31 janvier 2012

Conseil de l'Europe: modernisation de la Convention 108 ... la suite

En septembre 2011, le Conseil de l'Europe présentait une série de propositions pour moderniser la Convention 108 (billet). De nouvelles propositions viennent d'être publiées.

29 janvier 2012

CNIL: sécuriser son smartphone

Dans la continuité de son étude sur les téléphones intelligents (billet), la Commission nationale de l'informatique et des libertés vient de publier un 
"tutoriel vidéo pour montrer en 6 étapes comment sécuriser son smartphone afin que les données contenues dans votre téléphone ne tombent pas entre de mauvaises mains ".
(Source: CNIL, Article 27 janvier 2012)  

28 janvier 2012

28 janvier: journée de la protection des données

Aujourd'hui c'est le 6° anniversaire de la Journée de la protection des données. En effet,
"Le 26 avril 2006, le Comité des Ministres du Conseil de l'Europe a décidé d'établir la journée de la protection des données, célébrée chaque année le 28 janvier.
Pourquoi le 28 janvier ? Cette date correspond à la date anniversaire de l'ouverture à la signature de la Convention 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, qui est depuis plus de 30 ans la pierre angulaire de la protection des données en Europe et au-delà.
La journée de la protection des données est désormais célébrée mondialement et est appelée "Privacy Day" en dehors de l'Europe."
(Source: Conseil de l'Europe, Journée de la protection des données)

Pour plus de détails sur cette journée: 

25 janvier 2012

Europe: réforme de la protection des renseignements personnels


Voici le communiqué de presse:

"Bruxelles, le 25 janvier 2012 – La Commission européenne a proposé, ce jour, une réforme globale des règles adoptées par l’UE en 1995 en matière de protection des données afin de renforcer les droits en matière de respect de la vie privée dans l’environnement en ligne et de donner un coup d’accélérateur à l’économie numérique européenne. Les progrès technologiques et la mondialisation ont modifié en profondeur les modes de collecte, de consultation et d’utilisation de nos données. En outre, les mesures nationales de transposition de la directive de 1995 diffèrent entre les 27 États membres de l’UE, ce qui a entraîné des divergences dans l’application de ce texte. Une législation unique mettra fin à la fragmentation juridique actuelle et aux lourdes charges administratives pesant sur les entreprises, ce qui permettra à ces dernières de réaliser des économies annuelles de l’ordre de 2,3 milliards d’EUR. Cette initiative contribuera également à renforcer la confiance des consommateurs dans les services en ligne, ce qui donnera un coup de fouet salutaire à la croissance, à l’emploi et à l’innovation en Europe.

«Il y a 17 ans, moins d’1 % des Européens utilisaient Internet. À l’heure actuelle, de grandes quantités de données à caractère personnel sont transférées et échangées d’un continent à l’autre et dans le monde entier, en quelques fractions de seconde», a indiqué Mme Viviane Reding, vice-présidente de la Commission et commissaire chargée de la justice. «La protection des données à caractère personnel est un droit fondamental reconnu à tous nos concitoyens, mais ceux-ci n’ont pas toujours le sentiment de maîtriser entièrement les données à caractère personnel les concernant. Nos propositions législatives contribueront, dès lors, à susciter la confiance dans les services en ligne parce que les utilisateurs seront mieux informés de leurs droits et auront une plus grande maîtrise des informations qui les concernent. La réforme proposée atteindra cet objectif, tout en simplifiant les règles auxquelles les entreprises sont soumises et en réduisant leurs frais. Un cadre juridique solide, clair et uniforme au niveau de l’UE contribuera à libérer le potentiel que possède le marché unique numérique et à soutenir la croissance économique, l’innovation et la création d’emplois.»

La réforme soumise par la Commission met à jour et modernise les principes inscrits dans la directive de 1995 relative à la protection des données afin de garantir à l’avenir les droits en matière de respect de la vie privée. Cette réforme comprend une communication exposant les objectifs de la Commission, ainsi que deux propositions législatives: un règlement définissant un cadre général de l’UE pour la protection des données et une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes.

