28 juillet 2011

CNIL: biométrie comportementale

On peut lire sur le site de la Commission nationale de l'informatique et des libertés que cette dernière a autorisé une entreprise a utiliser, à titre de démonstration, un procédé "reposant sur la reconnaissance de la frappe au clavier".

Ce procédé de biométrie comportementale "permet d'identifier un individu en utilisant une ou plusieurs de ses caractéristiques non physiques (par exemple, sa manière de frapper au clavier, le maniement de sa souris ou sa démarche)." (Source: CNIL, Article du 28 juillet 2011) 

Pour plus de détail, voir notamment:

Par ailleurs, sur le thème de la biométrie et plus particulièrement sur le système de reconnaissance faciale proposé notamment par Facebook (billet), voir entre autres: 

26 juillet 2011

Hong Kong: lancement d'une consultation

On peut lire sur le site de l'Office of the Privacy Commissioner for Personal Data de Hong Kong que cette autorité "has issued a consultation document to mark the commencement of a consultation exercise to solicit the views of data users concerned and other stakeholders on launching the Data User Return Scheme (“DURS”)". (Source: OPCPD Communiqué de Presse) 

Pour plus de détails, voir notamment:

21 juillet 2011

Commission européenne: procédure pour défaut de transposition

Comme mentionné précédemment (billet) les États membres de l'Union européenne avaient jusqu'au 25 mai 2011 pour adopter et publier les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la Directive 2009/136/CE.

Devant le défaut de plusieurs États membres, "la Commission européenne a envoyé des demandes de renseignements à vingt États membres de l'UE n'ayant pas encore notifié les mesures assurant la transposition complète de la nouvelle réglementation de l'UE en matière de télécommunications dans leur droit national." (Source: EUROPA, Communiqué de presse, 19 juillet 2011)

Les 20 États membres qui ont reçu une mise en demeure ont deux mois pour répondre et, "s'ils ne répondent pas ou si leurs réponses ne satisfont pas la Commission, celle-ci pourra leur adresser une demande formelle de mise en œuvre de la législation (demande qui prendra la forme d’un avis motivé en application des procédures de l’UE en matière d’infractions) et, à terme, saisir la Cour de justice de l'Union européenne." (Source: EUROPA, Communiqué de presse, 19 juillet 2011)
   
Pour plus de détails, voir notamment:

17 juillet 2011

France: rapport sur les droits de l'individu dans la révolution numérique

Le 24 juin dernier, l'Assemblée nationale a mis en ligne le Rapport d'information n°3560 sur les droits de l'individu dans la révolution numérique préparé par la Mission d'information commune et dont les rapporteurs sont les députés Patrick Bloche et Patrice Verchère.

L'objectif de cette mission créée au printemps 2010 par la commission des Lois et la commission des Affaires culturelles de l'Assemblée nationale était de 
"mener une réflexion globale sur les opportunités et les risques que les nouvelles technologies de l’information et de la communication représentent pour la garantie des droits individuels." 
(Source: Communiqué de presse, 8 avril 2010)

Le rapport comprend quatre titres
  • L'internet au service des droits de l'individu
    • La liberté d'expression et de communication, l'accès à l'information, la connaissance et la culture à l'ère numérique
    • Internet, un nouvel instrument au service de la démocratie
    • Internet, de nouveaux rapports entre les citoyens et l'État
  • Le droit à une protection dans l'univers numérique
    • Le droit à la vie privée: une protection à réinventer à l'ère du numérique
    • La sécurité des échanges de données sur les réseaux: une garantie nécessaire
    • Les droits de mineurs dans l'univers numérique
  • Le droit à l'accès à Internet
    • Quelle neutralité de l'Internet ?
    • Améliorer l'égalité dans les conditions d'accès à Internet: la lutte contre les fractures numériques
  • Quelle gouvernance au service de ces droits ?

