31 décembre 2012

FTC: nouvelles règles relatives à la COPPA

Début décembre, la Federal Trade Commission (FTC) a complété son processus de révision des règles d'application de la Children's Online Privacy Protection Act (COPPA), processus qui avait commencé en septembre 2011. 

Il convient de mentionner que ces règles, entrées en vigueur en avril 2000, ont pour objet d'encadrer la collecte des renseignements personnels auprès de jeunes de moins de 13 ans et, qu'elles ont été mises de l'avant par la FTC à plusieurs reprises: Playdom Inc., W3 Innovations LLC, www.skidekids.com, par exemple

Les nouvelles règles modifient la définition de certaines notions, notamment: "operator", "personal information", "website or online service directed to children", "collection". Elles renforcent certaines exigences quant à l'information préalable, au consentement des parents, à la sécurité ou encore quant au contrôle exercé par la FTC sur les différents programmes d'exonération. Elles insistent sur l'importance d'adopter des procédures raisonnables pour la conservation et la destruction des des données

Ces nouvelles règles entreront en vigueur en le 1er juillet 2013.


Pour aller plus loin

26 décembre 2012

Nouvelle-Zélande: la Commission européenne reconnaît le caractère adéquat de la protection des données

Le 19 décembre dernier, la Commission européenne a reconnu que le Privacy Act 1993, soit la loi régissant la protection des données à caractère personnel en Nouvelle-Zélande, offre un niveau de protection adéquat à la Directive 95/46/CE et, ce conformément à l'article 25 de cette directive. Cette reconnaissance fait écho à l'avis 11/2011 du Groupe de l'Article 29. Désormais, "les données à caractère personnel peuvent être transférées des 27 États membres de l'UE [i.e. Union Européenne], et des trois États membres de l'EEE [i.e. Espace économique européen] (Norvège, Liechtenstein et Islande) vers [la Nouvelle-Zélande] sans qu’il soit nécessaire de prévoir d’autres garanties". (Source: IP/12/1403) 

Pour plus de détails, voir notamment: 

20 décembre 2012

AFAPDP: pour un instrument mondial de protection des données personnelles

Publié le 20-12-2012, modifié le 21-12-2012

Du 21 au 23 novembre décembre dernier, la Commission de contrôle des informations nominatives (CCIN) de Monaco a accueilli la 6° conférence annuelle et de la 6° assemblée générale de l'Association francophone des autorités de protection des données personnelles (AFAPDP) dont la présidence est assurée par la Commission d'accès à l'information (CAI) du Québec et dont le secrétariat est basé à la Commission nationale de l'informatique et des libertés (CNIL) en France.

Lors de l'assemblée générale, les membres de l'AFAPDP ont adopté la Déclaration de Monaco par laquelle ils soutiennent "l'adoption d'un instrument mondial de protection des données personnelles inspiré des standards internationaux adoptés à Madrid en 2009".

Pour plus de détails,

16 décembre 2012

FTC (et autres): applications mobiles et jeunes

Il y a quelques mois la Federal Trade Commission (FTC) a publié une étude dans laquelle elle invitait les développeurs d'applications mobiles à revoir la présentation et le contenu de l'information transmise aux jeunes, mais aussi à leurs parents afin que celle-ci soit plus accessible (billet). Le 10 décembre dernier, la FTC rendait publique les conclusions de sa nouvelle étude sur cette même problématique. 

Dans cette nouvelle étude intitulée Mobile Apps for Kids: Disclosures Still Not Making the Grade, la FTC constate que "parents still are not given basic information about the privacy practices and interactive features of mobile apps aimed at kids ... many of the apps shared certain information - such as device ID, geolocation, or phone number - with third parties without disclosing that fact to parents" ... a number of apps contained intercative features - such as advertising, the ability to make in-app purchase, and links to social media - without disclosing these features to parents prior to download". (Source: FTC Staff Report, p. 4)

La FTC en arrive alors à la conclusion que: 
"Since FTC staff conducted its first kids’ app survey, many stakeholders have called for industry to increase transparency in the mobile marketplace, and many initiatives have been launched in pursuit of that goal. Despite these efforts, staff found little or no improvement in the disclosures made and, worse, a significant discrepancy between the privacy disclosures and the actual practices of the surveyed apps. Without adequate and accurate information about apps they download for their kids, parents cannot make informed choices about their children’s privacy and exposure to social networks and other interactive features.
FTC staff has initiated a number of investigations to address the gaps between company practices and disclosures. These discrepancies could constitute violations of COPPA or the FTC Act’s prohibition against unfair or deceptive practices. However, enforcement actions alone, while vitally important, are not enough to ensure that the privacy of consumers and their children are protected adequately. Staff calls on everyone involved in the mobile app marketplace – app stores, app developers, and third-parties that interact with the apps – to follow the three key principles laid out in the FTC’s Privacy Report: (1) adopting a “privacy- by-design” approach to minimize risks to personal information; (2) providing consumers with simpler and more streamlined choices about relevant data practices; and (3) providing consumers with greater transparency about how data is collected, used, and shared. Of greatest relevance to the findings in this report, industry participants must work together to develop accurate disclosures regarding what data is collected through kids’ apps, how it will be used, who it will be shared with, and whether the apps contain interactive features such as advertising, the ability to make in-app purchases, and links to social media." 
(Source: FTC Staff Report, p. 21)