Les principales modifications apportées par la réforme sont notamment les suivantes:
  • un corpus unique de règles relatives à la protection des données sera valable dans toute l’Union. Les obligations administratives inutiles, comme celles en matière de notification qui incombent aux entreprises, seront supprimées, ce qui représentera pour ces dernières une économie annuelle de quelque 2,3 milliards d’EUR;
  • en lieu et place de l’obligation actuelle imposée à toutes les entreprises de notifier l’ensemble des activités concernant la protection de données à des autorités de contrôle compétentes en la matière – cette obligation étant à l’origine de formalités administratives inutiles coûtant 130 millions d’EUR par an aux entreprises, le règlement impose davantage d’obligations aux entités procédant au traitement de données à caractère personnel et accroît leur responsabilité;
  • Ainsi, les entreprises et organisations devront, dans les meilleurs délais (si possible, dans un délai de 24 heures), notifier à l’autorité de contrôle nationale les violations graves de données à caractère personnel;
  • les organisations n’auront plus comme interlocuteur qu’une seule autorité nationale chargée de la protection des données dans le pays de l’Union où elles ont leur établissement principal. De même, les citoyens pourront s’adresser à l’autorité chargée de la protection des données dans leur pays, même lorsque leurs données sont traitées par une entreprise établie en dehors du territoire de l’UE. Chaque fois que le consentement de la personne concernée est exigé pour que ses données puissent être traitées, il est précisé que ce consentement ne sera pas présumé mais devra être donné explicitement.
  • laccès des personnes concernées à leurs propres données sera facilité, de même que le transfert de données à caractère personnel d’un prestataire de services à un autre (droit à la portabilité des données). La concurrence entre prestataires de services s’en trouvera renforcée.
  • un «droit à l’oubli numérique» aidera les citoyens à mieux gérer les risques liés à la protection des données en ligne: ils pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation.
  • les règles de l’Union devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union.
  • les autorités nationales indépendantes chargées de la protection des données seront renforcées afin qu’elles puissent mieux faire appliquer et respecter les règles de l’UE sur le territoire de l’État dont elles relèvent. Elles seront habilitées à infliger des amendes aux entreprises qui enfreignent les règles de l’Union relatives à la protection des données. Ces amendes pourront atteindre 1 million d’EUR ou 2 % du chiffre d’affaires annuel global de l’entreprise.
  • Une nouvelle directive appliquera les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale. Les règles s’appliqueront aux traitements aussi bien transfrontières que nationaux de données à caractère personnel.
  • Les propositions de la Commission vont à présent être transmises au Parlement européen et aux États membres de l’UE (qui se réunissent au sein du Conseil de ministres) pour y être examinées et débattues. Elles entreront en vigueur deux ans après leur adoption.
Contexte

On entend par données à caractère personnel toutes les informations relatives à une personne, qu’elles se rapportent à sa vie privée, professionnelle ou publique. Il peut s’agir d’un nom, d’une photographie, d’une adresse de courrier électronique, de coordonnées bancaires, de messages publiés sur des sites de socialisation, de renseignements médicaux ou de l’adresse IP d’un ordinateur. Selon la charte des droits fondamentaux de l’Union européenne, toute personne a droit à la protection, dans tous les aspects de sa vie, des données à caractère personnel la concernant: à son domicile, sur son lieu de travail, lorsqu’elle fait des achats ou reçoit un traitement médical, au poste de police ou sur Internet.

À l’ère numérique, la collecte et la conservation d’informations à caractère personnel sont essentielles. Toutes les entreprises – des compagnies d’assurance aux banques en passant par les sites des médias sociaux et les moteurs de recherches – utilisent de telles données. Dans le contexte de la mondialisation, le transfert de données vers des pays tiers est devenu un élément important de la vie quotidienne. Il n’existe aucune frontière en ligne, et grâce à l’informatique en nuage, des données peuvent être envoyées de Berlin à Boston afin d’y être traitées, puis conservées à Bangalore.

