31 décembre 2013

Espagne: amende à l'encontre de Google en ce qui concerne sa politique de confidentialité

Le 19 décembre 2013, l'Agence espagnole de protection des données (AEPD) a rendu ses conclusions dans le cadre de la procédure de sanction ouverte en juin dernier (communiqué [en anglais] et billet) contre Google pour violation des principes énoncés dans la Ley Organica de Proteccion de Datos (LOPD - en espagnol / en anglais) quant à la politique de confidentialité de l'entreprise entrée en vigueur le 1er mars 2012. 

Ainsi, l'AEPD dans sa Resolución R/02892/2013 [en espagnol] condamne Google à une amende totalisant 900 000 euros pour violation: 
- de l'article 6.1 de la LOPD selon lequel le traitement des données personnelles exige le consentement de la personne concernée. Or, 
"AEPD’s inspection has demonstrated that Google collects personal information through nearly a hundred of services and products offered in Spain, in many cases not providing adequate information about what data is collected, what data is used for what purposes and without obtaining a valid consent of the data subjects. For example, Google does not inform clearly to users of Gmail that the content of mails and attached files is filtered with the aim to insert tailored advertising. Where Google does inform it uses vague terminology, with generic and unclear expressions that prevent users from knowing what they really mean [...] The result of that approach is an indeterminate and unclear Privacy Policy. The lack of adequate information, particularly about the specific purposes justifying the processing of data, renders meaningless a consent that in order to be valid should be specific and informed." 
- de l'article 4.5 de la LOPD relatif à la suppression des données personnelles lorsque celles-ci ne sont plus nécessaires ou utiles aux finalités pour lesquelles elles ont été collectées. Or, selon l'AEPD
"Contrary to the provisions of Spanish law, Google stores and maintains data for periods of time indeterminate or unjustified, thereby contravening the legal mandate to cancel data when it ceases to be necessary for the purpose which determined its collection. The conservation of the data indefinitely, beyond the requirements arising from the purposes alleged at the time of collection, constitutes unlawful data processing." 
- et des articles 15 et 16 de la LOPD relatifs aux droits d'accès et de rectification des personnes concernées étant entendu que: 
"[...] Google hinders - and in some cases prevents - the exercise of the rights of access, rectification, cancellation and opposition. The procedure that citizens have to follow to exercise their rights or to manage their own personal information requires them to access to an undetermined number of web pages, scattered in several links, that are not available for all types of users and, occasionally, with denominations that do not always refer to its real object. The Company itself recognizes that users must run at least seven different processes, and reserves the right to not respond to requests involving "a disproportionate effort"."  
Partant, en vertu de l'article 44.3 de la LOPD
- traiter des données sans le consentement des personnes concernées (par. b));
- conserver des renseignements personnels qui ne sont plus nécessaires ou utiles (par. c)); ou encore 
- entraver ou d'empêcher l'exercice du droit d'accès et de rectification aux personnes concernées (par. e)) 
constituent des infractions graves punissables d'une amende pouvant aller de 40001 à 300 000 euros conformément à l'article 45.2 de la LOPD. Dès lors, compte tenu des critères de l'article 45.4 ou encore du manque de collaboration de la part de Google avec les autorités de protection des données personnelles, l'AEPD a décidé d'imposer une amende de 300 000 euros pour chacune des infractions constatées. 
"Por otra parte, teniendo en consideración los criterios de graduación de las sanciones establecidos en el artículo 45.4, en concreto, el carácter continuado de las infracciones; el volumen masivo de datos personales que recaba y somete a tratamiento; la vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal, puesto que es una empresa que tiene como actividad la prestación de servicios a través de Internet y tiene un constante tratamiento de datos de carácter personal; su volumen de negocio o actividad; que la información personal relativa a los usuarios representa un factor importante en el desarrollo de la actividad empresarial de Google y en la obtención de beneficios, considerando el modelo económico de Google; que las infracciones son el resultado del sistema de recogida y tratamientos de datos diseñado intencionadamente por Google, cuya irregularidad ha sido puesta de manifiesto a la entidad durante toda la fase de investigación, y de la implantación de una política de privacidad deficiente, ineficaz y no ajustada a la normativa, en lo que Google ha mostrado una actitud contumaz desconociendo todos los requerimientos efectuados por las autoridades europeas que han participado en las actuaciones para que dicha política de privacidad no fuese aplicada; así como el perjuicio que dicho sistema causa a la privacidad de los usuarios; procede la imposición de las sanciones establecidas en el artículo 45.2 de la LOPD en su cuantía máxima, es decir, por importe de 300.000 euros (trescientos mil euros) por cada una de las infracciones."
(Source: AEPD, Resolución R/02892/2013, p. 137)
Et, l'AEPD exige que Google adopte, sans délai, des mesures pour se mettre en conformité avec la LOPD et qu'elle en soit avisée (Source: AEPD, Resolución R/02892/2013, p. 139)