Cette étude de la FTC fait écho à celle menée par Pew Internet & American Life Project selon laquelle "most parents of teenagers are concerned about what their teenage children do online and how their behavior could be monitored by others. Some parents are taking steps to observe, discuss, and check up on their children's digital footprints" ... et cette étude menée auprès de 802 parents et jeunes démontre que :
"- 81% of parents of online teens say they are concerned about how much information advertisers can learn about their child’s online behavior, with some 46% being “very” concerned.
- 72% of parents of online teens are concerned about how their child interacts online with people they do not know, with some 53% of parents being “very” concerned.
- 69% of parents of online teens are concerned about how their child’s online activity might affect their future academic or employment opportunities, with some 44% being “very” concerned about that. 
- 69% of parents of online teens are concerned about how their child manages his or her reputation online, with some 49% being “very” concerned about that." 
(Source: Pew Internet, p. 2)
Cette étude de la FTC fait également écho au rapport du Défenseur des droits intitulé Enfants et écrans: grandir dans le monde numérique proposant notamment de "faire reconnaître aux mineurs le droit à une protection renforcée de leur vie privée (droit à l'oubli, droit au déréférencement)" (p. 8).


Pour aller plus loin, 

9 décembre 2012

Nouvelle-Zélande: 2012, année des failles de sécurité

Marie Shroff, la commissaire à la vie privée de la Nouvelle-Zélande qualifie, dans son rapport annuel, 2012 comme étant l'année des failles de sécurité: 
"This year has been marked for us by major public sector data breaches. [...] These losses of data have highlighted the urgent need for far better security and respect by government agencies for New Zealanders' personal information [...].
"The public sector can't afford to be complacent. It's quite clear that agencies holding large amounts of personal information need to place greater value on that information asset. They need to develop strong leadership and a culture of respect for privacy, as well as day to day policies and practices to provide trustworthy stewardship of our personal information at every level of the organisation. There has been far too little focus on the fact that there are real people behind the masses of information that government agencies hold [...].

"Data breach notification isn't currently required by law, but the Law Commission recently recommended that it should be made compulsory where breaches put people at risk. That would bring New Zealand law into line with practice overseas [...]"
(Source: Privacy Commissioner, Media Release, November 28, 2012)

Pour plus de détails: 

2 décembre 2012

FTC: atelier sur la collecte systématique de données

Dans la continuité du rapport Protecting Consumer Privacy in an Era of Rapid Change: Recommendations For Businesses and Policymakers publié en mars dernier (billet), la Federal Trade Commission organise, le 6 décembre prochain, un atelier intitulé The Big Picture: Comprehensive Online Data Collection  

Cet atelier a pour but d'examiner les enjeux inhérents à la collecte systématique de renseignements personnels, notamment les données relatives aux activités en ligne des consommateurs par les fournisseurs de services Internet, les navigateurs, les opérateurs de téléphonie mobile et autres médias sociaux. 

Et, comme mentionné dans le programme, lors de cet atelier les thèmes suivants seront mis de l'avant:  
  1. The Technological Landscape of Comprehensive Data Collection
  2. Benefits ans Risks of Conprehensive Data Collection   
  3. Consumer Attitudes About and Choice with Respect to Comprehensive Data Collection
  4. The Future of Comprehensive Data Collection

Pour plus de détails: 

26 novembre 2012

Californie: applications mobiles et politique de confidentialité

Billet intéressant posté sur Privacy and Information Security Law Blog faisant état de la lettre envoyée le mois dernier par la juge Kamala D. Harris de la Californie à une centaine d'opérateurs d'applications mobiles ne respectant pas les principes énoncés dans la California Online Privacy Protection Act, notamment celui relatif à l'obligation de publier une politique de confidentialité sur un site Web collectant des renseignements personnels. 

À suivre ...  

24 novembre 2012

Hong-Kong: brochures sur les applications mobiles et les téléphones intelligents

Les enjeux liés aux applications mobiles et à l'utilisation de téléphones intelligents sont mis de l'avant dans deux documents qui l'Office of Privacy Commissioner for Personal Data (OPCPD) d'Hong Kong vient de publier. 