La conclusion du rapport se lit comme suit:
"La conclusion de ce rapport ne peut être que provisoire car nous ne sommes qu’au début d’un processus qui connaîtra des développements que nous ne sommes pas encore en mesure d’imaginer aujourd’hui. C’est le propre d’une révolution ; c’est ce qui fait également le sel de ce que nous vivons actuellement.
Ce rapport s’efforce de tracer quelques lignes de force qui peuvent guider une action. Face à la labilité du monde dans lequel nous évoluons, l’énoncé de principes stables est essentiel, notamment pour les plus jeunes.
Loin de se conclure par un constat d’impuissance pour les États, on a entendu, au contraire, montrer qu’en raison même des bouleversements nés de la révolution numérique, les autorités publiques trouvaient une nouvelle légitimité à agir. Mais cette régulation du monde numérique ne peut se faire qu’au profit des individus et de l’exercice de leurs droits et surtout en ayant toujours à l’esprit le
principe de liberté qui est consubstantiel à l’idée même d’Internet ; c’est pourquoi cette régulation ne peut être menée que si les citoyens sont eux-mêmes en situation de manifester leurs choix de manière éclairée et de les faire respecter. Ils doivent être des acteurs à part entière de cette régulation.
C’est donc en une nouvelle conjonction, heureuse, de l’action des autorités publiques, nationales et internationales, et des citoyens qu’il faut placer ses espoirs, conjonction désormais facilitée au moins techniquement par Internet. C’est sans doute la condition nécessaire pour que les droits de l’individu puissent demain pleinement s’épanouir dans l’univers numérique." 
(Source: Rapport, p. 311)

Et, comme indiqué en introduction de rapport "la mission d'information a souhaité non pas, comme à l'accoutumée, faire une liste de propositions; elle a entendu plutôt fixer 54 orientations pour l'avenir. Certaines se déclinent en propositions précises; d'autres déterminent le cap" (p. 17).

Les orientations concernant le droit à une protection dans l'univers numérique se présentent comme suit:
  • Droit à la vie privée
    • 15: protéger l'intimité des internautes en limitant les "recherches d'amis" sur les réseaux sociaux
    • 16: pour des systèmes de géolocalisation autorisés et non plus simplement déclarés auprès de la CNIL
    • 17: intégrer dans l'usage des puces RFID le respect de la vie privée
    • 18: clarifier le statut juridique de l'adresse IP pour renforcer la protection des données personnelles qui lui sont liées
    • 19: pour une destruction et une anonymisation complète des données par les fournisseurs de services après six mois
    • 20: permettre à l'internaute, mieux informé, de contrôler ses données personnelles
    • 21: instaurer un droit à l'oubli sur les réseaux sociaux
    • 22: renforcer l'information des internautes en matière de ciblage publicitaire
    • 23: développer des navigateurs Internet protecteurs et plus transparents en matière de ciblage publicitaire
    • 24: assurer et préserver un haut niveau de protection des données en Europe; 
    • 25: obliger tout responsable de traitements à notifier les failles de sécurité
    • 26: renforcer l'information des personnes dont les données personnelles sont collectées
    • 27: exclure du cloud computing réalisé hors de l'Union européenne les données personnelles dites "sensibles"
    • 28: soumettre les acteurs du cloud computing à des audits de sécurité réguliers
    • 29: renforcer l'indépendance du groupe de travail G29
    • 30: faire de privacy by design un atout majeur pour l'Europe
    • 31: mettre fin aux difficultés liées à l'extraterritorialité du droit applicable en matière de protection des données
    • 32: un action diplomatique forte pour l'adoption d'une convention internationale en matière de protection de la vie privée
  • Sécurité des échanges de données sur les réseaux
    • 33: renforcer les procédures d'information en cas de faille de sécurité
    • 34: mieux encadrer l'importance et les conséquences des transferts de données personnelles dans le cadre du cloud computing
  • Droits des mineurs dans l'univers numérique
    • 35: promouvoir le droit à la déconnexion
    • 36: renforcer l'éducation aux médias et la place du numérique à l'école
    • 37: renforcer le contrôle parental
    • 38: renforcer la mission d'éducation aux médias de l'audiovisuel public
    • 39: renforcer le rôle des médias dans l'éducation numérique
    • 40: confier au Conseil national du numérique un rôle ambitieux de corégulation en matière de prévention et d'éducation aux médias
    • 41: renforcer la corégulation au plan européen en mettant l'acent sur plusieurs priorités

