16 novembre 2014

CNIL: données personnelles et mort numérique

Si vous vous intéressez aux enjeux inhérents à la protection des données personnelles après la mort, la Commission nationale de l'informatique et des libertés vient de publier les documents suivants: 

30 octobre 2014

Canada: déclaration sur les mesures de sécurité nationale et l'application des lois

Lors de l'assemblée annuelle des autorités fédérales, provinciales et territoriales qui s'est tenue à Ottawa (Ontario), les commissaires et ombudsmans ont adopté, le 29 octobre 2014, une déclaration relative aux mesures de sécurité nationale et à l'application des lois qui se lit comme suit: 
« Nous joignons notre voix à celle de milliers de Canadiens pour exprimer nos condoléances aux familles et aux amis éprouvés par le décès de ceux dont le devoir était de défendre nos droits et libertés.
Les jours, les semaines et les mois à venir seront cruciaux pour déterminer la ligne de conduite à adopter afin de s’assurer non seulement que le Canada demeure un pays sécuritaire, mais aussi que nos droits fondamentaux sont respectés. Des modifications législatives envisagées pourraient modifier les pouvoirs dévolus aux organismes de renseignement et d’application de la loi.
Nous reconnaissons que la sécurité est essentielle au maintien des droits démocratiques. Parallèlement, la réaction à ces événements doit être posée et proportionnelle, et conçue de manière à préserver nos valeurs démocratiques fondamentales.
À cette fin, les commissaires canadiens à l’information et à la protection de la vie privée exhortent le gouvernement fédéral :
- À adopter une démarche fondée sur des données factuelles quant au besoin de nouvelles mesures législatives qui accorderaient des pouvoirs supplémentaires aux organismes de renseignement et à ceux chargés de l’application de la loi;
- À engager un dialogue ouvert et transparent avec les Canadiens quant au besoin de nouvelles mesures, et, le cas échéant, quant à leur nature, leur portée et leur impact sur les droits et libertés;
- À s’assurer que toute loi accordant des pouvoirs additionnels à des organismes de renseignement ou chargés de l’application des lois soit assortie de mesures de contrôle efficaces.
Les Canadiens sont en droit de s’attendre à ce que leurs droits à la vie privée et à l’accès à l’information soient respectés au même titre que leur sécurité. Nous devons maintenir ces droits fondamentaux qui sont au coeur de la démocratie canadienne. »
(Source: Commission d'accès à l'information du Québec, la déclaration est également accessible sur les sites des commissaires et ombudsmans à l'information et à la protection des renseignements personnels)
 

27 octobre 2014

Maurice: résolutions adoptées lors de la 36° conférence internationale des commissaires à la protection des données et de la vie privée

Du 13 au 16 octobre 2014, les commissaires à la protection des données et de la vie privée se sont réunis à l'Ile Maurice pour la 36° Conférence internationale

Les résolutions adoptées par les commissaires portent notamment sur les big data, sur une entente mondiale de coopération transfrontière dans l'application des lois ou sur la vie privée à l'ère numérique. Ces résolutions sont accessibles sur le site de la Conférence.

12 octobre 2014

Google et le droit à l'oubli

En mai 2104, la Cour de justice de l'Union européenne (CJUE) a reconnu dans Google Spain SL et Google Inc c. Agencia Espanola de Proteccion de Datos (AEPD) et M. Costeja Gonzalez que "l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite". (Billet)

Depuis cette décision, les internautes européens peuvent demander que les informations les concernant apparaissant dans les résultats d'un moteur de recherche soient effacées. Pour ce faire, les internautes peuvent s'adresser soit directement au site d'origine, soit aux moteurs de recherche. 
Dans son rapport Demandes de suppression de contenus liés à la vie privée dans les résultats de recherche dans l'Union européenne, publié le 10 octobre 2014, Google mentionne avoir reçu un total de 146 357 demandes ayant conduit à l'examen de 498 737 URL et à la suppression de 41,8% de ceux-ci. Ce rapport précise également le nombre de demandes par pays, des exemples de demandes et les sites les plus affectés par ces demandes. 
Si la décision de la CJUE vise les internautes européens, il convient de mentionner qu'"un tribunal japonais a condamné [...] Google à supprimer des informations associant le nom du plaignant à un crime qu'il n'a pas commis" comme le rapporte un article publié dans La Presse. 
Toutefois, dans un autre article publié dans Droit & Nouvelles Technologies, il est précisé que "le droit à l'oubli, c'est pas automatique !" comme l'illustre un jugement néerlandais du 18 septembre 2014. 

À suivre donc ...

21 septembre 2014

Québec: la CAI, les entreprises et la protection des renseignements personnels

La Commission d'accès à l'information (CAI) du Québec vient de publier une affiche intitulée Votre entreprise et les renseignements personnels: les bonnes questions à se poser !

Cette affiche vise à fournir "les réponses aux 10 questions que toute personne qui exploite une entreprise doit se poser pour satisfaire aux exigences de la [Loi sur la protection des renseignements personnels dans le secteur privé]. On y traite notamment de l’information qu’il convient de donner aux personnes concernées au moment de constituer un dossier sur elles, de l’utilisation qui peut être faite des renseignements personnels ou encore des précautions à prendre lors du partage et de la conservation de ces renseignements personnels". [Source: CAI, Nouvelles récentes, 10/09/2014]

(Source: Commission d'accès à l'information du Québec)

13 septembre 2014

GPEN: résultats de l'action commune visant les politiques de confidentialité (2014)

[Publié le 13/09/2014 - Mis à jour le 16/09/2014]

En mai dernier, plusieurs autorités de protection des données personnelles ont participé à la deuxième édition du ratissage d'internet visant à examiner les politiques de confidentialité de plusieurs applications mobiles. 