Dans la fiche d'information Personal data privacy protection: what mobile apps developers and their clients should know, l'OPCPD insiste sur le fait qu'en plus de suivre une approche référant à la protection intégrée de la vie privée (Privacy by Design - PbD) et de procéder à une évaluations des facteurs relatifs à la vie privée (Privacy Impact Assessment), les développeurs d'applications mobiles doivent respecter les principes énoncés dans la Personal Data (Privacy) Ordinance. On peut y lire, par exemple, que
Personal Information Collection Statement (PICS)
"Apps Developers have to provide mobile device users with a PICS on or before collecting their personal data. They should communicate to the mobile device users under what circumstances will their personal data be collected, accessed or shared and for what purposes. This notice should be presented to mobile device users clearly before they confirm installing the mobile apps." (Source: p. 3)
Removal Commitment
"Account information (including uploaded or shared information) of a mobile device user should be completely removed upon the user’s request or upon account termination unless there is legal or regulatory reason not to do so. Apps Developers should make this account removal function easily accessible." (Source: p. 4)
Privacy Policy Statement (PPS) 
"Apps Developers should prepare a PPS to outline their policies and practices in relation to personal data. Technical terms and elusive language should be avoided in the PPS. It should be easily readable and easily understandable, and in appropriate length. Its location on the mobile apps should be prominent. Its availability also on the businesses’ normal websites is recommended." (Source: p. 5)
Contact Details for Making Data Access and Correction Requests 
"Apps Developers should make available their contact details (including name or post title, and address) in the mobile apps to facilitate mobile device users to make data access and correction requests. They should also have policies and procedures in place to ensure that a request is complied with or refused (as the case may be) within 40 days from receiving the request. Please refer to the Guidance on the Proper Handling of Data Access Request and Charging of Data Access Request Fee by Data Users published by the Commissioner." (Source: p. 6)
Dans la brochure Protect Privacy by Smart Use of Smartphones, l'OPCPD rappelle comment protéger son téléphone intelligent et sécuriser les données qui y sont stockées, comment utiliser en toute sécurité les applications mobiles et limiter la géolocalisation.  

21 novembre 2012

Nouvelle-Zélande: Google, WiFi, vie privée (2)

En octobre dernier, Google a informé le Privacy Commissioner's Office de Nouvelle-Zélande avoir découvert de nouveaux disques contenant des données dites "de contenu" (billet) ... le 19 novembre, Marie Shroff, la commissaire à la vie privée, a reçu la confirmation que ces données ont toutes été détruites par l'entreprise.  

20 novembre 2012

Canada: décret d'exlusion visant les dépositaires de renseignements personnels sur la santé de Terre-Neuve-et-Labrador

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), le gouverneur en conseil peut, par décret, exclure un domaine d'activité de l'application de cette loi s'il est convaincu que la loi provinciale régissant ce domaine offre un niveau de protection essentiellement similaire à la LPRPDÉ en ce qui concerne la protection des renseignements personnels à l'intérieur de cette province (art. 26(2)b) LPRPDÉ). 

C'est en vertu de cette procédure que, le 20 octobre dernier, la Personal Health Information Act de Terre-Neuve-et-Labrador a été reconnu comme offrant un niveau de protection essentiellement similaire à la LPRPDÉ. Ainsi, 
"1. Tout dépositaire de renseignements personnels sur la santé qui est assujetti à la loi intitulée Personal Health Information Act, SNL 2008, ch. P-7.01, est exclu de l’application de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques à l’égard de la collecte, de l’utilisation et de la communication de renseignements personnels sur la santé qui s’effectuent à Terre-Neuve-et-Labrador." 
(Source: Décret d'exclusion TR/2012-72 visant des dépositaires 
de renseignements personnels sur la santé à Terre-Neuve-et-Labrador )

Il est à noter qu'en plus de cette loi, d'autres lois provinciales ont été déclarées comme offrant un niveau de protection essentiellement similaire depuis l'entrée en vigueur de la LPRPDÉ. Il en va ainsi de: 
  • la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (décret CP 2003-1842); 
  • la Personal Information Protection Act de la Colombie-Britannique (décret CP 2004-1164);
  • la Personal Information Protection Act de l'Alberta (décret CP 2004-1163);
  • la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario (décret CP 2005-2224); 
  • la Loi sur l'accès et la protection en matière de renseignements personnels sur la santé du Nouveau-Brunswick (décret CP 2011-1319).

10 novembre 2012

Uruguay: résolutions et déclaration de la 34e conférence internationale

Les 23 et 24 octobre dernier s'est tenue à Punta del Este (Uruguay) la 34° conférence internationale des commissaires à la protection des données et de la vie privée (billet). 