Le 4 novembre 2010, la Commission a présenté sa stratégie visant à renforcer les règles de l’UE en matière de protection des données [IP/10/1462 et MEMO/10/542 (en anglais uniquement)]. Cette stratégie a pour objectif de protéger les données des particuliers dans tous les domaines d’action, y compris en matière répressive, tout en réduisant les formalités administratives pesant sur les entreprises et en garantissant la libre circulation desdites données au sein de l’UE. La Commission a invité les parties concernées à lui transmettre leurs observations au sujet de ses propositions et a mené une consultation publique distincte en vue de la révision de la directive européenne de 1995 relative à la protection des données (directive 95/46/CE).

Les règles de l’Union en matière de protection des données visent à protéger les libertés et droits fondamentaux des personnes physiques, notamment le droit à la protection des données ainsi que la libre circulation de ces dernières. Cette directive générale relative à la protection des données a été complétée par d’autres instruments juridiques tels que la directive «vie privée et communications électroniques». Il existe également des règles spécifiques applicables à la protection des données à caractère personnel dans les domaines de la coopération policière et judiciaire en matière pénale (décision‑cadre 2008/977/JAI).

Le droit à la protection des données à caractère personnel est expressément reconnu par l’article 8 de la charte des droits fondamentaux de l’Union européenne et par le traité de Lisbonne. Le traité contient, à son article 16, une base juridique pour l’adoption de règles relatives à la protection des données pour toutes les activités qui relèvent du champ d’application du droit de l’Union (traité sur le fonctionnement de l’Union européenne)."

(Source: Commission européenne, Communiqué de presse du 25 janvier 2012)

24 janvier 2012

CAI et CPVPC: les jeunes à l'honneur

À la veille de la Journée internationale de protection des données à caractère personnel (le 28 janvier), les jeunes sont à l'honneur tant sur le site de la Commission d'accès à l'information du Québec (CAI) que sur celui du Commissariat à la protection de la vie privée du Canada (CPVPC). 

Ces deux autorités de protection publient, en effet, différents outils nécessaires pour sensibiliser les jeunes à la protection de leurs renseignements personnels dans les environnements électroniques. 

22 janvier 2012

Canada: entrevue de la Commissaire à la protection de la vie privée

Dans une entrevue donnée à la revue L'actualité, Jennifer Stoddart, Commissaire à la protection de la vie privée du Canada (CPVPC), répond à des questions sur Facebook, mais aussi sur Google, l'accès légal ou encore le droit à l'oubli.

21 janvier 2012

CNIL: géolocalisation et Wi-Fi

La Commission nationale de l'informatique et des libertés vient de publier un article sur "la géolocalisation à partir des points d'accès wi-fi", plus précisément sur le fait que les téléphones intelligents utilisent des points d'accès Wi-Fi qui sont à leur portée à des fins de géolocalisation. 

La CNIL rappelle que ces points d'accès Wi-Fi 
"se trouvent dans la plupart des "box Internet", émettent en permanence des signaux permettant à des ordinateurs ou à des téléphones mobiles de les reconnaître et de s'y connecter. Ces signaux contiennent notamment un numéro d'identification unique propre à chaque point d'accès (appelé "BSSID")".
Comme certaines sociétés ont mis en place des "bases cartographiques recensant ces points d'accès Wi-Fi" ... l'article indique que 
"s'il n'est pas possible d'informer individuellement les possesseurs de "box internet" de la collecte de leurs point d'accès Wi-Fi, la CNIL recommande que l'information soit publiée, par exemple sur un site internet dédié, et que la société communique largement sur ce sujet. 
Les possesseurs de points d'accès Wi-Fi doivent être en mesure de s'opposer à la collecte d'informations relatives à leur point d'accès Wi-Fi.
Enfin, ces bases cartographiques doivent être déclarées à la CNIL." 
Cet article s'inscrit dans la continuité de celui intitulé "Géolocalisation et collecte d'informations issues des points d'accès wi-fi : les règles à respecter pour protéger la vie privée", publié par la CNIL en mai 2011.