Plusieurs autorités participantes viennent de publier leurs résultats: 
Rappelons que ce ratissage est une initiative du Global Privacy Enforcement Network (GPEN) qui "a pour objet d’inciter les organisations à se conformer aux lois en matière de protection de la vie privée et à accroître la collaboration entre les autorités chargées de l’application de ces lois. Ce n’était pas une enquête et elle ne visait pas non plus à cerner de façon concluante des problèmes de conformité ou des infractions à la loi. Les préoccupations soulevées lors du ratissage donneront lieu à des mesures de suivi, comme une sensibilisation des organisations, une analyse approfondie des dispositions de protection des renseignements personnels associées aux applications et des mesures d’exécution de la loi" (Source: CPVPC, Communiqué du 10/09/2014).

6 septembre 2014

CPVPC, Apple et la publicité ciblée

Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier son rapport d'enquête sur l'utilisation par Apple d'identifiant unique d'appareil (UDID) à des fins de publicités ciblées. 

Même si le CPVPC conclut que la plainte est résolue car Apple a modifié ses pratiques durant l'enquête (par. 50 et 57), le CPVPC rappelle néanmoins que: 
  • "des renseignements qui, à eux seuls, peuvent ne pas être considérés comme personnels peuvent être considérés comme personnels lorsqu'une organisation a la capacité d'établir un lien entre ces renseignements et un individu identifiable" (par. 34). Dès lors même si les identifiants utilisés par Apple, "en eux-même et indépendamment de tout autre renseignement disponible, ne permettent pas nécessairement d'identifier un individu, [Apple a néanmoins] la capacité de faire le rapprochement entre ces identifiants et des individus [notamment "en cas de fraude, aux fins du soutien à la clientèle ou pour se conformer à un ordre de la Cour" (par. 11)]" (par. 35). Par conséquent, "étant donné qu'Apple peut associer ses [identifiants] à des détenteurs de comptes personnels Apple, [le CPVPC] est d'avis que les identifiants [utilisés par Apple] constituent des renseignements personnels au sens de la [Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDÉ]" (par. 35);
  • en vertu de la LPRPDÉ, le consentement peut prendre une forme différente en fonction "de la nature et de la sensibilité des renseignements et des attentes raisonnables de l'individu" (par. 36) tout en précisant que les avis expliquant les raisons de la collecte et les utilisations qui seront faites des renseignements personnels doivent être "suffisamment clair[s] et compréhensible[s] pour servir de fondement à un consentement valable des utilisateurs à l'utilisation [des identifiants] aux fins de la publicité comportementale en ligne" (par. 40). Comme Apple a modifié ses pratiques en cours d'enquête, le CPVPC considère que les avis sont suffisants (par. 40);
  • Apple, comme elle "contrôle le fonctionnement de son système d'exploitation iOS, puisque c'est elle qui l'a conçu" (par. 43) doit "s'assurer que l'utilisateur donne un consentement valable à la communication de [ses] renseignements personnels" (par. 44) aux développeurs d'applications. Comme les pratiques d'Apple ont été modifiés en cours d'enquête (i.e. réglage de l'appareil et Apple ne donne plus accès aux identifiants en cause aux développeurs d'application depuis le 1er mai 2013), le CPVPC considère que le consentement est "valable à ce qu'Apple communique [l'identifiant] à des développeurs d'applications à des fins publicitaires" (par. 47).

Pour aller plus loin, 

24 août 2014

CPVPC: rapport annuel 2013 (transparence et confiance)

Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier son rapport annuel 2013 portant sur la mise en œuvre de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ). 

Dans ce rapport, le CPVPC insiste sur "la nécessité de tenir un débat constructif sur une transparence et une responsabilisation accrue de la part de tous les intervenants" (p. 2) pour faire face, non seulement, aux défis "liés aux nouvelles technologies et aux technologies naissantes, par exemple les logiciels de reconnaissance facile, les accessoires intelligents, l'infonuagique, la publicité comportementale en ligne, les téléphones intelligents toujours allumés, la technologie géospatiale, l'analytique avancées, les véhicules aériens sans pilote (ou drones) et le profilage génétique" (p. 2), mais aussi, au fait que "de plus en plus, on constate que les renseignements personnels recueillis à l'origine par le secteur privé peuvent également se retrouver entre les mains d'organismes du secteur public chargées de l'application de la loi et de la sécurité nationale" (p. 2)

Plusieurs éléments illustrent le fait que "la transparence [est] essentielle pour obtenir la confiance des consommateurs en ligne" (p. 23), dont notamment le fait que les entreprises doivent adopter des politiques de confidentialité qui "doivent être affichées bien en évidence et être accessibles, claires et utiles" (p. 24 + résultat ratissage d'Internet mené avec le GPEN (p. 25 et s.) (billet) + mon guide)

Cet effort de transparence "responsabilise davantage l'entreprise à l'égard de ses clients" étant entendu que "les clients commenceront aussi à favoriser les entreprises auxquelles ils ont le plus confiance" et "si les gens ne sont pas convaincus que leurs renseignements personnels sont protégés et respectés comme il se doit, ils transporteront tout simplement leurs pénates dans une autre entreprise du vaste univers en ligne" (p. 29 + un de mes articles).