Lors de cette conférence deux résolutions ont été adoptées: 
"- Cloud computing should not lead to a lowering of privacy and data protection standards as compared with other forms of data processing;  
- Data controllers carry out the necessary privacy impact and risk assessments (if necessary, by using trusted third parties) prior to embarking on CC projects;  
- Cloud service providers ensure that they provide appropriate transparency, security, accountability and trust in CC solutions in particular regarding information on data breaches and contractual clauses that promote, where appropriate, data portability and data control by cloud users; cloud service providers, when they are acting as data controllers, make available to users, where appropriate, relevan information about potential privacy impacts and risks related to the use of their services.  
- Further efforts be put into research, third party certification, standardisation, privacy by design technologies and other related schemes in order to achieve a desired level of trust in CC; to build privacy thoroughly and effectively into cloud computing adequate measures should be embedded into the architecture of IT systems and business processes at an early stage (privacy by design);  
- Legislators assess the adequacy and interoperability of existing legal frameworks to facilitate cross-border transfer of data and consider additional necessary privacy safeguards in the era of CC, and  
- Privacy and Data Protection Authorities continue to provide information to data controllers, cloud service providers and legislators on questions relating to privacy and data protection issues."
1. intensify cooperation with each other in order to respond to cross-border data protection and privacy risks in a coordinated manner, by joining multilateral cooperation and enforcement networks; 
2. share information and expertise as much as possible to ensure that the authorities’ scarce resources can be used to the maximum possible; 
3. use this window of opportunity to achieve greater interoperability between the various legal systems and privacy regimes." 
Lors de cette conférence, les commissaires ont également mis l'accent sur les enjeux liés au profilage comme l'illustre la déclaration de la conférence qui invite à prendre en considération les éléments suivants en ce domaine:  
"I. To create trust, public and private entities around the world need to ensure that they inform society to the maximum possible extent about their profiling operations. They should be more transparent about profiling, the way the profiles are assembled and the purposes for which the profiles are used. Providing better information should also ensure individuals have better control over their data. 
II. Profiling operations need to be distinguished in three phases. First of all, it should be determined what is the need for the use of profiling. Secondly, the public or private entity in question should decide which assumptions and which data should form the basis for the profile. Finally, it should be decided in what way the profile can be applied in practice. It would be advisable if the various phases are subject to separate decisions and to regulatory oversight.
III. Both profiles and the underlying algorithms require continuous validation. This means controls should take place to verify if the results from profiling make sense and can reasonably be linked to the data provided at input. It also allows to further improve the profiles and underlying algorithms, thus improving results. 
IV. Profiling operations should not take place without human intervention, especially now that the predictive power of profiling due to more effective algorithms increases. Injustice for individuals due to fully automated false positive or false negative results should be avoided. 
V. The creation and application of profiles should preferably not be in the same hand. A balance needs to be found between the information used to create the profile and its practical application. 
VI. Especially in the third phase, the practical application of the profile, provisions need to be established to allow the individual to challenge both the profile and the outcome. 
VII. Profiling requires strong and independent privacy enforcement authorities with supervisory powers over both the public and the private sector. The authorities should ensure they have all the relevant and up to date knowledge regarding technological developments like profiling. 
VIII. Governments have access to many large databases also containing data collected by private entities. Furthermore, they are able to create laws in order to define their own legal basis. Therefore, privacy enforcement authorities should be able to test and challenge government proposals, for example carrying out audits and be able to scrutinize in the pre-legislative phase."
Pour plus de détails, voir: 
La prochaine conférence aura lieu en Pologne du 23 au 27 septembre 2013.

5 novembre 2012

Australie: les drones sous surveillance

Dans la continuité du billet sur l'action de la CNIL, il est à noter que dans une lettre transmise au procureur général, le commissaire à la vie privée d'Australie, Timithy Pilgrim, s'interroge sur l'encadrement entourant l'utilisation des drones et invite à une réflexion sur cette question et ce, dans les termes suivants: 
Dear Attorney-General
There is growing interest in the community and media about the use and implications of aerial drone technology, particularly drones with video recording and streaming capabilities.
While drone technology has clear benefits, such technology presents a number of risks through its potential to be privacy invasive. The risk is heightened because drone equipment is increasingly commercially available, and can be easily purchased and used by individuals in their private capacity.
Where an agency or private sector organisation covered by the Privacy Act 1998 (Cth) (Privacy Act) intends to use drone technology, it must do so in accordance with the Privacy Act. This would include giving notice to affected individuals about the collection of their personal information, only using and disclosing the personal information as permitted by the Privacy Act, and keeping it secure.
The Privacy Act does not however cover the actions of individuals in their private capacity, including any use of drones by individuals.
I understand that there are laws governing unlawful surveillance, stalking and harassment that may apply to the use of drones by individuals. It is unclear however whether those laws provide sufficient regulatory protection, including appropriate restrictions on unreasonable uses.
In particular, individuals who may be subject to surveillance via drone technology may not currently be able to seek appropriate or consistent redress across the Commonwealth. The statutory cause of action for privacy that is currently being considered by Government could be useful in this type of situation.
I suggest that it may be timely to review the current regulatory framework to ascertain whether it is sufficient to deal with any misuse of drone technology. It may also be appropriate to raise this issue with the Standing Council on Law and Justice.
Please contact me if I can be of any assistance.
Yours sincerely
Timothy Pilgrim
À suivre donc. 

1 novembre 2012

CNIL: les drones sous surveillance

Dans le cadre de sa mission de conseil, la Commission nationale de l'informatique et des libertés a décidé de mener une réflexion quant aux enjeux inhérents à l'utilisation, de plus en plus fréquente, de drones dans le domaine civil eu égard à la protection des renseignements personnels. 

