tous (en anglais / en français) 

Rappelant plusieurs instruments internationaux ou encore les résolutions adoptées lors des 30° et 32° conférences internationales, les commaissaires reconnaissent "que le numérique fait aujourd'hui partie de notre vie quotidienne" et qu'il "soulève des défis nouveaux en matière de protection des données et de la vie privée et que le cadre juridique ne peut, à lui seul, apporter toutes les réponses et garanties demandées". Partant, les commissaires "considèrent qu'il est indispensable de faire ce qui suit, [à savoir] promouvoir sans attendre un culture générale du numérique [...] et d'agir ensemble, en collaboration avec tous les acteurs concernés, car il s'agit d'une responsabilité partagées". (Source: Traduction du CPVPC) 

- Résolution sur le suivi sur le Web et la protection de la vie privée (en anglais / en français) 

Reconnaissant les avantages et les risques liés au suivi sur le Web, les commissaires
"exhortent toutes les parties prenantes:  
- à respecter le principe de la limitation des fins;
- à aviser les utilisateurs de l’utilisation d’éléments de suivi, y compris de l’établissement d’empreintes à l’aide d’un appareil et du navigateur, et leur permettre d’avoir la maîtrise de ces éléments;
- à s’abstenir d’utiliser des dispositifs de suivi invisibles à des fins autres que la sécurité et le dépistage des fraudes, ou la gestion du réseau;
- à s’abstenir  d’établir par dérivation un ensemble d’éléments d’information (empreintes) dans le but d’identifier et de surveiller des utilisateurs à des fins autres que la sécurité et le dépistage des fraudes, ou la gestion du réseau;
- à faire preuve de la transparence appropriées au sujet de tous les types de pratiques de suivi sur le Web afin de permettre aux consommateurs de faire des choix éclairés;
- à offrir aux utilisateurs des outils conviviaux leur permettant de maîtriser adéquatement la collecte et l’utilisation de leurs renseignements personnels;
- à s’abstenir d’effectuer un suivi de l’activité en ligne d’enfants ou sur les sites Web destinés aux enfants, à moins qu’il ne soit possible de vérifier qu’un parent a consenti au suivi;
- à respecter le principe du respect de la vie privée dès la conception et à réaliser une évaluation des facteurs relatifs à la vie privée au début de nouveaux projets;
- à utiliser des techniques qui réduisent les répercussions sur la vie privée, notamment la dépersonnalisation et l’utilisation de pseudonymes;
- à promouvoir l’adoption de normes techniques visant à conférer aux utilisateurs une meilleure maîtrise (p. ex. la norme d’interdiction de suivi)". 
(Source: Traduction du CPVPC)
Il est à noter que la République de Slovénie et la France se sont abstenues lors du vote de cette résolution.
4. Cette conférence a également été l'occasion de discuter des priorités stratégiques pour 2014-2015 (Résolution sur l'orientation stratégique de la Conférence - en anglais / en français) et d'accréditer de nouvelles autorités de protection à titre de membres, à savoir les autorités de la République de Maurice, du Kosovo et de Buenos Aires (Argentine) (Résolution d'accréditation - en anglais / en français).

27 septembre 2013

CNIL: vers des sanctions contre Google en ce qui concerne sa politique de confidentialité

Le 20 juin 2013, aux termes de la décision 2013-025, la Commission nationale de l'informatique et des libertés (CNIL) a mis en demeure Google, relativement à sa politique de confidentialité, de se conformer aux dispositions de la Loi "Informatique et Libertés" dans les trois mois (billet)

Le délai prenait fin le 20 septembre 2013. Et, on peut dès lors lire sur le site de la CNIL que 
"au dernier jour du délai de 3 mois accordé à la société Google Inc., la société conteste le raisonnement de la CNIL et notamment l'applicabilité de la loi Informatique et Libertés aux services utilisés par des résidents en France. Elle n'a donc pas effectué les modifications demandées. Dans ce contexte, la présidente de la CNIL va désigner un rapporteur aux fins d'engager une procédure formelle de sanction, telle que prévue par la loi Informatique et Libertés".  

À suivre donc ...

22 septembre 2013

OCDE: amendement des Lignes directrices de 1980 (protection de la vie privée et flux transfrontières de données à caractère personnel)

Le 11 juillet 2013, l'Organisation de Coopération et de Développement Économiques (OCDE) a amendé les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel adoptées le 23 septembre 1980.

