28 juin 2011

Mexique et politiques de confidentialité

Les dispositions relatives aux politiques de confidentialité contenues dans la Ley federal de proteccion de datos personales en posesion de los particulares doivent entrer en vigueur au mois de juillet 2011. À cette fin, comme indiqué sur Privacy and Information Security Law Blog,

"On June 24, 2011, the U.S. Department of Commerce’s International Trade Administration released a PowerPoint presentation on Mexico’s new private sector data protection law that was shared at a meeting of the OECD Working Party on Information Security and Privacy by Mexico’s Ministry of Economy and Federal Institute for Access to Information and Data Protection (“IFAI”).  The presentation provides guidance on the creation of privacy notices and establishment of self-regulatory schemes, and also outlines the responsibilities of the Ministry of Economy and the IFAI with respect to implementation of the law.  As we previously reported, the requirements concerning self-regulation and providing privacy notices to consumers go into effect this July, with the balance of the law, granting individual participation rights to consumers, effective in January 2012."
(Source: Privacy and Information Security Law Blog, June 24, 2011)

------
(14/07/2011) Consultation publique au sujet de la loi fédérale mexicaine - voir à ce sujet le billet "Mexico Issues Privacy Regulations for Public Comment - Full Text" posté sur Privacy and Information Security Law Blog en date du 6 juillet 2011.

(29/07/2011) Voir le billet "Mexico's Draft Privacy Regulation: English Translation" posté sur Privacy and Information Security Law Blog en date du 28 juillet 2011.

27 juin 2011

Europe: "cookie" ... un an de plus

Un article publié dans Out-Law.com nous apprend que "EU companies have a year to standardise cookie opt outs" faisant ainsi référence à un discours prononcé le 22 juin 2011 par la vice-présidente en charge de la stratégie numérique européenne, Neelie Kroes. 

Rappelons que les pays membres de l'Union européenne avaient jusqu'au 25 mai 2011 pour transposer dans leur législation nationale une disposition relative aux cookies issue de la Directive 2009/136/CE (billet), ce qui est le cas du Royaume-Uni, du Danemark, de l'Estonie, de la Finlande, de la Suède et des Pays-Bas.

Pour plus de détails, voir notamment: 

25 juin 2011

eG8 ... la suite à l'OCDE

Les 28 et 29 juin 2011, une réunion aura lieu sous l'égide de l'Organisation de coopération et de développement économiques 
"pour faire avancer les débats sur la régulation de l'Internet et sur la meilleure façon d'en maintenir la croissance et l'innovation. Cette réunion de deux jours fait suite au Forum eG8, organisé fin mai à l'invitation du Président français Nicolas Sarkozy, qui a rassemblé des dirigeants du secteur et des responsables gouvernementaux pour débattre de la politique d'Internet". 

Pour plus de détails, voir notamment: 

24 juin 2011

Europe: publication d'une enquête sur l'application des principes pour des réseaux sociaux plus sûrs

La Commission européenne vient de publier une étude sur la mise en oeuvre des principes de l'Union européenne pour des réseaux sociaux plus sûrs. 

Ces principes signés par plusieurs prestataires de services de socialisation, en février 2009, visent à limiter le harcèlement des plus jeunes sur Internet ou encore la divulgation de renseignements personnels. Pour ce faire les prestataires se sont engagés à mettre en place différentes mesures, par exemple: 
" - placer sur leur site un bouton "signaler un abus" accessible et simple d'emploi permettant aux utilisateurs de signaler en un seul clic toute conduite et tout contact inappropriés d’un tiers;
- veiller à ce que les profils et les listes de contacts d’utilisateurs de sites web qui se sont déclarés comme mineurs soient «privés» par défaut. Il sera ainsi plus difficile pour les personnes malintentionnées de contacter ces jeunes internautes;
- s’assurer que les profils privés des utilisateurs mineurs ne soient pas accessibles (ni directement à partir du site, ni via les moteurs de recherche);
- garantir que les options de vie privée sont bien visibles et accessibles à tout moment, afin que les utilisateurs puissent facilement déterminer si ce qu’ils diffusent en ligne peut être vu par le monde entier ou par leurs amis seulement;
- empêcher les enfants trop jeunes d’utiliser leurs services: si un site de socialisation a pour cible les adolescents de 14 ans et plus, il doit être difficile pour un enfant plus jeune de s’y enregistrer."
(Source: IP/09/232)

