27 février 2014

MIT et OSTP: Atelier sur les Big Data

Le 3 mars prochain le White House Office of Science and Technology Policy (OSTP) et le Massachusetts Institute of Technology (MIT) organisent un atelier sur les enjeux des données massives (Big Data) sur la vie privée. 
Big Data Privacy: Advancing the State of the Art in Technology and Practice 
[...] This event is part of a series of workshops on big data and privacy organized by the MIT Big Data Initiative at CSAIL and the MIT Information Policy Project. This workshop is also the first in a series of events being held across the country in response to President Obama’s call for a review of privacy issues in the context of increased digital information and the computing power to process it.
The workshop will convene key stakeholders and thought leaders from across academia, government, industry, and civil society for a thoughtful dialogue on the future role of technology in protecting and managing privacy. We will concentrate on core technical challenges associated with big data applications and provide a theoretical grounding for privacy considerations in large-scale information systems. We will explore the state of the art in privacy-protecting technologies and discuss how they can be applied to a diversity of big data applications.
Topics will include:
- Big Data Opportunities and Risks 
- State of the Art of Privacy Protection 
- Review of Emerging Privacy Technologies 
- Industry, Government, Academic Roundtable 
(Source: MIT, "Big Data Privacy Workshop") 
À suivre donc ... 

Pour aller plus loin: 

17 février 2014

CPVPC: Facebook et la réputation en ligne des non-utilisateurs

Dans le rapport de conclusions 2013-010 que le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de rendre public, on peut lire notamment que: 
  • Facebook a "accepté de mettre en œuvre un processus par lequel [l'entreprise] examinera les allégations d'usurpation d'identité de non-utilisateurs qui sont portées à son attention et fera enquête au cas par cas lorsque la victime demande un type d'aide en particulier" [par. 35]
  • "même si Facebook n'enverra pas lui-même des avis aux « amis » figurant sur la liste d'amis [d'un] imposteur pour les informer de la supercherie [en l'espèce, création d'un compte sous une fausse identité], [l'entreprise] a offert comme solution de faciliter un processus par lequel les non-utilisateurs eux-mêmes pourraient aviser les « amis » de l'imposteur. En définitive, cette solution met les non-utilisateurs sur le même pied que les utilisateurs, en leur permettant d'informer les « amis » de l'imposteur et de rétablir leur réputation en ligne à leur façon et comme ils l'entendent" [par. 36]
  • le CPVPC souhaite "remercier la plaignante d'avoir soulevé cette importante question auprès du Commissariat, car elle a pu ainsi attirer l'attention sur la crainte que l'accessibilité et la pérennité des renseignements personnels en ligne puissent nuire de façon inquiétante à la protection de la vie privée et à la réputation d'une personne. Comme les menaces pour la protection de la vie privée et la réputation sont si importantes et lourdes de conséquences, la protection des renseignements personnels et de la réputation en ligne doit être la responsabilité de tous, c'est-à-dire les autorités de protection des données, les organisations et les individus" [par. 38]
  • le CPVPC entend "également souligner que les personnes doivent être conscientes de leur présence en ligne. Ce cas rappelle l'importance de sensibiliser les jeunes et leurs parents aux usages abusifs de la technologie Internet et à la façon dont ces usages peuvent nuire à la réputation actuelle et future d'une personne. Il nous rappelle également d'être vigilants face à l'information qui existe en ligne sur chacun d'entre nous. Plus de faux renseignements nous concernant demeurent longtemps en ligne, plus ils risquent de porter atteinte à notre réputation" [par. 39]

Pour aller plus loin, voir: 
  • COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Rapport des conclusions en vertu de la LPRPDÉ 2013-010 (À la suite d'un cas où une adolescente a été victime d'usurpation d'identité en ligne, le site de réseautage social Facebook accepte d'aider, au cas par cas, les non-utilisateurs à rétablir leur réputation en ligne), 11 juillet 2013.

8 février 2014

Conseil d'État: rejet de la requête de Google contre la décision de la CNIL (politique de confidentialité)