Pour plus de détails, voir notamment: 
Pour aller plus loin sur la question "droit" et "révolution numérique", lire notamment: 

    Europe: avis sur le consentement

    Le Groupe de travail "Article 29" sur la protection des données vient de publier un avis sur la notion de consentement (Avis 15/2011). Cet avis s'inscrit dans les travaux de la Commission européenne pour "une approche globale de la protection des données à caractère personnel dans l'Union européenne" dont l'un des objectifs est de garantir un consentement éclairé et libre (section 2.1.5). 

    Dans cet avis, le Groupe de travail "Article 29" explore "role of concept: ground for lawfulness" avant de s'arrêter sur certains "related concepts" ("control", "tranparency", "activity/timing: ways to signify consent") et, d'examiner "appropriate use of consent as a legal basis". 

    Par la suite, il analyse la notion de consentement au regard de la
    Le Groupe de travail "Article 29" en arrive à la conclusion que: 
    "This opinion looks into the legal framework regarding the use of consent under Directive 95/46/EC and Directive 2002/58/EC. The goal of this exercise is twofold: First, it aims to clarify the existing legal requirements and illustrate how they work in practice. At the same time, in doing so, it provides a reflection on whether the existing framework remains suitable in the light of the many new ways of processing personal data or whether changes to it may be necessary."
    (Source: Avis 15/2011, p. 33) 
    Pour plus de détails, voir notamment:

    14 juillet 2011

    Commission européenne: lancement d'une consultation sur les règles de pratiques de notification des violations de données à caractère personnel

    En vertu de la directive dite "vie privée et communications électroniques" (modifiée par la D2009/136/CE), en cas de violation de données à caractère personnel, les fournisseurs d'un service de communications électroniques accessible au public doivent avertir leur autorité nationale et les personnes concernées.

    Dans le but d'harmoniser les pratiques au sein de l'Union européenne, la Commission lance une consultation sur les règles pratiques de notification des violations de données à caractère personnel. Cette consultation "porte sur les éléments suivants:

    - circonstances: description de la manière dont les organisations respectent, ou comptent respecter, la nouvelle obligation découlant de la réglementation relative aux télécommunications; description des types de violations qui entraîneraient l'obligation de notification à l'abonné ou au particulier, et exemples de mesures de protection susceptibles de rendre les données incompréhensibles;
    - procédures: délai de notification, modes de notification et procédure applicables à un cas particulier;
    - formats: contenu de la notification aux autorités nationales et aux particuliers, formats standard actuels et faisabilité d'un format européen standard."
    En effet, comme l'indique la vice-présidente de la Commission européeenne:

    "l'obligation de notifier toute violation de données est un élément important de la nouvelle réglementation européenne relative aux télécommunications. Une certaine cohérence doit cependant prévaloir au sein de l'Union pour éviter aux entreprises de se perdre dans un labyrinthe de régimes nationaux. Je souhaite instaurer des conditions équitables pour tous, fournir des garanties aux consommateurs et offrir aux entreprises des solutions concrètes."
    La consultation se termine le 9 septembre 2011, à suivre donc.

    Pour plus de détails, voir notamment:

    --------
    (16-07-2011) Cette problématique relative aux failles de sécurité est présente dans les rapports annuels de l'Information Commissioner's Office de Royaume-Uni et le Privacy Commissioner's Office de la Nouvelle-Zélande. 