L'étude qui vient d'être publiée révèle que 
"seuls deux sites de socialisation (Bebo et MySpace) examinés pour le compte de la Commission européenne ont des paramètres par défaut qui prévoient que les profils des mineurs ne sont accessibles qu'aux personnes figurant sur leur liste approuvée et quatre sites seulement (Bebo, MySpace, Netlog et SchuelerVZ) garantissent par défaut que les mineurs ne peuvent être contactés que par leurs amis. Toutefois, sur les quatorze sites de socialisation examinés, une majorité fournit aux mineurs des informations relatives à la sécurité d'une manière adaptée à leur âge, répond aux demandes d'assistance et fait en sorte que les profils de mineurs ne soient pas accessibles à partir de moteurs de recherche externes".  
(Source: IP/11/762)

Face à ces résultats, la vice-présidente de la Commission européenne chargée de la stratégie numérique invite les prestataires de services de socialisation "à prendre le ferme engagement de remédier à cette situation" et, elle indique que "l'éducation et la supervision parentale sont nécessaires, mais nous devons les renforcer par une protection supplémentaire jusqu'à ce que les jeunes soient en mesure de prendre des décisions en étant pleinement conscients des conséquences". (Source: IP/11/762)

Pour plus de détails sur l'étude, voir notamment: 
Pour plus de détails sur les principes pour des réseaux sociaux plus sûr, voir notamment: 

22 juin 2011

CPVPC: rapport annuel 2010 sur la LPRPDÉ

Le Commissariat à la protection de la vie privée du Canada vient de publier son rapport annuel sur l'application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ). 

Ce rapport insiste particulièrement sur la protection de la vie privée en ligne. En effet, les affaires Facebook, eHarmony, Google Buzz, Bureau en gros ou encore les consultations menées par le CPVPC font en sorte que "la protection de la vie privée en ligne revêt une importance sans cesse grandissante pour [cette autorité], et c'est pourquoi [ils ont] décidé d'en faire un thème majeur du rapport annuel de cette année" (p. 4). 

Pour plus de détail sur ce rapport, voir notamment: 
Pour plus de détail sur l'affaire Bureau en gros concernant la destruction de renseignements personnels, voir notamment: 

19 juin 2011

Europe: enquête sur la protection des données et l'identité numérique

La Commission européenne vient de publier les résultats de l'enquête Eurobaromètre sur la protection des données et l'identité numérique. On peut lire, dans le communiqué de presse, par exemple que
  • "trois européens sur quatre acceptent que la divulgation de données à caractère personnel soit désormais monnaie courante, mais se disent également inquiets de la manière dont les entreprises - y compris les moteurs de recherche et les réseaux sociaux - utilisent les informations qui les concernent" ; 
  • "cinquante-huit pour cent des internautes lisent les déclarations de confidentialité en ligne, sans pour autant tous les comprendre. Globalement, 62% des utilisateurs ne comprennent pas ces déclarations, ou ne les lisent pas, ou ne les trouvent pas, ou encore les ignorent. Lorsqu'ils les lisent effectivement, ils se montrent plus prudents en ce qui concerne leurs données. La réforme de la protection des données a pour but principal de renforcer les règles, de sorte que les prestataires de services rendent plus transparent le fonctionnement de leurs services (quelles données sont recueillies et ensuite traitées, à quelles fins, où et comment sont-elles conservées ?), et de garantir l'application de mesures de sécurité idoines".
Pour plus de détails sur cette enquête, voir: 
(27/08/2011)

États-Unis: un projet de loi, des projets de lois.

Devant la multiplication des projets de lois à l'étude au Congrès, Josephine Liu vient de publier sur InsidePrivacy un aperçu de ceux visant à encadrer la vie privée et les renseignements personnels aux États-Unis. 

2011, année des failles de sécurité

2011, année des failles de sécurité ... tel est le constat formulé par Colin J. Zick dans un billet publié sur Security, Privacy and the Law.

16 juin 2011

Europe: rapport annuel 2010 du CEPD

Le Contrôleur européen de la protection des données vient de publier son rapport annuel 2010. Dans ce rapport il est fait mention des actions de supervision, de consultation et de coopération réalisées en 2010. Les principales priorités pour 2011 y sont également précisées, dont notamment la révision de la Directive 2006/24/CE sur la conservation des données (billet), le suivi quant aux enjeux des RFID, du cloud computing, de l'administration en ligne, des scanners corporels et quant à l'application des principes de responsabilisation et de la protection intégrée de la vie privée (Privacy by Design).

Pour plus de détails sur le rapport annuel 2010, voir:

15 juin 2011

CNIL: rappel pour les éditeurs d'applications mobiles


Voir à ce sujet:
----------
(25/06/2011) Sur la problématique "applications mobiles et respect de la vie privée", voir l'enquête réalisée par TRUSTe et Harris Interactive publiée le 27 mai 2011. Cette enquête est téléchargeable à partir de l'adresse suivante: http://www.truste.com/why_TRUSTe_privacy_services/harris-mobile-survey/index.html.  

13 juin 2011

Nouvelle-Zélande: stratégie sur la cybersécurité

La Commissaire à la vie privée de la Nouvelle-Zélande accueille favorablement la stratégie gouvernementale sur la cybersécurité basée sur les priorités suivantes: 
1. Increasing Awareness and Online Security;
2. Protecting Government Systems and Information;
3. Incident Response and Planning.  
Ainsi on peut lire sur le site du Commissaire à la vie privée le communiqué suivant que nous reproduisons ici:   
New cyber security strategy a welcome start, says Privacy Commissioner 
Privacy Commissioner Marie Shroff today called the Government's new cyber security strategy "a welcome start towards protecting New Zealanders against online misuses of their personal information".
"Increasingly, our economic success as well as our communication and leisure activities rely on us being able to trust that our personal information is secure online," Marie Shroff said.
"You only have to look at some of the major internet privacy breaches in recent months - most recently the Sony hacking episodes - to see the damage that such breaches can cause both for the people and for the businesses involved.
"Our public attitude surveys tell us strongly that people are alarmed about the safety of their personal information online. For example, about 88% (72% very concerned) are worried about children's safety online, and over 90% (78% very concerned) of New Zealanders are concerned about unauthorised business use or misuse of their information. Also Unisys' security surveys clearly show how concerned people are about what is happening with their information online.
"The ICT industry in New Zealand, as elsewhere, is starting to take some real responsibility for improving security of personal information. But there is room for government action as well, in partnership with the industry, regulators such as my office, and expert non-government organisations like NetSafe.
"So I am very pleased to see the launch of the Government's cyber security strategy," Marie Shroff said. "I look forward to learning how implementation of the strategy will support existing efforts, such as those of my office, to provide people and businesses with information about how to protect themselves. I hope it will also better insulate our critical infrastructure, and the personal information it contains, against external attack.
"But we need to remain vigilant if we are to get the most from the opportunities that new technologies offer to us. Having a strategy does not guarantee safety or trust. It may be necessary to support the strategy by enhancing some of the legal protections available. For example, the Law Commission will soon report on whether New Zealand needs a mandatory breach notification law to better protect consumers, and whether the Privacy Act needs greater 'teeth' to cope with our twenty-first century online environment. I look forward to seeing these and other proposals as they emerge."
 
(Source: Privacy Commissioner, Media Release, June 8, 2011)

Pour plus de détails sur la stratégie gouvernementale, voir :
  • NEW ZEALAND GOVERNMENT, New Zealand's Cyber Security Strategy, June 2011. 