Le Conseil d'État (plus haut tribunal de l'ordre administratif français) a rejeté, le 7 février 2014, la requête en suspension d'exécution de Google (billet) contre la décision de la Commission nationale de l'informatique et des libertés (CNIL) (billet) ordonnant à l'entreprise de publier sur son site le communiqué suivant:
"Communiqué: la formation restreinte de la Commission nationale de l'informatique et des libertés a condamné la société Google a 150 000 euros d'amende pour manquements aux règles de protection des données personnelles consacrées par la loi "informatique et libertés". Décision accessible à l'adresse suivante: http://www.cnil.fr/linstitution/missions/sanctionner/Google/"."
(Source: CNIL, Délibération n°2013-420, p. 28) 
L'ordonnance de rejet du juge des référés est notamment fondée sur les considérants suivants : 
"5. Considérant que la société requérante soutient que la publication ordonnée par la CNIL, sur la page d’accueil google.fr, utilisée par de très nombreux internautes, porterait une atteinte irréversible à sa réputation, de sorte que, alors même que le juge du fond ferait droit à sa demande d’annulation, le préjudice subi ne pourrait être réparé ; que, toutefois, la société, à laquelle il est d’ailleurs loisible, comme le relève la CNIL, de faire connaître aux utilisateurs de ses services, à l’occasion de la publication prescrite par la Commission, son désaccord avec les  griefs retenus et sa décision de demander au Conseil d’Etat, statuant au contentieux d’annuler la sanction dont elle fait l’objet et qui sera en mesure, en cas de modification ou d’annulation de cette sanction, d’en informer pleinement les utilisateurs d’internet, n’apporte aucun élément de nature à établir qu’un tel préjudice irréparable pourrait résulter de l’atteinte qui, selon elle, serait portée à sa réputation ;
6. Considérant, par ailleurs, que la société ne saurait soutenir et n’allègue d’ailleurs pas qu’une atteinte grave et immédiate pourrait être portée, par la sanction dont la suspension est demandée, à la poursuite même de son activité ou à ses intérêts financiers et patrimoniaux ou encore à un intérêt public ;
7. Considérant qu’il résulte de ce qui précède que la condition d’urgence posée par les dispositions de l’article L. 521-1 du code de justice administrative ne peut être regardée comme remplie ; qu’ainsi, sans qu’il soit besoin d’examiner si l’un au moins des moyens soulevés par la société est de nature à créer, en l’état de l’instruction, un doute sérieux sur la légalité de la sanction complémentaire litigieuse, la demande de la société Google Inc. tendant à ce que soit ordonnée la suspension de son exécution doit être rejetée ; "
(Source: Conseil d'État, Ordonnance n°374595, 7 février 2014)(nos soulignés)
On peut dès lors, et ce pour 48 heures à partir du 8 février 2014, voir le communiqué mentionné précédemment sur la page d'accueil de google.fr. 

Il convient de mentionner, comme le rappelle la CNIL que 
"cette décision ne préjuge pas du recours au fond qui demeure par ailleurs pendant devant le Conseil d'État"  
(Source: CNIL, Actualité, 7 février 2014)
À suivre donc ...

Pour aller plus loin, voir notamment: 

5 février 2014

NTIA: Consultation sur la reconnaissance faciale

Aux États-Unis, la National Telecommunications and Information Administration (NTIA) organise des consultations sur l'impact de l'utilisation commerciale de la reconnaissance faciale sur la vie privée. 

Les consultations auront lieu du 6 février au mois de juin 2014 et, à la suite de celles-ci, la NTIA entend proposer un guide sur ces enjeux. 
"The goal of the process is to develop a voluntary, enforceable code of conduct that specifies how the Consumer Privacy Bill of Rights applies to facial recognition technology."
(Source: NTIA, 3 December 2013)
Lors de cette première journée de consultation, les points suivants seront abordés: 
- Facial RecognitionTechnology Fundamentals : How Does Commercial Facial Recognition Technology Use Images or Videos to Create Biometric Identifiers? How Accurate is the Technology? 
- Commercial Applications of Facial Recognition Technology : How is Commercial Facial Recognition Technology Used to Identify or Authenticate Individuals? How is the Technology Used in Commercial Products? How are Facial  Recognition Data Collected and Shared? 
- Technical Privacy Safeguards for Facial Recognition : What Technical Safeguards are Employed to Protect Individuals’ Privacy when Facial Recognition Data are Collected and Used? How can Technical Solutions Enhance Transparency, Provide Individuals with Control, or Increase the Security of Facial Recognition Data?
(Source: NTIA, Agenda January 6, 2014)
À suivre donc ...

Pour aller plus loin, voir notamment: 

2 février 2014

Canada: rejet du Projet de loi C-475 visant à modifier la Loi sur la protection des renseignements personnels et les documents électroniques

Le 29 janvier 2014, la Chambre des communes a rejeté (133 pour / 150 contre) le Projet de loi C-475 visant à modifier la Loi sur la protection des renseignements personnels et les documents électroniques ("LPRPDÉ").  

Ce Projet de loi avait pour objet: 
- d'ajouter une obligation selon laquelle toute "organisation qui a la gestion de renseignements personnels avise le [Commissariat à la protection de la vie privée du Canada ou CPVPC] de tout incident ayant entraîné la perte ou la communication de renseignements personnels ou l'accès non autorisé à ceux-ci, lorsqu'une personne raisonnable conclurait à l'existence d'un risque de préjudice pour une personne en raison de cette perte ou communication ou de cet accès non autorisé" (Projet de loi, art. 1);
- de reconnaître au CPVPC la possibilité d'"ordonner [à la fin de l'examen d'une plainte] à l'organisation visée par la plainte de prendre toutes les mesures nécessaires afin de se conformer à la [LPRPDÉ]" (Projet de loi, art. 2)
- de conférer à la Cour fédérale le pouvoir d'imposer des amendes en cas de non-conformité. 

Ce Projet de loi avait été déposé en février 2013. Lors de la prorogation du Parlement en septembre 2013, il est devenu mort au feuilleton. Il avait été rétabli en octobre 2013 à l'ouverture de la 2° session de la 41° législature.  

Il est à noter que ce projet de loi s'inscrivait dans le sens du Projet de loi C-12 (déposé en septembre 2011 et mort au feuilleton lors de la prorogation du Parlement en septembre 2013) et des recommandations mises de l'avant par le CPVPC en mai 2013 pour réformer la LPRPDÉ (billet).