Avant de mettre l'accent sur certains des amendements, mentionnons que les Lignes directrices s'appliquent aussi bien au secteur public que privé (art. 2), qu'il convient de les considérer "comme des normes minimales susceptibles d'être complétées par d'autres mesures visant à protéger la vie privée et les libertés individuelles, mesures qui peuvent avoir des incidences sur les flux transfrontières de données à caractère personnel" (art. 6, amendé en 2013) et, que les principes qui y sont mis de l'avant "se complètent et doivent être considérés comme un tout" (art. 3). 

Les principes énoncés à la Partie Deux. Principes fondamentaux applicables au plan nationale des Lignes directrices amendées sont identiques à ceux énoncés en 1980. Ces principes, repris par différentes législations relatives à la protection des données à caractère personnel / des renseignements personnels, sont les suivants: 
  • principe de la limitation en matière de collecte, 
  • principe de la qualité des données, 
  • principe de la spécification des finalités, 
  • principe de la limitation de l'utilisation, 
  • principe des garanties de sécurité, 
  • principe de la transparence, 
  • principe de la participation individuelle, 
  • principe de la responsabilité. 

8 septembre 2013

Pologne et Maroc: deux conférences pour les autorités de protection des données

[Publié le 08/09/2013 à 11:39 - Complété le 08/09/2013 à 12:20 - Ajout le 23/10/2013 à 22:37]

Cet automne la 35° conférence internationale des commissaires à la protection des données et de la vie privée (programme) se tiendra à Varsovie (Pologne) du 23 au 26 septembre prochain. Les discussions porteront sur les thèmes suivants: 
- Les réformes dans le monde entier. L'interopérabilité entre les régions 
- La protection des données personnelles et la technologie   
- Les principaux acteurs : perspectives, rôles, intérêts
Quelques semaines après, les autorités francophones se rencontreront, les 21 et 22 novembre à Marrakech (Maroc), lors de la 7° conférence de l'Association francophone des autorités de protection des données personnelles (AFAPDP) (programme à venir ajouté le 23/10/2013)

Cette 7° conférence de l'AFAPDP est organisée en collaboration avec la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP) du Maroc: 
"A l’invitation de la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP), l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP), organise les 21 et 22 novembre prochains à Marrakech,  la septième Conférence des Autorités de contrôle."
(Source: CNDP - 7° conférence de l'AFAPDP)
Rappelons que la CNDP a été constituée, en août 2010, suite à l'adoption en 2009 de la loi n°09-08 du 18 février 2009 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

À l'instar du Maroc d'autres pays africains ont également adopté une loi de protection des données personnelles. Il en va notamment ainsi du Cap Vert (Loi n°113/V/2001), de la Tunisie (Loi 2004-63), du Burkina Faso (Loi 010-2004/AN), de Maurice (Loi n°13-2004), du Sénégal (Loi 2008-12), du Bénin (Loi 2009-09), du Gabon (Loi n°001-2011) ou encore de l'Afrique du Sud (2013 - sanction présidentielle à venir (billet)). 

À suivre ...

2 septembre 2013

Afrique du Sud: vers une loi sur la protection des renseignements personnels

Le 22 août 2013, le Parlement de la République d'Afrique du Sud a approuvé le projet de loi sur la protection des renseignements personnels (Protection of Personal Information Bill) et, avant d'entrer en vigueur ce dernier doit être sanctionné par le président. 
"The National Assembly has unanimously approved all the National Council of Provinces (NCOP) amendments to the Protection of Personal Information Bill, which effectively means that Parliament has now approved this Bill and this is a welcome development.
The Protection of Personal Information Bill gives expression to the right to privacy provided for in the Constitution. The right to privacy includes the right to protection against unlawful collection, retention, dissemination and use of anyone’s personal information.
The Bill is comprehensive and regulates the manner in which personal information may be processed, by establishing conditions in harmony with international standards that prescribe the minimum threshold requirements for the lawful processing of personal information.
As a means of achieving its objectives, the Bill establishes the Office of the Information Regulator as an independent, statutory body, accountable to the National Assembly. The Information Regulator, amongst other duties and functions, will take over from the Human Rights Commission powers and functions relating to the Promotion of Access to Information Act (PAIA).
The Bill has been referred to the President for his assent.
Issued by Parliamentary Communication Services on behalf of the Chairperson for the Portfolio Committee on Justice and Constitutional Development, Mr Luwellyn Landers."
(Source: Parliament of the Republic of South Africa, News, August 22, 2013)

PARLIAMENT OF THE REPUBLIC OF SOUTH AFRICA, "Protection of Personal Information Bill Approved", News, August 22, 2013.