17 janvier 2012

France: loi "informatique et libertés" et autorité de la concurrence

On peut lire sur le site Legalis.net que dans un arrêt du 30 novembre 2011, la Cour de cassation a confirmé le fait selon lequel "les opérations de saisies de messageries électroniques opérées par l’Autorité de la concurrence échappent à la loi Informatique et libertés". 
"Pour la Cour de cassation, les opérations de saisies de messageries électroniques opérées par l’Autorité de la concurrence échappent à la loi Informatique et libertés. L’arrêt du 30 novembre 2011 confirme donc l’ordonnance de la cour d’appel de Versailles du 19 février 2010 qui avait approuvé la saisie globale de messageries électroniques de la société Janssen-Cilag par le régulateur de la concurrence. Elle conclut que : « Attendu que le juge a retenu à bon droit que les dispositions, invoquées par les requérants, de la loi du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés sont inapplicables aux faits de l’espèce, dès lors que l’exécution d’une opération de visite et saisie autorisée par le juge des libertés et de la détention ou, en appel, par le premier président de la cour d’appel en application de l’article L. 450-4 du code de commerce, réalisée sous le contrôle du juge et dont le déroulement donne lieu à recours judiciaire, n’est pas subordonnée aux règles définies par cette loi ».
Dans le cadre d’une ordonnance du juge des libertés et de la détention, l’Autorité de la concurrence avait appréhendé tous les messages, y compris des courriels personnels de certains salariés protégés par le secret des correspondances ou par le secret professionnel car provenant d’échanges avec des avocats. La cour d’appel de Versailles avait approuvé le raisonnement de l’autorité de contrôle qui prétendait ne pas pouvoir opérer de sélection a priori des messages sans risque de compromettre la conformité et la fiabilité des documents saisis. Elle avait cependant envisagé une restitution a posteriori des documents concernés et demandé aux personnes ainsi qu’à l’ordre des avocats de Paris d’identifier les messages qu’ils estimaient protégés afin d’en solliciter la restitution."
(Source: Legalis.net, Brèves, 17 janvier 2012)
Pour plus de détails: 

14 janvier 2012

Colombie-Britannique: membre du GPEN

On peut lire sur le site du Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique que ce dernier est désormais membre du Global Privacy Enforcement Network (GPEN), un réseau visant à assurer une coopération internationale entre les autorités de protection de la vie privée. 

La création de ce réseau, en 2008, fait suite à la Recommandation de l'OCDE relative à la coopération transfrontière dans l'application des législations protégeant la vie privée adoptée en juin 2007. 

Hong-Kong: nouveaux guides

L'Office for the Privacy Commissioner for Personal Data of Hong-Kong vient de publier deux guides pour les organisations qui collectent des renseignements personnels:  
  • le premier s'intitule Guidance for Data User on the Collection and Use of Personal Data through the Internet. Il met de l'avant six principes "which set out fair information practices on how personal data should be handled by data user" (p. 1). Ces principes sont les suivants: 1) purpose and manner of collection; 2) accuracy and duration of retention; 3) use of personal data; 4) security of personal data; 5) transparency of policies and practices and 6) access to personal data. 

Pour plus de détails: 
(Billet publié et révisé le 14-01-2012) 

    6 janvier 2012

    CPVPC et CIPVP (Alberta et Colombie-Britannique) - protocole d'entente (2)

    Le protocole d'entente concernant la coopération et la collaboration dans les domaines des politiques, de l'application de la loi et de la sensibilisation du public en matière de protection des renseignements personnels dans le secteur privé préalablement signé par le Commissariat à la protection de la vie privée du Canada (CPVPC) et les Commissariats à l'information et à la protection de la vie privée (CIPVP) de l'Alberta et de la Colombie-Britannique (billet) venait à échéance le 31 décembre 2011, sauf reconduction de l'entente. 

    Le CPVPC et les CIPVP de l'Alberta et de la Colombie-Britannique ont donc renouvelé leur entente qui "a pour objectif de définir un cadre pour soutenir la collaboration et la coopération à l’échelle fédérale et provinciale de manière :
    - à mobiliser les ressources des Commissariats pour maximiser la capacité et la répercussion des activités de surveillance, tout en réduisant le chevauchement et le manque d’efficacité; 
    - à accroître le partage de connaissances et à intensifier les relations entre les Commissariats afin de garantir une surveillance uniforme, coordonnée, efficace et harmonisée de la protection des renseignements personnels dans le secteur privé au Canada;
    - à suivre les instructions communes des commissaires à la protection de la vie privée."
    (Source: Protocole, p. 3)

    Un Forum sur la protection des renseignements personnels dans le secteur privé et un groupe de travail du Forum sont mis en place pour veiller à l'application de cette entente. 
    Le Forum a pour mandat, entre autres, d'élaborer des protocoles pour le partage d’information ou encore de déterminer les occasions de collaboration en matière de politiques et de sensibilisation du public. Il sera consulté sur les questions de champs de compétence entre les Commissariats, et sur d’autres tribunes de règlement des différends (Source: Protocole, p. 4-5). Le groupe de travail a pour mission de veiller à l’application des directives données par le Forum et de s'assurer que l’information relative aux enquêtes parallèles ou conjointes en cours sera communiquée régulièrement entre les signataires (Source: Protocole, p. 6).

    Concernant l'échange de renseignements, il est précisé que: 
    "Les renseignements, y compris ceux qui portent sur un dossier précis comprenant des renseignements personnels, au besoin, peuvent être communiqués entre les Commissariats aux fins suivantes :
    - évaluer qui possède la compétence et transférer les plaintes au besoin;
    - déterminer si les enquêtes ou les plaintes portent sur des questions identiques ou semblables afin de décider si une enquête parallèle ou conjointe est de mise;
    - effectuer des enquêtes parallèles ou conjointes;
    - participer de toute autre manière à une enquête sur une plainte en cours ou éventuelle ou, le cas échéant, à une vérification;
    - aider les commissaires à la protection de la vie privée à remplir leurs fonctions et leurs tâches respectives.

    Les renseignements qui ne concernent pas un dossier précis peuvent eux aussi être communiqués entre les Commissariats aux fins suivantes :
    - coordonner les échanges de personnel et les activités de formation ou y participer;
    - élaborer des politiques, des protocoles internes, des documents de sensibilisation du public, des modèles ou des systèmes de gestion des dossiers, et discuter de ces questions;
    - atteindre tout autre objectif conforme à ce protocole d’entente.

    Les renseignements communiqués dans le contexte du présent protocole d’entente seront seulement utilisés aux fins auxquelles ils ont été communiqués.

    Les renseignements confidentiels et personnels seront traités de manière confidentielle par les Commissariats qui les recevront, en conformité avec leurs exigences respectives. Les renseignements confidentiels ou personnels seront seulement communiqués dans le respect des exigences réglementaires. Le Commissariat qui reçoit des renseignements confidentiels et personnels ne pourra communiquer ceux‑ci à un tiers sans le consentement écrit du Commissariat qui a communiqué ces renseignements, sauf si la loi l’exige. Le cas échéant, le Commissariat qui communique des renseignements indiquera clairement quels aspects des renseignements sont confidentiels ou comprennent des renseignements personnels. Les parties conviennent d’élaborer un protocole détaillé concernant l’échange de renseignements confidentiels et personnels entre les Commissariats.

    Tous les rapports et documents, qu’il s’agisse d’ébauches ou autres, préparés par un Commissariat restent la propriété dudit Commissariat et, en cas de communication à un autre Commissariat, ces rapports et documents sont communiqués à la condition qu’ils ne soient pas divulgués, copiés ou distribués sans autorisation."
    (Source: Protocole, p. 8-9)
    Le présent protocole d'entente entre le CPVPC et les CIPVP de l'Alberta et de la Colombie-Britannique est en vigueur jusqu'au 31 décembre 2013.