    9 juillet 2011

    France: protection de l'identité

    Tout comme le Sénat en mai 2011, l'Assemblée nationale a adopté, le 7 juillet 2011, la proposition de loi relative à la protection de l'identité qui 
    "a pour objet de garantir une fiabilité maximale aux passeports et aux cartes nationales d'identité, afin de lutter contre les délits liés à l'usurpation d'identité et à la fraude documentaire. Elle propose de sécuriser la procédure de délivrance de ces titres et de sécuriser les transactions, en introduisant une carte d'identité où figureront les informations biométriques du titulaire, soit sa photographie et ses empreintes digitales numérisées." 
    Le texte adopté par l'Assemblée nationale a été transmis au Sénat pour une 2° lecture. À suivre donc. 

    Pour aller plus loin, 

    7 juillet 2011

    CNIL: les réseaux sociaux et les 8-17 ans

    La Commission nationale de l'informatique et des libertés publie les résultats d'une étude sur l'usage des réseaux sociaux chez les 8-17 ans, étude réalisée en partenariat avec l'Union nationale des associations familiales (UNAF) et Action Innocence. 

    Cette étude révèle que 
    • près de 20% des moins de 13 ans ont un compte; 
    • les parents sont assez peu associés à cette pratique; 
    • les enfants et les adolescents livrent leurs identités et beaucoup d'informations personnelles; 
    • un tiers des enfants ont été choqués ou gênés par des contenus; 
    • conscients des risques, ils ne savent pas forcément s'en préserver.
    (Source: CNIL, Article du 4 juillet 2011)
    Partant les commanditaires de cette étude
    "proposent quelques bonnes pratiques aux parents qui se sentent souvent inexpérimentés sur ce sujet [à savoir "dialogue et partage" et "éducation et responsabilisation"].
    (Source: CNIL, Article du 4 juillet 2011)

    Pour plus de détails,

    --------
    (14-07-2011) Voir au sujet de cette étude l'article "Les enfants de plus en plus présents sur Facebook" publié par La Presse en date du 6 juillet 2011.

    4 juillet 2011

    OCDE: suite de la réunion pour générer l'innovation et la croissance

    Comme indiqué précédemment, les 28 et 29 juin 2011 une réunion s'est tenue sous l'égide de l'Organisation de coopération et de développement économique sur le thème de l'innovation et de la croissance. 

    À l'issue de cette réunion, un communiqué a été émis sur les principes applicables à la politique de l'Internet par lequel les gouvernements, les parties prenantes du secteur privé et les représentants de la société civile s'engagent à mettre de l'avant les éléments suivants: 
    • promouvoir et protéger la libre circulation de l'information dans le monde; 
    • promouvoir le caractère ouvert, distribué et interconnecté de l'Internet; 
    • promouvoir l'investissement et la concurrence dans les réseaux et services haut débit; 
    • promouvoir et permettre la prestation transnationale de services; 
    • encourager des processus multipartites de coopération dans l'élaboration de l'action publique; 
    • promouvoir des codes de conduites élaborés à titre volontaire; 
    • développer les capacités pour intégrer des données publiquement disponibles et fiables dans le processus d'élaboration des politiques; 
    • assurer la transparence, l'égalité de traitement et l'impartialité des actes; 
    • assurer une protection plus cohérente et effective de la vie privée au niveau mondial; 
    • maximiser les possibilités d'action de l'individu; 
    • promouvoir la créativité et l'innovation; 
    • limiter la responsabilité civile des intermédiaires Internet; 
    • encourager la coopération pour promouvoir la sécurité de l'Internet; 
    • donner sa juste place à la sanction. 
    Concernant plus particulièrement la vie privée, on peut lire que: 
    "Pour que l’Internet exprime tout son potentiel social et économique, il est essentiel que la vie privée soit correctement protégée. Les problèmes que nous connaissons déjà autour de la vie privée vont sans doute prendre davantage d’acuité à mesure que l’économie et la société deviennent davantage tributaires d’utilisations plus larges et innovantes d’informations à caractère personnel qui peuvent être plus aisément recueillies, conservées et analysées. Les internautes s’en remettant de plus à l’Internet dans leur vie publique et privée, ils devraient être en mesure de mieux comprendre la façon dont leurs données à caractère personnel peuvent être utilisées, de mieux contrôler ces utilisations et de pouvoir penser que celles-ci seront gérées en toute loyauté. Les règles relatives à la vie privée devraient reposer sur des principes reconnus au plan mondial, comme les Lignes directrices de l’OCDE sur la protection de la vie privée, et les gouvernements devraient s’attacher à réaliser une interopérabilité mondiale en étendant la reconnaissance mutuelle des lois qui poursuivent les mêmes objectifs. La coopération dans l’application transfrontière des législations contribuera à mieux protéger la vie privée et encourager l’innovation. Les règles relatives à la vie privée devraient également prendre en compte les droits fondamentaux du citoyen, notamment la liberté d’expression, le droit à une presse libre et le droit à un gouvernement ouvert et transparent."