11 juin 2011

Facebook et la reconnaissance faciale

Depuis le 7 juin 2011, Facebook a rendu accessible la reconnaissance faciale à tous les amis du réseau social. Des voix s'élèvent contre cette fonctionnalité qui est activée par défaut, c'est-à-dire sans le consentement des personnes concernées.
Et, on peut lire sur le site de l'Electronic Privacy Information Center l'annonce suivante:
"EPIC Files Complaint, Urges Investigation of Facebook's Facial Recognition Techniques - Today [le 10 juin 2011] EPIC, and several privacy organizations, filed a complaint with the Federal Trade Commission about Facebook's automated tagging of Facebook users. EPIC alleged that the service was unfair and deceptive and urged the FTC to require Facebook to suspend the program, pending a full investigation, the establishment of stronger privacy standards, and a requirement that automated identification, based on user photos, require opt-in consent. EPIC alleged that "Users could not reasonably have known that Facebook would use their photos to build a biometric database in order to implement a facial recognition technology under the control of Facebook." EPIC warned that "absent injunctive relief by the Commission, Facebook will likely expand the use of the facial recognition database it has covertly established for purposes over which Facebook users will be able to exercise no meaningful control.""
(Source: EPIC)
----------
Voir également:

(26/06/2011) "Use of Facial Recognition Technology Raises Privacy Concerns", Privacy and Information Security Law Blog, June 24, 2011.

(04/08/2011) "L'Allemagne critique la reconnaissance faciale de Facebook", Le Monde, 03 Août 2011. 

(13/08/2011) Benjamin FERRAN, "La reconnaissance de visage de Facebook inquiète", Le Figaro, 4 août 2011.

(31/08/2011) Sylvain MÉTILLE, "La reconnaissance faciale sur Facebook pose problèmes tant en droit européen qu'aux USA", Droit et Nouvelles technologies, 29 août 2011. 

États-Unis: Projet sur la cybersécurité ... suite

Dans la continuité du projet sur la cybersécurité de l'Administration Obama (billet) et d'un précédent rapport intitulé Commercial Data Privacy and Innovation in the Internet Economy: A Dynamic Policy Framework, le U.S. Department of Commerce Internet Policy Task Force vient de publier le rapport Cybersecurity, Innovation and the Internet Economy

Ce rapport met de l'avant les points suivants: 
1. Create a nationally recognized approach to minimize vulnerabilities for the Internet and Information Innovation Sector (I3S)
a. Facilitate the development of I3S-specific, consensus-based codes of conduct
b. Promote adoption of particular keystone standards and practices
c. Accelerate promotion of automation in security
d. Improve and modernize security assurance
2. Develop incentives for I3S to combat cybersecurity threats
a. Using security disclosure as an incentive
b. Facilitate information sharing and other public/private partnerships in the I3S to improve cybersecurity
c. Develop the right mix of incentive to promote adoption of cybersecurity best practices
3. Education and Research
a. Develop better cost/benefit analysis for I3S cybersecurity
b. Measures I3S cybersecurity education efforts
c. Facilitate research and development for deployable technologies
4. Internationale Cooperation
(Source: Rapport US Department of Commerce Internet Policy Task Force, p. 3-6)
Pour aller plus loin, voir: 


7 juin 2011

CPVPC: rapport d'enquête relatif à Google

Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier le rapport de conclusions de son enquête menée auprès de Google Inc. quant à la collecte de données WiFi.

L'enquête initiée en mai 2010 en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques portait sur les allégations suivantes:
  1. "la collecte de renseignements personnels par Google ne se [limite] pas aux renseignements nécessaires aux fins déterminées par l'organisation;
  2. Google a recueilli des renseignements personnels sans déterminer et communiquer au préalable les fins auxquelles ces renseignements [doivent] être recueillis;
  3. Google a recueilli des renseignements personnels à l'insu et sans le consentement des personnes concernées"
(Source: CPVPC, Rapport des conclusions)
Après plusieurs rencontres entre le CPVPC et Google, le CPVPC se dit satisfait "des mesures que Google a accepté de mettre en oeuvre, notamment:

  • augmenter substantiellement la formation sur la protection de la vie privée et la sécurité offerte à tous les employés;
  • mettre en place un système permettant d'exercer un suivi sur tous les projets nécessitant la collecte, l'utilisation ou la mise en mémoire de renseignements personnels, et exiger des ingénieurs et des gestionnaires responsables de ces projets qu'ils rendent des comptes au sujet de la confidentialité; obliger tous les chefs de projets d'ingénierie à conserver, à présenter et à tenir à jour pour chaque projet un document de définition de la confidentialité afin de s'assurer que les équipes techniques et les équipes de conseillers en produits évaluent les répercussions de leurs produits et services sur la vie privée, depuis leur conception jusqu'à leur lancement;
  • créer une équipe de vérification interne qui procèdera à des contrôles périodiques pour s'assurer que les documents de définition de la confidentialité sélectionnés ont bien été préparés et qu'ils ont été révisés par les gestionnaires compétents;
  • lancer un projet pilote d'examen dans le cadre duquel les membres de l'équipe technique en matière de confidentialité, de l'équipe de conseillers en produits et de l'équipe de conseillers en matière de confidentialité étudient les propositions associées à des données géodépendantes, ainsi que les programmes logiciels servant à la collecte de données."
(Source: CPVPC, Document d'information, 06 juin 2011)
Partant, le CPVPC "fera un suivi auprès de Google l'an prochain afin de s'assurer que toutes ses recommandations ont bien été mises en oeuvre" comme l'indique un communiqué émis le 06 juin 2011.


Pour plus de détails, voir notamment:
Ou encore:

4 juin 2011

Pour continuer la réflexion sur certains billets

L'Inde a récemment adopté une loi visant à encadrer la protection des renseignements personnels, comme mentionné dans un précédent billet. Toutefois, comme le révèle un article du Washington Post cette loi ne fait pas que des heureux. 
Toujours au sujet de cette loi, voir également les articles suivants: 

------
Aux États-Unis, comme indiqué dans un précédent billet, le projet de loi S 799 - Commercial Privacy Bill of Rights of 2011 est à l'étude. S'il est adopté ce projet fédéral pourra avoir des répercussions sur les lois actuellement en vigueur dans les États américains comme le précise une analyse de Lee Tien pour l'Electronic Frontier Foundation.

------
En France, après avoir noté l'absence des autorités de protection des consommateurs et de protection des données personnelles lors du eG8, la Commission nationale de l'informatique et des libertés constate que la déclaration finale appelle notamment
"à la définition d'approches communes tenant compte des cadres juridiques nationaux, qui soient fondées sur les droits de l'homme et protègent les données à caractère personnel, tout en permettant les transferts légitimes de données".
Cette définition qui fait écho à la Résolution sur des normes internationales de vie privée adoptée à Madrid lors de la 31° Conférence internationale des commissaires à la protection des données et de la vie privée.

Partant, la CNIL indique qu'
"il s'agit maintenant de passer à la seconde étape consistant à traduire cette résolution en une réalité juridique concrète, ce qui nécessite des initiatives urgentes, audacieuses et s'inscrivant dans le long terme"
(Source: CNIL, 1 juin 2011)
Pour plus de détails, voir notamment: 

3 juin 2011

Californie: des amendements contestés ... et rejetés

Le projet de la sénatrice Corbett visant à ajouter une section relative à la vie privée à la Division 1 du California Code civil, que nous évoquions dans un précédent billet, a été rejeté, une seconde fois, par 19 voix contre 17.

Voir également sur ce sujet:

    1 juin 2011

    Europe: évaluation de la directive sur la conservation des données


    En effet, selon le CEDP l'analyse faite conformément à l'article 14 de ladite directive démontre que celle-ci
    "ne répond par aux exigences fixées par le droit fondamental à la protection de la vie privée et des données, en particulier pour les raisons suivantes:
    • la nécessité de la conservation des données telle que fixée par la directive n'a pas été clairement démontrée;
    • la conservation des données pourrait être réglementée de façon moins contraignante;
    • la directive laisse une trop grande marge de manoeuvre aux États membres quant aux finalités pour lesquelles les données peuvent être utilisées, et sur qui peut accéder aux données et sous quelles conditions."
    (Source: CEDP, Communiqué de presse, 31 mai 2011)
    Pour plus de détails voir,