En effet, "dès lors qu'il est équipé d'un appareil photo, d'une caméra mobile, d'un capteur sonore ou encore d'un dispositif de géolocalisation, un drone peut [...] potentiellement porter atteinte à la vie privée, capter et diffuser des données personnelles". (Source: CNIL)

À suivre donc. 

24 octobre 2012

CPVPC et CIPVP (Alberta et Colombie-Britannique): applications mobiles

Le Commissariat à la protection de la vie privée du Canada et ses homologues de la Colombie-Britannique et de l'Alberta viennent de publier un document contenant des orientations afin de développer des applis mobiles dans le respect du droit à la vie privée.

Après avoir indiqué qu'"en vertu des lois canadiennes sur la protection des renseignements personnels, toutes les entreprises doivent concilier innovation, esprit d'entreprise et protection efficace des renseignements personnels, et cela s'applique aux concepteurs d'applications mobiles, qu'ils travaillent à leur compte ou pour le compte d'une organisation" (p. 1), ce document met de l'avant les principaux facteurs à prendre en compte en cas de développement d'applications mobiles. 

Ces facteurs s'appliquent à "toutes les parties qui manipulent les renseignements personnels des utilisateurs, notamment les concepteurs, les fournisseurs de services, les plateformes d'applications et les annonceurs, [de respecter] les lois canadiennes sur la protections des renseignements personnels" (p. 4). 

Ces facteurs se déclinent de la façon suivante: 
- être responsable de sa conduite et de son code, c'est-à-dire mettre en place de bonnes pratiques pour gérer la protection des renseignements personnels dès l'étape de la planification d'une application; désigner une personne responsable de cette protection; élaborer des règles de protection de la vie privée visant à gérer les risques en temps opportun (p. 4-5); 
- être ouvert et transparent à propos de ses pratiques, c'est-à-dire informer de l'utilisation faite des renseignements personnels. Cette information doit être claire et compréhensible. Elle doit être facilement accessible tout au long du cycle de vie des renseignements personnels. Par conséquent, il est recommandé de ne "jamais passer sous silence les mises à jour des applications qui amoindriront la protection des renseignements personnels de l'utilisateur"  (p. 5-7 et 10);
- ne recueillir et ne conserver que les renseignements nécessaires au fonctionnement de l'application. Ainsi il est précisé que "si vous ne pouvez expliquer le lien entre un renseignement recueilli par votre application et le fonctionnement de celle-ci, vous devriez probablement vous abstenir de recueillir ce renseignement" (p. 7-8); 
- obtenir un consentement éclairé malgré le défi lié au petit écran, en organisant l'information en couches (i.e. politiques de confidentialité simplifiées ou encore dites multistrates), en offrant un tableau de bord, en recourant à des graphiques, des couleurs et du son (p. 8-9 et 10). 

Pour plus de détails, 

23 octobre 2012

Uruguay: 34e conférence internationale

Lors de la 34° Conférence internationale des commissaires à la protection des données et de la vie privée qui débute aujourd'hui (et qui se termine demain), à Punta del Este en Uruguay, plusieurs problématiques seront envisagées: gouvernement ouvert, géolocalisation, publicité comportementale en ligne, biométrie, coopération internationale entre autorités de protection, données intelligentes, consentement, modifications de la législation européenne ... et la protection des renseignements personnels en Amérique Latine. 

Le programme de la Conférence internationale est disponible à l'adresse suivante: http://privacyconference2012.org/english/home.

22 octobre 2012

FTC: rapport sur la reconnaissance faciale

La Federal Trade Commission (FTC) vient de publier son rapport sur la reconnaissance faciale: "Facing Facts: Best Practices for Common Uses of Facial Recognition Technologies". 