    Pour plus de détails, 

    3 juillet 2011

    CNIL: rappel aux professionnels de santé

    La Commission nationale de l'informatique et des libertés vient de publier un Guide qui rappelle aux professionnels de santé que 
    "la loi Informatique et Libertés encadre la collecte et le traitement de toutes ces données [i.e. celles contenues dans des fichiers informatisés concernant des patients ou des participants à des recherches médicales, celles échangées par le biais des réseaux pour recevoir et transmettre des informations à caractère médicale]. Elle a pour objet de les protéger, dans la mesure où leur divulgation ou leur mauvaise utilisation est susceptible de porter atteinte aux droits et libertés des personnes, ou à l'intimité de leur vie privée. Elle assure une protection renforcée aux informations de santé considérées comme "sensibles"."
    (Source: CNIL, Guide, p. 1)
    On retrouve dans ce Guide notamment: 
    • les principes clés à respecter (finalité, pertinence des données, droit à l'oubli, sécurité et confidentialité des données, respect des droits des personnes); 
    • plusieurs fiches pratiques (données de santé, NIR, droit d'accès au dossier médical, dossier médical personnel et pharmaceutique, réseaux de santé, télémédecine, la vente en ligne de médicaments, etc.); 
    • des outils (formulaire de collecte, de demande d'accès à son dossier, de clause de confidentialité en cas de sous-traitance, etc.)

    Voir à ce sujet:

    Facebook ... résumé d'un article

    Dans "la face cachée de Facebook", Cécilia Gabizon revient sur différentes facettes du réseau social ... messages échangés entre "amies" pouvant conduire à la mort, besoin de savoir où sont et ce que font nos "amis" ... mais aussi volonté de reprendre le contrôle de nos données en segmentant nos contacts, en publiant des profils de plus en plus austères ... ou encore en déposant au Congrès américain un projet de loi visant à encadrer les profils Facebook.

    1 juillet 2011

    États-Unis: séance sur la sécurité et la confidentialité des données

    Le 29 juin 2011 a eu lieu une séance du U.S. Senate Committee on Commerce, Science and Transportation. Cette séance avait pour but d'examiner
    "how entities collect, maintain, secure, and use personal information in today’s economy and whether consumers are adequately protected under current law. The Commerce Committee will hear from representatives from relevant government agencies as well as business and consumer advocate stakeholders."
     Lors de cette séance, les discussions ont porté sur les projets de lois suivants:

    La vidéo de la séance du 29 juin est disponible à l'adresse suivante:

      Conseil de l'Europe: rencontre autour de la Convention 108

      Du 28 au 30 juin 2011, le Bureau du Comité consultatif de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108) s'est réuni à Strasbourg (France). 

      À l'ordre du jour, on retrouvait les thèmes suivants: 
      • Examen du rapport faisant suite à la consultation relative à la modernisation de la Convention 108 (billet); 
      • Finalisation du projet de recommandation sur la protection des données à caractère personnel utilisées à des fins d'emploi;
      • Analyse de différents projets relatifs, entre autres, aux réseaux sociaux, aux moteurs de recherche, à la nécessité de mener une réflexion mondiale sur les implications de la biométrie pour les droits de l'homme.
      La prochaine rencontre aura lieu du 10 au 12 octobre prochain, à suivre donc.