Par ailleurs, le CPVPC revient sur différentes actions menées en 2013, par exemple les enquêtes auprès de Google (p. 12) et d'Apple (p. 14 et 24); les publications mettant en lumière les enjeux inhérents à la reconnaissance faciale, aux accessoires intelligents, aux adresses IP (p. 10 et s.); les collaborations avec différents partenaires (p. 15 et s.).

Et, le CPVPC rappelle aussi l'importance de moderniser la LPRPDÉ afin que celle-ci contienne "des mesures incitatives propres à encourager les organisations à se conformer à la loi. Par exemple, de telles mesures encourageraient plus d'organisation à intégrer d'emblée des protections de la vie privée dans leurs produits et services, au lieu d'attendre que des problèmes se manifestent plus tard, soit une fois ces produits et services sur le marché. Des exigences plus rigoureuses en matière de reddition de comptes et de transparence, appuyés par un régime adéquat d'application de la loi, feraient en sorte que les renseignements personnels des Canadiennes et des Canadiens soient dûment protégés dans l'environnement mondialisé d'aujourd'hui. [Et faire en sorte de] rendre obligatoire le signalement des atteintes à la sécurité des données [et doter les] autorités chargées de protéger la vie privée, les outils de gouvernance, les ressources et l'expertise technique dont elles ont besoin pour exercer leurs pouvoirs avec efficacité" (p. 21 et s.).


Pour plus de détails: 

10 août 2014

Max Schrems, Facebook et la protection des renseignements personnels

Max Schrems, cet étudiant autrichien qui avait saisi le Data Protection Commissioner d'Irlande relativement aux pratiques de Facebook après avoir eu accès aux données que le réseau social avait archivé alors qu'il croyait les avoir supprimées, "a décidé de porter plainte [contre Facebook], vendredi 1er août [2014], devant la cour de commerce de Vienne et a demandé à toutes les personnes majeures de se joindre à lui pour donner plus de poids à son action" (Source: Le Monde, 8 août 2014).

À suivre donc ...

Pour aller plus loin: 
et voir aussi les différents billets publiés sur ce blog sur l'action de Max Schrems devant l'autorité de protection irlandaise: Facebook et la mémoire (6)(5)(4)(3)(2)(1).

20 juillet 2014

Les accessoires intelligents en question

Si vous vous intéressez aux enjeux inhérents aux accessoires intelligents, 
soit "un ordinateur miniature que l'on porte sur soi ou un capteur que l'on fixe sur ou sous un vêtement ou qui y est intégré"
et que l'on peut diviser de la façon suivante: "applications en lien avec la condition physique, le bien-être et le suivi vital (p. ex. vêtement intelligent, lunettes de sport intelligentes, moniteur d'activité ou capteur de sommeil) susceptibles de plaire à des consommateurs qui ont tendance à suivre de près de nombreux aspects de leur vie; - applications d'infoloisirs (p. ex. montre intelligente, casque de réalité virtuelle ou lunettes intelligentes); applications sanitaires et médicales (p. ex. glucomètre permanent ou ensemble timbre et biocapteur); applications industrielles, policières et militaires (p. ex. terminal à porter sur la main, caméra à porter sur soi, casque de réalité virtuelle)".
(Source: CPVPC, Les accessoires intelligents, p. 2)
voir l'étude publiée par le Commissariat à la protection de la vie privée du Canada (CPVPC) intitulée Les accessoires intelligents: Défis et possibilités pour la protection de la vie privée ou encore l'article de Damien Leloup faisant état de "[sa] semaine avec des GoogleGlass" (Le Monde, 19 juillet 2014).

18 juillet 2014

CNIL: le BYOD en question

Si vous vous intéressez aux enjeux inhérents au Bring Your Own Device (BYOD), voir la dernière Lettre Innovation et Prospective de la Commission nationale de l'informatique et des libertés (CNIL) dans laquelle est notamment envisagé "le brouillage des frontières entre vie personnelle et vie professionnelle", "la différence de temporalité entre les marchés sur lesquels se fournissent les individus et les processus d'achat au sein des organisations", "des solutions mobilisées par les organisations pour gérer le BYOD" ou encore "l'équilibre [à trouver] entre protection des données des salariés et de l'entreprise dans le BYOD". 

28 juin 2014

Europe: avis du G29 sur la Loi québécoise sur la protection des renseignements personnels dans le secteur privé


Même si les dispositions de la loi québécoise renferment les principes énoncés par la Directive 95/46/CE, le G29 est d'avis qu’avant de pouvoir se prononcer sur l’adéquation de cette loi il convient de clarifier la question inhérente au partage des compétences entre le gouvernement fédéral et le Québec.
"Firstly, the Working Party stresses that the territorial scope of the Quebec Act in relation to the PIPEDA should be clearly defined before any decision on its adequacy is taken by the European Commission". 
(Source: Avis 7/2014, p. 17, voir également p. 4-5)
Le G29 considère également que la loi québécoise devrait entre autres  : 