Ce rapport revient sur les travaux menés par la FTC depuis décembre 2011, notamment le Face Facts workshop qui a conduit à un examen des progrès et des utilisations actuelles et futures de cette technologie au regard de la protection des renseignements personnels (billet). Et, il présente les trois scénarii suivants: 
  1. Facial Detection: "An eyeglass company allows consumers to upload their images to the company’s website and then uses facial detection to detect the face and eyes in the image and superimpose various styles of glasses on the consumer’s face. The company stores the images in order to enable consumers to use this feature of the website in the future without uploading a new image". (Source: FTC report, p. 11-12)
  2. Detection or Recognition of Demographic Characteristics in Digital Signs: "A sports drink company operates digital signs in a supermarket. These signs include cameras and have the ability to assess the age range and gender of the consumer standing in front of them. The signs display a targeted advertisement to the consumer based on those demographic characteristics. The consumer’s image is processed instantaneously while the consumer is standing in front of the sign and is not stored for future use".(Source: FTC report, p. 13-17)
  3. Facial Recognition in Online Social Networks: "An existing social network implements a facial recognition feature. When a user uploads new photos, the social network scans those photos against existing “tagged” photos of the user’s “friends.” The social network then identifies the user’s “friends” in the new photos so the user can tag them. Users cannot utilize the feature to identify other users who are not their “friends."". (Source: FTC report, p. 17-20)
Partant, et en gardant à l'esprit les principes de protection intégrée de la vie privée (Privacy by Design - PbD), de politique de confidentialité simplifiée et de transparence mis de l'avant en mars 2012 dans "Protecting Consumer Privacy in an Era of Rapid Change" (billet), le présent rapport du FTC contient les recommandations suivantes : 
"The FTC staff report recommends that companies using facial recognition technologies:
- design their services with consumer privacy in mind;
- develop reasonable security protections for the information they collect, and sound methods for determining when to keep information and when to dispose of it;
- consider the sensitivity of information when developing their facial recognition products and services – for example, digital signs using facial recognition technologies should not be set up in places where children congregate.
The staff report also recommends that companies take steps to make sure consumers are aware of facial recognition technologies when they come in contact with them, and that they have a choice as to whether data about them is collected.  So, for example, if a company is using digital signs to determine the demographic features of passersby, such as age or gender, they should provide clear notice to consumers that the technology is in use before consumers come into contact with the signs.
In another example cited in the report, FTC staff recommends that social networks using facial recognition features should provide consumers with clear notice about how the feature works, what data it collects, and how that data will be used. They also should provide consumers with an easy to use choice not to have their biometric data collected and used for facial recognition, and the ability to turn the feature off at any time and have the biometric data previously collected from their photos permanently deleted.
Finally, the report states, there are at least two scenarios in which companies should get consumers’ affirmative consent before collecting or using biometric data from facial images. First, they should obtain consent before using consumers’ images or any biometric data in a different way than they represented when they collected the data.  Second, companies should not use facial recognition to identify anonymous images of a consumer to someone who could not otherwise identify him or her, without obtaining the consumer’s affirmative consent first."
(Source: FTC, Press Release)
Pour aller plus loin, 

21 octobre 2012

Europe: non-indépendance de l'autorité autrichienne

Le 16 octobre 2012, la Cour de justice de l'Union européenne a déclaré que l'autorité autrichienne de protection des données personnelles ne répond pas aux exigences de la Directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus particulièrement au fait que ces autorités doivent exercer "en toute indépendance les missions dont elles sont investies" (art. 28 al. 1 par. 2), dans les termes suivants:  
"Par ces motifs, la Cour (grande chambre) déclare et arrête:
1) En ne prenant pas toutes les dispositions nécessaires pour que la législation en vigueur en Autriche satisfasse au critère d’indépendance concernant la Datenschutzkommission (commission de protection des données), plus précisément, en instituant un cadre réglementaire en vertu duquel
– le membre administrateur de la Datenschutzkommission est un fonctionnaire fédéral assujetti à une tutelle de service,
– le bureau de la Datenschutzkommission est intégré aux services de la chancellerie fédérale, et
– le chancelier fédéral dispose d’un droit inconditionnel à l’information sur tous les aspects de la gestion de la Datenschutzkommission,
la République d’Autriche a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
2) (...)"
(Source: CJUE 16 octobre 2012)

17 octobre 2012

CNIL: recommandations sur les règles de confidentialité de Google

Le 16 octobre 2012, la Commission nationale de l'informatique et des libertés, agissant pour le compte des 27 autorités européennes de protection des données, a fait parvenir à Google une série de recommandations relatives aux nouvelles règles de confidentialité entrées en vigueur le 1er mars dernier. 

Parmi ces recommandations, on retiendra le fait que: 

- "Les autorités européennes demandent à Google de fournir une information plus claire et plus complète sur les données collectées et les finalités de chacun de ses traitements de données personnelles. Par exemple, les autorités européennes recommandent la mise en place d'une présentation avec trois niveaux de détails qui assurera une information conforme aux exigences de la Directive [95/46/CE] sans dégrader l'expérience des utilisateurs". (Source: CNIL, Actualité 16 octobre 2012)

Cette présentation sur trois niveaux pourraient reprendre l'architecture suivante:
"Premièrement, des notes de confidentialité intégrées aux produits et des notes interstitielles pourraient être rédigées pour indiquer aux utilisateurs que leurs données sont traitées lorsqu'ils utilisent les services et, en particulier, lorsqu'ils lancent un nouveau service pour la première fois. [...]
Deuxièmement, les Règles de confidentialité actuelles devraient être présentées comme un guide général sur les traitement de Google et des renvois devraient être insérés vers des informations plus détaillées sur les différents traitements. [...]
Troisièmement, des notes de confidentialité spécifiques aux produits devraient être mises à disposition. Ces notes devraient détailler pour chaque traitement et pour chaque service: les données qui sont traitées, les finalités du traitement, les destinataires et la manière dont les utilisateurs peuvent accéder à leurs données. [...]
Plus généralement, Google devraient mettre au point des présentations interactives permettant aux utilisateurs d'explorer le contenu des notes de confidentialité sans avoir à lire de longs documents linéaires. [...]"
(Source: Annexe)
- "La combinaison des données entre services a été généralisée avec ces nouvelles règles de confidentialité [...]. Les CNIL européennes relèvent que cette combinaison poursuit des finalités différentes [...]. Google doit donc modifier ses pratiques quand les données sont combinées pour ces finalités." (Source: CNIL, Actualité 16 octobre 2012)