À suivre donc ...

Pour aller plus loin, voir notamment: 

27 décembre 2013

CNIL: Recommandation sur les cookies

En adoptant la Délibération n°2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, la Commission nationale de l'informatique et des libertés (CNIL) entend "rappeler les principes qu'il conviendrait de respecter pour permettre l'utilisation [des cookies et autres traceurs] dans les conditions fixées par l'article 32-II" de la Loi informatique et libertés qui se lit comme suit:     
32-II. Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;   
- des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
Ainsi, en plus de préciser le champ d'application, les obligations respectives des éditeurs de sites et des émetteurs de cookies, les paramètres du navigateur, la durée de vie des cookies (i.e. "treize mois au minimum" - art. 5) ou encore le cas spécifique des cookies de mesure d'audience, la CNIL insiste, à l'article 2, notamment sur le fait que
- "les cookies nécessitant un recueil du consentement ne peuvent être déposés ou lus sur son terminal, tant que la personne n'a pas donné son consentement"; 
- "la validité du consentement est liée à la qualité de l'information reçue. Celle-ci doit être visible, mise en évidence et complète. [...]"; 
- "le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer".
Dès lors, pour répondre aux exigences de l'article 2, la CNIL "recommande une procédure de recueil du consentement en deux étapes: 
Dans la première étape, l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau :
  • des finalités précises des cookies utilisés ;
  • de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.
Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c'est-à-dire tant qu’elle ne s'est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton « rechercher »).

Ainsi, sauf consentement préalable de l’internaute, le dépôt et la lecture de cookies ne doivent pas être effectués :
  • si l’internaute se rend sur le site (page d'accueil ou directement sur une autre page du site à partir d'un moteur de recherche par exemple) et ne poursuit pas sa navigation : une simple absence d’action ne saurait être en effet assimilée à une manifestation de volonté ;
  • s’il clique sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, refuse le dépôt de cookies.
Dans la seconde étape, les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement :
  • pour l’ensemble des technologies visées par l’article 32-II précité ;
  • par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience.
La Commission souligne que la mise en œuvre de ce dispositif, si elle est de nature à répondre aux exigences posées par l’article 32-II de la Loi informatique et libertés, n’est pas exclusive d’autres modes plus renforcés de recueil du consentement."
(nos soulignements)
Et, pour permettre tant aux internautes qu'aux développeurs, éditeurs de service, régies publicitaires et autres réseaux sociaux de mieux appréhender les enjeux inhérents à l'utilisation des cookies et autres traceurs, la CNIL propose notamment des fiches pratiques, des outils et codes sources, des vidéo pédagogiques, des fiches conseils et un "logiciel [Cookiesviz] pour visualiser en temps réel le dépôt et la lecture des cookies lors d'une navigation" 

Pour plus de détails, voir notamment: 

17 décembre 2013

Monaco: les 20 ans de la Loi relative à la protection des informations nominatives

Pour souligner les 20 ans de la Commission de contrôle des informations nominatives (CCIN) et de la Loi n°1.165 relative à la protection des informations nominatives, l'autorité monégasque publie une bande dessinée intitulée Les aventures de la CCIN ... 20 ans déjà! 
"Pour fêter les 20 ans de la loi n°1.165 du 23 décembre 1993, la CCIN a décidé d'éditer une bande dessinée (BD) pédagogique. Parce qu'il n'y a pas d'âge pour aimer la BD, la CCIN a souhaité aborder de manière ludique des grands thèmes de la protection des données personnelles tels que les réseaux sociaux, la vidéosurveillance, les transferts de données vers l'étranger, et enfin la coopération internationale des autorités de protection des données personnelles membres du réseau  francophone." 
(Source: CCIN, "La CCIN ... 20 ans déjà!", Actualité)
Bonne lecture. 