- préciser la notion de responsable de la protection des renseignements personnels. 
Il est à noter que la Commission d'accès à l'information (CAI) du Québec, soit l'autorité chargée de surveiller l'application de cette loi, a fait une recommandation en ce sens dans son Rapport quinquennal de 2011 et qui se lit comme suit: 
"La Commission recommande que la Loi sur la protection des renseignements personnels dans le secteur privé prévoit la création de la fonction de responsable de l'accès et de la protection des renseignements personnels"
(Source: CAI, Rapport quinquennal 2011, p. 47) 
- préciser la notion de renseignements sensibles afin que la sensibilité des données ne soit pas seulement considérée au regard des mesures de sécurité qu’une entreprise doit mettre en œuvre. 
"Fourthly, the Working Party considers necessary any initiative, such as a legislation change or a Court ruling, offering a clear definition of the notion of “sensitive information”. In addition, the Working Party would welcome the systematic use of a highest level of protection when sensitive data is processed and encouraged the Quebec authorities and the CAI to work towards this goal. This higher level of protection should not be limited to security measures and could include adequate safeguards, such as the requirement of the explicit consent of the data subject for the processing". 
(Source: Avis 7/2014, p. 17, voir également p. 10)
- préciser les mécanismes permettant de s’assurer que la communication à l’extérieur du Québec des renseignements personnels répond aux exigences de la loi québécoise, en rendant par exemple obligatoire la conclusion d’un contrat entre les deux entités.
"Fifthly, the Working Party considers that the onward transfer principle needs to be clarified in Quebec’s law. In fact, any onward transfer should require the use of contractual or other binding provisions in order to provide a comparable level of protection with the protection awarded by EU law. A comparable level of protection refers to all data protection principles, and is not limited to the purposes of processing and the requirement of consent for further communication of the personal data. Consent should not be promoted as the general legal basis for onward transfers as the recipient then does not commit to take any action to ensure an adequate level of protection; this situation should thus remain an exception.
Sixthly, the Working Party would welcome the addition of a transfers section on the CAI Website which could provide more details concerning rules and practices for transfers and onward transfers outside Quebec".
(Source: Avis 7/2014, p. 17, voir également p. 9)
À suivre donc ...

Pour aller plus loin: 

18 juin 2014

Canada (CSC): anonymat et Internet

Le 13 juin dernier, dans l'arrêt R. c. Spencer (2014 CSC 43) la Cour Suprême du Canada (CSC) s'est prononcée sur une affaire dans laquelle la police, après avoir découvert, "l'adresse de protocole Internet (adresse IP) de l'ordinateur qu'une personne avait utilisé pour accéder à de la pornographie juvénile et pour la stocker à l'aide d'un programme de partage de fichiers, [...] a obtenu auprès du fournisseur de services Internet (FSI), sans autorisation judiciaire préalable, les renseignements relatifs à l'abonné à qui appartenait cette adresse IP" [par. 2].

Avant de présenter certains éléments d'analyse de la CSC, il convient de mentionner que même si elle considère que l'obtention de ces renseignements constitue une fouille [par. 6-67] abusive [par. 68-74], au regard de l'article 8 de la Charte canadienne des droits et des libertés, la CSC est d'avis que la preuve ainsi obtenu ne doit pas pour autant être écartée:
"Les infractions reprochées en l'espèce sont graves et sont punissables de peines minimales d'emprisonnement. La société a un intérêt manifeste à la fois à ce que l'affaire soit jugée et à ce que le fonctionnement du système de justice demeure irréprochable au regard des individus accusé de ces infractions graves. [...]
[J]'estime que c'est l'exclusion de la preuve, et non son admission, qui serait susceptible de déconsidérer l'administration de la justice et je suis d'avis de confirmer l'admission de cette preuve" [par. 80 et 81].
Dans cet arrêt, il convient notamment de souligner que la CSC rappelle que: 
- il existe "trois grandes catégories de droits en matière de vie privée, qui regroupent notamment les aspects qui ont trait aux lieux, à la personne et à l'information, et qui, malgré leur chevauchement fréquent, ont permis de préciser la nature des droits en matière de vie privée en jeu dans des situations particulières" [par. 35];
- le droit à la vie privée en ce qui a trait aux renseignements personnels "englobe au moins trois facettes qui se chevauchent, mais qui se distinguent sur le plan conceptuel. Il s'agit de la confidentialité, du contrôle et de l'anonymat" [par. 38]. "Le caractère privé des renseignements personnels est souvent assimilé à la confidentialité" [par. 39]. "Or, le droit à la vie privée comprend également la notion complexe, mais plus large, de contrôle sur l'accès à l'information et sur l'utilisation des renseignements" [par. 40]. "Il existe aussi une troisième conception de l'aspect informationnel du droit à la vie privée qui revêt une importance particulière dans le contexte de l'utilisation d'Internet. Il s'agit de l'anonymat" [par. 41].

Sur cette question de l'anonymat, la CSC indique que "le simple fait qu'une personne quitte l'intimité de sa résidence et pénètre dans un lieu public ne signifie pas qu'elle renonce à tous ses droits en matière de vie privée, même si, en pratique, il se peut qu'elle ne soit pas en mesure d'exercer un contrôle à l'égard des personnes qui l'observent en public. Par conséquent, pour protéger les droits en matière de vie privée dans certains contextes, il nous faut reconnaître l'anonymat comme une des conceptions de la vie privée" [par. 44]. Et, "s'agissant de l'utilisation d'Internet, [il lui] semble particulièrement important de reconnaître que l'anonymat s'inscrit parmi les conceptions de l'aspect informationnel du droit à la vie privée" [par. 45 - notre soulignement].
 