Ainsi, Google devrait: 
1) "simplifier les mécanismes d'opt-out"; 
2) "différencier les finalités de la combinaison de données"; 
3) "collecter le consentement explicite pour la combinaison de données"; 
4) "centraliser les mécanisme d'opt-out dans un emplacement unique"; 
5) "proposer aux utilisateur authentifiés la possibilité de contrôler dans quel service ils sont authentifiés lorsque des services sont disponibles sans authentification"; 
6) "limiter la collecte et la combinaison de données provenant des utilisateurs passifs, excepté pour des finalités de sécurité"; 
7) "étendre à tous les utilisateurs européennes le processus d'analyse de fréquentation mis en place en Allemagne (information améliorée des personnes concernées par le site Web, utilisation limitée des données pour les finalités d'analyse de fréquentation et anonymisation des adresses IP)"
(Source: Annexe)
- "Google devrait définir plus clairement la durée de conservation des données personnelles, notamment pour les actions suivantes: suppression d'un contenu particulier, désabonnement à un service spécifique, suppression du compte". (Source: Annexe)

- "Google doit informer plus clairement les nouveaux utilisateurs de la possibilité d'ouvrir un compte Google sans fournir son vrai nom" (Source: Annexe)

- "Google doit compléter les Règles de confidentialité en mentionnant que les données biométriques peuvent être traitées, et préciser les conditions de la collecte et du stockage des gabarits faciaux". (Source: Annexe)

Il est à noter que ces recommandations ne portent pas sur les flux transfrontières de données ni sur la sphère de sécurité ("Safe Harbor") entre les États-Unis et l'Union européenne (Source: Annexe).  

Par ailleurs, ces recommandations ont été applaudies par les membres de l'Asia Pacific Privacy Autohities (lettre), par le Commissariat à la protection de la vie privée du Canada (lettre). 

Reste maintenant à voir la réponse de Google à ces recommandations ... à suivre donc.  


Pour aller plus loin: 

14 octobre 2012

W3C: commentaires de Neelie Kroes sur les travaux du "Tracking Protection Working Group"

Le W3C Tracking Protection Working Group dont les travaux ont pour but de développer des mécanismes permettant aux utilisateurs d'environnements électroniques d'exprimer leurs préférences en matière de suivi (billet) s'est réuni, à Amsterdam (Pays-Bas), du 3 au 5 octobre 2012 (Sixth face-to-face: Agenda). 