8 décembre 2013

Monaco: la CCIN et ses pouvoirs de contrôle

En vertu de la Loi n°1.165 relative à la protection des informations nominatives modifiée en 2008, la Commission de contrôle des informations nominatives (CCIN) de la Principauté de Monaco dispose d'un "pouvoir de vérifications et d'investigations nécessaires au contrôle de la mise en œuvre des traitements [d'informations nominatives, soit "la collecte, l'enregistrement, l'organisation, la modification, la conservation, l'extraction, la consultation ou la destruction d'informations, l'exploitation, l'interconnexion ou le rapprochement, la communication d'informations par transmission, diffusion ou tout autre forme de mise à disposition" (art. 1 al. 3 de la Loi n°1.165)]". 

Ce pouvoir est prévu au Chapitre III - Du contrôle de la régularité des traitements et, plus précisément à l'article 18 qui se lit comme suit:  
Art. 18 - La commission de contrôle des informations nominatives fait procéder aux vérifications et investigations nécessaires au contrôle de la mise en œuvre des traitements soit par ses membres, soit par des agents de son secrétariats, soit par des investigateurs nommés par le président sur proposition de la commission et soumis aux obligations prévues à l’article 5-1. Les agents et les investigateurs sont commissionnés et assermentés à cet effet.
Les personnes mentionnées au précédent alinéa doivent être munies d’une lettre de mission du président de la commission de contrôle des informations nominatives précisant expressément le nom et l’adresse de la personne physique ou morale concernée, ainsi que l’objet de la mission, pour accéder aux locaux de celle-ci, pour procéder à toutes opérations de vérification nécessaires, pour consulter tout traitement, pour demander communication ou copie de tout document professionnel et pour recueillir auprès de toute personne compétente les renseignements utiles à leur mission. 
La visite de locaux et les opérations de vérification sur place ne peuvent avoir lieu qu’entre six et vingt et une heures et en présence de l’occupant des lieux, du responsable du traitement ou de son représentant ou, à défaut, d’un officier de police judiciaire requis à cet effet.
À l’issue de la visite et des opérations de vérification sur place, un compte rendu est établi par les personnes mentionnées au premier alinéa. Un exemplaire est remis à l’occupant des lieux, au responsable du traitement ou à son représentant ainsi qu’au président de la commission de contrôle des informations nominatives. 
En date du 25 octobre 2013, le Tribunal Suprême a jugé que ce pouvoir été inconstitutionnel non seulement dans deux requêtes  en annulation de décisions de la CCIN contre un opérateur de télécommunications et hébergeur de sites Internet et sa filiale (décision 1 (maison mère) et décision 2 (filiale)), mais aussi dans un recours tendant à déclarer que la CCIN. a fait une interprétation restrictive et, partant, inconstitutionnelle de l’article 18 de la loi n° 1.165 (décision 3). 

3 décembre 2013

AFAPDP: pour une plus grande transparence des pratiques gouvernementales lors de la collecte de données à caractère personnel

Les 21 et 22 novembre dernier (billet), la Commission Nationale de contrôle de la protection des données à caractère personnel (CNDP) du Maroc a accueilli la 7° conférence annuelle et la 7° assemblée générale de l'Association francophone des autorités de protection des données personnelles (AFAPDP). 
La présidence de l'AFAPDP est assurée par la Commission d'accès à l'information (CAI) du Québec, le secrétariat général par la Commission nationale de l'informatique et des libertés (CNIL) en France et les vice-présidents sont le Préposé fédéral suppléant à la protection des données et à la transparence en Suisse et la Commission de l’informatique et des libertés (CIL) du Burkina Faso. 

On peut lire dans le communiqué de presse que, lors de l'assemblée générale, les autorités membres de l'AFAPDP ont adopté 
"une Résolution visant à une plus grande transparence des pratiques des gouvernements, recommandant notamment aux gouvernements de soutenir l’adoption aux Nations Unies d’un instrument juridique contraignant de protection des données à caractère personnel et l’adhésion à la Convention n°108 du Conseil de l’Europe et à son protocole additionnel. 
Pour plus de détails,