À ce sujet, elle retient le fait que "Internet a augmenté de façon exponentielle la qualité et la quantité des renseignements stockés concernant les internautes. L'historique de navigation, par exemple, permet d'obtenir des renseignements détaillés sur les intérêts et les préoccupations des utilisateurs. Les moteurs de recherche peuvent recueillir des renseignements sur les termes recherchés par les utilisateurs. Les annonceurs peuvent suivre les utilisateurs à travers les réseaux de sites Web et obtenir un aperçu de leurs intérêts et de leurs préoccupations. Les fichiers témoins peuvent être utilisés pour suivre les habitudes de consommation et peuvent fournir des renseignements sur les options sélectionnées dans un site Web, sur les pages Web consultées avant et après avoir visité le site d'accueil et tout autre renseignement personnel fourni. [...] L''utilisateur n'est pas en mesure d'exercer un contrôle total à l'égard de la personne qui peut observer le profil de ses activités en ligne et il n'est pas toujours informé de l'identité de celle-ci. Or, sous le couvert de l'anonymat - en protégeant le lien entre l'information et l'identité de la personne qu'elle concerne - l'utilisateur peut en grande partie être assuré que ses activités demeurent confidentielles " [par. 46]. Elle est d'avis qu'"il faut reconnaître que l'identité d'une personne liée à son utilisation d'Internet donne naissance à un intérêt en matière de vie privée qui a une portée plus grande que celui inhérent à son nom, à son adresse et à son numéro de téléphone qui figurent parmi les renseignements relatifs à l'abonné" [par. 47 - notre soulignement]. Elle ajoute que "la reconnaissance de la possibilité qu'il existe un intérêt en matière de vie privée à l'égard de l'anonymat, selon les circonstances, ne suffit pas pour reconnaître le "droit" à l'anonymat et n'a pas pour effet de menacer l'efficacité des autorités d'application de la loi relativement aux infractions commises sur Internet" [par. 49]
 
Partant, la CSC considère que "la demande de la police dans le but d'établir un lien entre une adresse IP donnée et les renseignements relatifs à l'abonnée visait en fait à établir un lien entre une personne précise [...] et des activités en ligne précise. Ce genre de demande porte sur l'aspect informationnel du droit à la vie privée relatif à l'anonymat en cherchant à établir un lien entre le suspect et des activités entreprises en ligne, sous le couvert de l'anonymat, activités qui, comme la Cour l'a reconnu dans d'autres circonstances, mettent en jeu d'importants droits en matière de vie privée" [par. 50].  
 
Dans cet arrêt, la CSC analyse également les cadres contractuel et réglementaire [par. 55 et suiv.], les pouvoirs en matières de fouilles, de perquisitions ou de saisies de la police [par. 68 et suiv.], la possible déconsidération de l'administration de la justice [par. 75 et suiv.] ou encore l'élément de faute de l'infraction de "rendre accessible" [par. 82 et suiv.].

11 juin 2014

9 juin 2014

Canada: nouveau commissaire au CPVPC

Le 5 juin dernier, Me Daniel Therrien a été nommé pour agir à titre de commissaire à la protection de la vie privée du Canada. 

29 mai 2014

CNIL: Le quantified self (cahier et bonnes pratiques)

A l'occasion de la publication du numéro 2 des Cahiers Innovation et Prospective portant sur "Le corps, nouvel objet connecté - Du Quantified Self à la M-santé: les nouveaux territoires de la mise en données du monde", la Commission nationale de l'informatique et des libertés (CNIL) rappelle quelques bonnes pratiques en cette matière, à savoir:
"1. Préférez l'utilisation d'un pseudonyme sur les plateformes où vos données peuvent être publiées.
2. N'automatisez pas le partage de vos données vers d'autres services (notamment vers les réseaux sociaux).
3. Ne partagez les données qu'avec un cercle de confiance (en limitant l'accès au travers du réglage de vos paramètres de confidentialité lorsque cela est possible).
4. Effacez et/ou récupérez vos données lorsque vous n'utilisez plus le service.
5. Dans le cas de l'utilisation d'une application ou d'un capteur dédié à un usage médical ou présenté comme tel (outil de diagnostic, suivi de pathologie), assurez-vous de la fiabilité des informations fournies auprès d'un professionnel de santé." 
(Source: CNIL, Article de 28 mai 2014)
Pour aller plus loin,

13 mai 2014

CJUE: Google et le droit à l'oubli

[Publié le 13 mai 2014  - Ajout le 14 mai 2014]
 

La Cour de justice de l'Union européenne (CJUE) a rendu, le 13 mai 2014, un arrêt "dans le cadre d'un litige opposant  Google Spain SL [...] et Google Inc à l'Agencia Espanola de Proteccion de Datos (AEPD) [...] et M. Costeja Gonzalez au sujet d'une décision de cette agence faisant droit à la plainte déposée par M. Costeja Gonzalez contre ces deux sociétés et ordonnant à Google Inc. d'adopter les mesures nécessaires pour retirer des données à caractère personnel concernant M. Costaja Gonzalez de son index et d'empêcher l'accès à celles-ci à l'avenir" (CJUE, Arrêt du 13 mai 2014, par. 2)

- "l'activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de "traitement de données à caractère personnel"; 
- "l'exploitant de ce moteur de recherche doit être considéré comme le "responsable" dudit traitement"; 
- "l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite"; 
- "il convient [...] d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, [...] demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question". 
(CJUE, Arrêt du 13 mai 2014, Motifs)

Pour aller plus loin: 

6 mai 2014

APPA: la protection des renseignements personnels à l'heure des mobiles (Mobilize your privacy)

Pour souligner la Semaine de sensibilisation à la protection de la vie privée, les autorités de protection de la vie privée de la zone Asie-Pacifique participantes ont publié l'affiche suivante visant à présenter les enjeux inhérents à la protection des renseignements personnels à l'utilisation d'un téléphone intelligent, d'une tablette ou de tout autre appareil mobile.


30 avril 2014

Canada: télécoms, autorités gouvernementales et protection des renseignements personnels

On peut lire sur le site du Commissariat à la protection de la vie privée du Canada (CPVPC) une déclaration de la commissaire par intérim "concernant l’information demandée par le [CPVPC] aux entreprises de télécommunications et à d’autres entreprises en ligne sur les demandes de renseignements émanant des autorités gouvernementales" et qui se lit comme suit: 
"En 2011, le Commissariat à la protection de la vie privée du Canada a examiné les enjeux associés au suivi en ligne et à l’infonuagique en prévision de l’examen parlementaire de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Nous nous préparions également à comparaître devant le Parlement pour donner notre point de vue sur diverses initiatives législatives touchant des dispositions sur l’accès licite. Dans le cadre de nos recherches, nous avons fait parvenir des lettres à 13 entreprises de télécommunications et autres entreprises en ligne pour les prier de fournir au Commissariat de l’information générale sur les demandes de renseignements qu’elles reçoivent des autorités gouvernementales.
En décembre 2011, le Commissariat a reçu une réponse du conseiller indépendant de l’Association canadienne des télécommunications sans fil [disponible en anglais seulement], renfermant des données regroupées fournies par neuf entreprises. Le rapport n’attribuait pas les réponses à un fournisseur en particulier, mais on y retrouvait les pratiques représentatives de l’industrie au Canada. Depuis, nous avons utilisé cette information pour étayer nos réflexions et nos recommandations à l’intention tant du Parlement que du gouvernement.
La LPRPDE n’oblige pas les entreprises à rendre public le type de renseignements qu’elles communiquent en réponse aux demandes des autorités gouvernementales. Le Commissariat a toutefois demandé plus de transparence dans ce domaine.
Dans son récent rapport spécial au Parlement intitulé Mesures de vérification et de contrôle, le Commissariat a formulé plusieurs recommandations visant à améliorer la transparence des organismes de sécurité nationale sans mettre en péril les objectifs de sécurité publique. En particulier, la recommandation no 6 préconise la présentation de rapports publics sur les statistiques quant au recours à diverses dispositions de la LPRPDE dans les cas où des entités du secteur privé telles des télécommunicateurs remettent des renseignements personnels à des organismes de sécurité nationale sans la supervision du tribunal.
De même, l’exposé de principes sur la réforme de la LPRPDE publié l’an dernier prône aussi une transparence accrue. La recommandation no 3, « Lever le voile sur les communications autorisées », est particulièrement pertinente à cet égard. Elle préconise que l’on oblige les organisations à rendre public le nombre de communications aux fins d’application de la loi effectuées en vertu de l’alinéa 7(3)c.1), à l’insu de l’intéressé et sans son consentement, et sans mandat, afin de faire la lumière sur la fréquence à laquelle on invoque cette exception et sur l’utilisation qui en est faite.
Nous espérons toujours que nos recommandations seront mises en œuvre.
La commissaire à la protection de la vie privée du Canada par intérim,
Chantal Bernier"
À suivre ... 

Pour aller plus loin: 

26 avril 2014

CPVPC: Perte d'un disque dur contenant des renseignements personnels d'employés

[Publié le 26 avril 2014 à 4:00 - Ajout le 26 avril 2014 à 11:00]

On peut lire sur le site de Radio-Canada que le Commissariat à la protection de la vie privée du Canada (CPVPC) "a égaré un disque dur [non crypté] contenant des renseignements personnels [nom, salaire, numéro des employés depuis 2002] sur quelque 800 employés et ex-employés". 

Pour aller plus loin, 

[Ajout] Voir également: 

20 avril 2014

Canada: projets de lois (C-580 et S-4) visant notamment les déclarations d'incidents

Comme l'illustre notamment le cas Heartbleed, le risque "zéro" n'existe pas et peu avoir des répercussions sur la protection des renseignements personnels. 

Les organismes publics ou les entreprises qui font l'objet de pareils incidents doivent agir rapidement pour circonscrire et réparer la faille. Il leur revient également d'aviser les personnes concerner pour que celles-ci puissent prendre les mesures nécessaires auprès de leurs institutions financières ou agences de crédit, par exemple.

Si certains pays ou provinces (i.e. l'Alberta) ont légiféré afin que de tels incidents soient déclarés auprès des autorités de protection des renseignements personnels, tel n'est pas le cas du législateur canadien.

En effet, ni la Loi sur la protection des renseignements personnels (visant le secteur public), ni la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ - visant le secteur privé) ne contiennent une telle obligation. La déclaration de ces incidents se fait donc sur une base volontaire au Commissariat à la protection de la vie privée du Canada (CPVPC).

Deux projets de lois viennent d'être déposé au Parlement du Canada afin d'introduire dans ces deux lois une telle obligation.   
Le Projet C-580 a été déposé le 25 mars 2014. Il a pour objet d'obliger toute institution fédérale à aviser le CPVPC "de tout incident ayant entraîné la perte ou la communication non autorisée de renseignements personnels ou l’accès non autorisé à ceux-ci, lorsqu’une personne raisonnable conclurait à l’existence d’un risque de préjudice pour l’individu concerné par cette perte, cette communication ou cet accès" (art. 11.1(2) neau). Pour évaluer le risque de préjudice, les éléments suivants devront être pris en considération: "a) le degré de sensibilité des renseignements personnels en cause; b) le nombre d'individus dont les renseignements personnels ont été touchés" (art. 11.1(3) neau). 
Ce projet vise les institutions fédérales, qui aux termes de l'art. 3 de la Loi sur la protection des renseignements personnels, s'entend comme étant: "a) tout ministère ou département d'État relevant du gouvernement du Canada, ou tout organisme, figurant à l'annexe [de la Loi]; b) toute société d'État mère ou filiale à cent pour cent dune telle société, au sens de l'article 83 de la Loi sur la gestion des finances publiques".
Il convient de remarquer que ce projet fait écho au Projet C-475 visant à modifier la LPRPDÉ et rejeté par la Chambre des communes en janvier dernier (billet)
Le projet S-4 a été déposé le 8 avril 2014. Il a pour objet, entre autres, d'obliger une organisation à déclarer au CPVPC "toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s'il est raisonnable de croire, dans les circonstances, que l'atteinte présente un risque réel de préjudice grave à l'endroit d'un individu" (art. 10.1(1) neau). Par "préjudice grave", il convient d'entendre "notamment la lésion corporelle, l'humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d'identité, l'effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d'emploi ou d'occasions d'affaires ou d'activités professionnelles" (art. 10.1(7) neau). Et afin d'évaluer si une telle atteinte "présente un risque réel de préjudice grave à l'endroit de l'intéressé", il conviendra de prendre en considération "notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l'être et tout autre élément prévu par règlement" (art. 10.1(8) neau). 
Ce projet vise les organisation, qui aux termes de l'art. 2 de la LPRPDÉ, "s'entend notamment des associations, sociétés de personnes, personnes et organisations syndicales".
Il convient de remarquer que les dispositions relatives aux atteintes aux mesures de sécurité et à l'obligation de déclaration au CPVPC prévues par ce projet de loi, ainsi que plusieurs autres, font écho à celles contenues au Projet C-12 mort au feuilleton lors de la prorogation du Parlement en septembre 2013 (billet).


Il conviendra de s'intéresser aux différentes étapes entourant les projets C-580 et S-4. À suivre donc ...

12 avril 2014

Europe: avis sur la surveillance des citoyens

Le 10 avril dernier, le Groupe institué par l'article 29 de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (G29) a publié un avis sur la surveillance des citoyens européens.

On peut lire sur le site de la Commission nationale de l'informatique et des libertés (CNIL) que:
"Dans son avis, le G29 souligne l'illégalité de la surveillance massive, systématique et sans distinction des citoyens européens, qui ne saurait être justifiée par la seule lutte contre le terrorisme ou d'autres considérations de sécurité publique. Il rappelle que de telles restrictions aux droits fondamentaux des citoyens européens ne sont pas acceptables dans une société démocratique.

En conséquence, le G29 recommande notamment que :
- Les Etats Membres de l'Union doivent garantir plus de contrôle et de transparence dans les activités de surveillance de leurs services de renseignement. Les individus doivent être informés et bénéficier de garanties adéquates de protection de leurs données lorsque celles-ci sont collectées et transférées. À cette fin, le G29 souhaite organiser à l’automne un débat sur le thème de la surveillance afin de mieux informer et conseiller les citoyens. Cet événement sera ouvert à toutes les parties prenantes;
- Afin que les abus des programmes de surveillance ne se répètent pas, un contrôle effectif et indépendant des services de renseignement est nécessaire, contrôle dans lequel les autorités de protection des données doivent jouer un rôle ;
- Les institutions de l'UE doivent finaliser les négociations sur la réforme de la protection des données personnelles et, en particulier, retenir la proposition faite par le Parlement européen d'un nouvel article 43a, dans le futur règlement, prévoyant l'obligation d'informer les individus lorsqu'il a été donné accès à leurs données à une autorité publique au cours des douze derniers mois ;
- Un traité intergouvernemental contraignant devrait être adopté afin de donner aux citoyens des garanties fortes en matière d’activité de renseignement.
Le G29 rappelle par ailleurs que le cadre légal européen actuel doit être pleinement respecté. Si tel n’est pas le cas, les responsables de traitement soumis à la juridiction de l'UE peuvent être sanctionnés et les flux de données suspendus par les autorités de protection des données.

L'adoption de cet avis du G29 prend une importance particulière du fait de la publication au même moment d’un arrêt de la Cour de justice de l'UE du 8 avril 2014, dans lequel celle-ci déclare la directive 2006/24/CE relative à la rétention des données contraire aux articles 7 et 8 de la Charte des droits fondamentaux de l'UE. Cet arrêt repose sur le constat que la directive, en autorisant la surveillance d'ensemble des données de communications par les États, ne limite pas l'impact sur les droits fondamentaux à ce qui est strictement nécessaire".

Pour aller plus loin, voir notamment: 

25 mars 2014

CPVPC: rapport d'enquête sur la perte d'un disque dur à EDSC (anciennement RHDCC)

En janvier 2013, le ministère des Ressources humaines et Développement des compétences (RHDCC), maintenant Emploi et Développement social Canada (EDSC), avait révélé avoir perdu un disque dur externe contenant des renseignements personnels au sujet de 583 000 personnes ayant contractés un prêt d'études. Le Commissariat à la protection de la vie privée du Canada (CPVPC) avait alors ouvert une enquête afin de déterminer s'il y a eu ou non atteinte à la Loi sur la protection des renseignements personnels. (billet)

Le CPVPC vient de publier son rapport d'enquête et on peut lire dans le communiqué que: 
"À la suite de la disparition d’un disque dur portatif contenant les renseignements personnels de 583 000 bénéficiaires de prêts d’études, une enquête souligne la nécessité de s’assurer que les politiques officielles sur la vie privée et la sécurité ne sont pas que des mots sur papier.
Une enquête du Commissariat à la protection de la vie privée du Canada a été réalisée après qu’Emploi et Développement social Canada (EDSC), anciennement Ressources humaines et Développement des compétences Canada, a déclaré la perte d’un disque dur.
Un rapport d’enquête déposé au Parlement aujourd’hui expose en détail comment le disque dur était laissé sans protection pendant de longues périodes, n’était pas protégé par un mot de passe et contenait des renseignements personnels non cryptés. De plus, les employés qui manipulaient le disque dur n’étaient pas au courant de la nature délicate des renseignements qu’il contenait.
Selon le rapport, l’écart entre les politiques et les pratiques d’EDSC a entraîné des faiblesses en ce qui a trait aux mesures de contrôle de l’information, aux mesures de contrôle de la sécurité physique et, surtout, à la sensibilisation des employés aux politiques et aux méthodes du Ministère.
« Cet incident devrait servir d’exemple pour toutes les organisations, a indiqué Chantal Bernier, commissaire à la protection de la vie privée par intérim. Mettre les politiques sur papier n’est pas suffisant pour assurer la protection des renseignements personnels. Les politiques doivent être mises en pratique chaque jour et surveillées régulièrement.
Nous sommes heureux qu’EDSC ait accepté toutes nos recommandations et qu’il ait commencé à prendre les mesures nécessaires pour les mettre en œuvre. Nous espérons que cette enquête incitera d’autres ministères fédéraux et des organisations du secteur privé à passer en revue leurs propres politiques et pratiques en matière de protection des renseignements personnels. »
Le Commissariat a entamé son enquête en janvier 2013, après qu’EDSC a signalé qu’un disque dur contenant un nombre considérable de renseignements personnels était disparu depuis deux mois.
Malgré tous ses efforts, le Ministère n’a pas réussi à retrouver le disque dur et il n’a pas pu déterminer si la perte était attribuable à une erreur humaine ou à un geste délibéré visant à nuire.
Le personnel du Programme canadien de prêts aux étudiants d’EDSC a utilisé le disque dur d’une capacité d’un téraoctet du Ministère pour effectuer une sauvegarde des renseignements relatifs au Programme qui étaient stockés dans l’ordinateur central en vue de leur transfert entre les disques durs du réseau.
Le disque dur contenait le numéro d’assurance sociale, le nom, la date de naissance, l’adresse personnelle et le numéro de téléphone, ainsi que le montant et le solde des prêts, de 583 000 bénéficiaires du Programme canadien de prêts aux étudiants. Il contenait aussi le sexe, la langue et l’état civil de certains bénéficiaires.
En raison de pratiques ministérielles défaillantes, EDSC n’a pas été en mesure de déterminer de façon définitive quels renseignements se trouvaient sur le disque dur portatif ou à quand remontait leur dernière mise à jour.
Néanmoins, EDSC affirme que rien n’indique jusqu’à maintenant que les renseignements personnels susceptibles d’être contenus sur le disque dur aient été consultés ou utilisés à des fins frauduleuses.
Selon l’enquête, les employés d'EDSC ont enfreint certains articles de la Loi sur la protection des renseignements personnels — la loi fédérale sur la protection de la vie privée qui s’applique au secteur public — portant sur l’utilisation, la communication et la destruction des renseignements personnels.
EDSC a accepté les 10 recommandations formulées par le Commissariat et a déjà fait d’importants progrès quant à la mise en œuvre de certaines d’entre elles, notamment :
  • Restreindre grandement l’utilisation de dispositifs de stockage portatifs et installer un logiciel sur les ordinateurs de bureau qui empêche l’utilisation de tels dispositifs sans autorisation;
  • Examiner périodiquement les dispositifs de stockage portatifs pour s’assurer qu’ils sont utilisés uniquement aux fins autorisées;
  • Passer en revue tous les fonds de documents, éliminer les documents temporaires et classifier les documents qui restent au niveau de sécurité approprié;
  • Adopter une nouvelle stratégie d’apprentissage intégrée portant sur la protection des renseignements personnels et prévoir la participation obligatoire de tous les employés et l’administration obligatoire d’un test tous les deux ans.
Le Commissariat à la protection de la vie privée du Canada fera un suivi dans un an pour s’assurer qu'EDSC a réalisé des progrès quant à la mise en œuvre des recommandations formulées.
« Pour atténuer efficacement les risques liés à la protection des renseignements personnels, il doit exister une synergie entre les mesures de contrôle de la sécurité et les mesures de contrôle relatives à la protection des renseignements personnels. La mise en œuvre de telles mesures de contrôle aidera EDSC, et l’ensemble des organisations, à protéger adéquatement les renseignements personnels que les Canadiennes et les Canadiens leur confient », a déclaré la commissaire par intérim, Chantal Bernier. Afin de mieux traiter les questions plus vastes d’ordre systémique, nous menons présentement une vérification de l’utilisation de dispositifs de stockage portatifs par des institutions fédérales sélectionnées, et nous venons de rendre publics de nouveaux conseils à l’intention des organisations sur le sujet. »
(Source: CPVPC, Communiqué, 25 mars 2014 - nos soulignements)
À suivre donc ... 

Pour aller plus loin,