Même si elle reconnaît que plusieurs navigateurs ont déjà intégré le mécanisme «Do Not Track» ou «DNT» qui était au centre des discussions du groupe de travail du W3C, Neelie Kroes, la vice-présidente de la Commission européenne chargée de la stratégie numérique, lors d'un discours au Centre d'études de la politique européenne (CEPS), le 11 octobre 2012, s'est dite inquiète de la progression des travaux. 
"[...] Le nouveau mécanisme DNT a été rapidement intégré dans plusieurs des principaux navigateurs, ce qui est un point positif.
Mais je dois être franche: la normalisation ne se déroule pas comme prévu. En fait, je suis de plus en plus inquiète. Inquiète des retards, et inquiète de la tournure que prennent les discussions au sein du W3C. Je crois que vous connaissez la situation. Et je sais que mes collègues du FTC, de l’autre côté de l’Atlantique, partagent mes préoccupations. [...]
Voyons donc quelles sont plus précisément mes préoccupations.
Premièrement, il y a la manière dont les utilisateurs sont informés des réglages par défaut de leurs logiciels et de leurs appareils. C’est un aspect crucial: l’option par défaut est-elle d’autoriser le suivi, ou de refuser le consentement? [...]
Deuxièmement, la norme DNT ne devrait pas laisser la possibilité aux sites web de préjuger du choix de l’utilisateur ou de l’ignorer. [...]
Troisièmement, en l’absence de consentement, les sites ne devraient pouvoir utiliser que de manière limitée les informations de l’utilisateur, et uniquement conformément à l’objectif général de la norme. Or les exceptions proposées semblent aller très très loin. [...]
Les inquiétudes sont donc nombreuses. Le temps travaille contre nous. Je voudrais donc dire aujourd’hui à tous ceux qui participent à ces discussions: il faut arriver à un bon compromis, et vite.
Ne croyez pas que je sois naïve. Vu l’évolution des débats, je ne crois pas que la norme DNT, à elle seule, permettra d’arriver à des dispositions légales satisfaisantes en ce qui concerne les cookies. Ne serait-ce que parce que dans le consensus qui se dégage, les «cookies d’origine» semblent exclus de la norme.
Mais le mécanisme DNT n’en reste pas moins utile. [...]
En résumé:
Si une norme DNT solide est établie, elle jouera un rôle majeur et positif. Je n’ai aucun doute à ce sujet.
Mais à l’heure actuelle, il n’est pas certain que la norme finalement retenue soit d’une telle qualité, et je m’inquiète aussi de la lenteur des progrès. En cas d’échec, nous serions tous perdants. Les utilisateurs seraient privés d’un moyen simple de protéger leur vie privée; les sites web seraient privés d’un moyen simple de se conformer aux exigences en matière de consentement. Et en dernier ressort, les annonceurs seraient perdants, eux aussi.
Il faut donc éviter d’en arriver là. Je reste convaincue qu’une norme substantielle reste possible. Une norme qui évite les écueils que j’ai décrits. Il faudra sans doute quelques mois supplémentaires, mais aujourd’hui, une telle norme reste la meilleure solution pour tout le monde.
Mais le temps nous est compté, et il sera bientôt trop tard. Il faut donc agir vite pour que tous les internautes aient accès au DNT.
Nous pourrons ensuite focaliser notre attention, ensemble, sur la croissance de l’économie en ligne et sur les questions de vie privée en ligne. Ensemble avec les utilisateurs, et non contre les utilisateurs."
(Source: Discours Neelie Kroes
Par ailleurs, il convient de noter que dans son discours, Neelie Kroes rappelle combien il est important pour les gestionnaires d'environnements électroniques d'informer les internautes sur leurs intentions en matière de protection des renseignements personnels et de les respecter sous peine de perdre la confiance de ces derniers. En effet, 
"La vie privée en ligne et l’entreprise en ligne ne sont pas dissociables l’un de l’autre. Le respect de la vie privée est un droit fondamental. Un entrepreneur qui ne respecte pas ce droit n’ira pas loin. Parce que les utilisateurs n’utilisent pas ce en quoi ils n’ont pas confiance. Et qu’ils cessent très vite d’utiliser ce dont ils méfient. Pour une entreprise en ligne, perdre la confiance de ses utilisateurs, c’est gaspiller d’immenses opportunités de développement commercial." 

Pour aller plus loin: 
NB: En 2007, j'ai publié un article sur le thème de la confiance: "La confiance, instrument de régulation des environnements électroniques", (2007) 37 R.D.U.S. 441. 

10 octobre 2012

Nouvelle-Zélande: Google, WiFi et vie privée

Comme mentionné précédemment, Google a informé l'Office of Autralian Information Commissioner avoir découvert de nouveaux disques contenant des données dites "de contenu" (billet) ... ces disques contiennent des données provenant d'Australie mais aussi de Nouvelle-Zélande. 

Face à cette situation, le Privacy Commissioner's Office a publié le communiqué suivant: 
"Google has now said that it appears it did not destroy all the information collected from unsecured WiFi networks during its Street View filming in New Zealand. In recent checks, it has found one disk that may contain New Zealand and Australian information, along with disks relating to other countries. These had been missed when Google responded to the original privacy investigations.
The Privacy Commissioner's office has told Google to destroy the disk.
Google had earlier informed the Privacy Commissioner that all the ‘payload' information - that is, contents of communications crossing the WiFi networks - had been securely destroyed. The destruction was verified by an independent agency.
"It's very disappointing that this disk could be overlooked," said Assistant Commissioner Katrine Evans. "Collecting the information in the first place was a major breach of privacy, and we made it plain as part of our original investigation that all the information should be destroyed.
"Fortunately, it appears very unlikely that the information on the disk has been accessed or used in any way. Google is willing to destroy the disk. It has also apologised for its mistake. We sincerely hope that this will be an end to what has been a long-running saga.""

Australie: Google, WiFi et vie privée (2)

En août dernier, Google a indiqué à l'Office of the Australian Information Commissioner avoir détruit les disques contenant des données dites "de contenu" (billet). Toutefois, on peut lire, cette semaine, sur le site de l'autorité australienne que l'entreprise a découvert de nouveaux disques. Face à cette situation, le commissaire à la vie privée a déclaré que:
"I [i.e. Timothy Pilgrim, Privacy Commissioner] have informed Google that it should immediately destroy this data, unless there is a lawful purpose for its retention. Once this has occurred I have asked Google to again confirm via an independent third party that the data has been destroyed.
I remain concerned that this data still exists given that Google previously confirmed that all data relating to this issue had been destroyed. I have advised Google that it is important that there is no further Street View Wi-Fi data in Google’s possession requiring destruction. I have asked Google for further information about their audit process to allow me to better understand the steps taken during the review of their disk inventory.
I remind all organisations that they have a responsibility to protect customer privacy and securely store the data that they hold. Personal information that is no longer being used or is out of date should be destroyed or permanently deidentified."
[Source: OAIC Statement]

Pour plus de détails: