28 février 2012

CNIL et EPIC: Google et la vie privée

Comme indiqué dans la lettre du 2 février dernier du Groupe de l'article 29 (billet), la Commission nationale de l'informatique et des libertés (CNIL) a été désignée pour réaliser, en Europe, l'analyse de la nouvelle politique de confidentialité de Google - politique qui entre en vigueur le 1er mars prochain. 

On peut donc lire sur le site de l'autorité française que la CNIL a fait parvenir une lettre à Google le 27 février "pour lui faire part de ces inquiétudes", considérant notamment que "les nouvelles règles de Google ne respectent [...] pas les exigences de la Directive européenne sur la protection des données (95/46/CE) en matière d’information des personnes concernées". Dès lors, "la CNIL a réitéré, pour le compte du groupe des CNIL européennes, sa demande à Google d’un report de la mise en œuvre des nouvelles règles". 
-----
Toujours au sujet de la nouvelle politique de Google, on peut lire sur le site de l'Electronic Privacy Information Center que: 
"Pressure is building as the March 1 deadline for Google's planned changes in user privacy approaches. In an interview with C-Span, the Chairman of the Federal Trade Commission said that users of Google services face a "brutal" choice." The head of the French Data Protection Agency, on behalf of European privacy agencies, has warned that Google's proposed change violates European Union privacy law. She is reiterated the recommendation of Europe's Justice Minister that Google suspend the change. In Washington, DC, EPIC has filed an emergency appeal with the DC Circuit Court of Appeals to force the FTC to enforce the 2011 consent order against Google."
(Source: EPIC, Latest News, February 28, 2012)

27 février 2012

États-Unis: vers une protection des renseignements personnels en ligne

Le 23 février 2012, l'administration Obama a présenté un projet visant à encadrer la protection des renseignements personnels sur les environnements électroniques: Consumer Data Privacy in a Networked World: A Framework for Protecting privacy and Promoting Innovation in the Global Digital Economy

L'élément de base de ce projet est la mise en place d'un Consumer Privacy Bill of Right faisant référence aux principes énoncés dans différents instruments internationaux dont ceux de l'Organisation de coopération et de développement économiques (Lignes directrices de l'OCDE) ou de la Coopération économique pour l'Asie-Pacifique (APEC Privacy Framework). 

Ces principes se présentent de la façon suivante:  
Individual Control: Consumers have a right to exercise control over what personal data companies collect from them and how they use it. (p. 11)
Transparency: Consumers have a right to easily inderstandable and accessible information about privacy and security practices. (p. 14)
Respect for Context: Consumers have a right to wxpect that companies will collect, use, and disclosure personal data in ways that are consistent with the context in which consumers provide the data. (p. 15)
Security: Consumers have a right to secure and responsible handling of personal. (p. 19)
Access and Accuracy: Consumers have a right to access and correct personal data in usable formats, in a manner that is appropriate to the sensitivity of the data and the risk of adverse consequences to consumers if the data is inaccurate. (p. 19)
Focused Collection: Consumers have a right to reasonable limits on the presonal data that companies collect and retain. (p. 21)
Accountability: Consumers have a right to have personal data handled by companies with appropriate measures in place to assurer they adhere to the Consumer Privacy Bill of rights. (p. 21)
(Source: Framework, pp. 9-22)
Pour mettre en oeuvre ces principes, "the Administration encourages individual companies, industry groups, privacy advocates, consumer groups, crime victims, academics, international partners, State Attorneys General, Federal civil and criminal law enforcement representatives, and other relevant groups to participate in multistakeholder processes to develop codes of conduct that implement these general principles" (p. 23). Et, c'est la Federal Trade Commission qui aura pour rôle de veiller à l'application de ces principes (pp. 29-30).

L'administration Obama reconnaît qu'il s'agit là d'un début (p. ii) ... à suivre donc. 

Pour aller plus loin: 

26 février 2012

Californie: vie privée et applications mobiles

Le 22 février 2012, la juge Kamala D. Harris de la Californie a signé un accord avec Amazon, Apple, Google, Wewlett-Packard, Microsoft, Research in Motion visant à renforcer la protection des renseignements personnels vis-à-vis des applications mobiles. 

Ainsi, les signataires se sont engagés à 
"to increase privacy protections in the mobile marketplace", 
"to develop and implement principles to increase awareness among application developers about their obligations to respect consumer privacy and to promote transparency in privacy practices", 
"to creative and foward-looking solutions that give consumers greater transparency and control over their personal data without unduly burdening innovative mobile platforms and application developers", 
"to conspicuously post a privacy policy". 
(Source: Agreement)
Cet accord a été pris au regard de la California Online Privacy Protection Act.

Pour aller plus loin, 

Analyse comportementale et vie privée

Articles intéressant sur les techniques utilisées par certaines entreprises pour connaître le comportement de la clientèle ... sans forcément l'informer:

24 février 2012

Canada: Google et la vie privée

Le Commissariat à la protection de la vie privée du Canada (en collaboration avec ses homologues de l'Alberta, de la Colombie-Britannique et du Québec) a fait parvenir une lettre au siège de Google Canada concernant les modifications apportées à la politique de confidentialité de l'entreprise. 

Dans cette lettre le Commissariat note "les efforts de Google pour avertir les utilisateurs au sujet de sa nouvelle politique" ou encore ceux visant à "simplifier ses règles de confidentialité [passer de 70 politiques à une seule politique de confidentialité globale]". Mais, des explications sont tout de même demandées par rapport: 
  • à la conservation des données; 
  • au lien entre les services et les renseignements personnels; 
  • aux utilisateurs d'Android.
Cette lettre fait écho à celle envoyée il y a quelques semaines à Google par le Groupe de l'article 29 (lettre et réponse) ou encore à celle transmise le 22 février dernier par la National Association of Attorneys General (billet).

Pour plus de détails, 

22 février 2012

États-Unis: Google et la vie privée

Le 1er mars prochain, la nouvelle politique de confidentialité de Google devrait entrer en vigueur ... les critiques sont nombreuses ... les dernières en date proviennent de 37 procureurs généraux américains comme on peut le lire, par exemple, sur le site de l'Electronic Privacy Information Center (EPIC) ou dans un billet publié sur Security, Pryvacy and the Law
"State Attorneys General Cite Privacy Risks to Android Users, Demand Meeting with Google
Attorneys general from 36 states and territories sent a letter to Google raising new questions about the plan to consolidate user data on March 1. "The new policy forces consumers to allow information across all of these products to be shared, without giving them the ability to opt out.," the letter says. The state AGs also say "this invasion of privacy is virtually impossible to escape for the nation's Android-powered smartphone users, who comprise nearly 50% of the national smartphone market. For these consumers, avoiding Google's privacy policy change may mean buying an entirely new phone at great personal expense." The AGs point out that Google told Android users "We will not reduce your rights under this Privacy Policy without your explicit consent." Last week, EPIC filed a lawsuit to force the Federal Trade Commission to require Google to honor its previous commitments to Google users. EPIC has alleged that the proposed changes in the company's practices violate a 2011 Consent Order."
(Source: EPIC)
"State Attorneys General Write to Google
In a letter sent earlier today, 37 state attorneys generals (or their equivalents) wrote to Larry Page, Google's CEO, "to express our strong concerns with the new privacy policy that Google announced it will be adopting for all of its consumer products."
According to the letter:
Google’s new privacy policy is troubling for a number of reasons. On a fundamental level, the policy appears to invade consumer privacy by automatically sharing personal information consumers input into one Google product with all Google products. Consumers have diverse interests and concerns, and may want the information in their Web History to be kept separate from the information they exchange via Gmail. Likewise, consumers may be comfortable with Google knowing their Search queries but not with it knowing their whereabouts, yet the new privacy policy appears to give them no choice in the matter, further invading their privacy. It rings hollow to call their ability to exit the Google products ecosystem a “choice” in an Internet economy where the clear majority of all Internet users use – and frequently rely on – at least one Google product on a regular basis.
The state officials ask that Google meet with them, and request a response by February 29.  There has been no response from Google yet, although it would be difficult for Google not to meet, even if it has no intention to change anything."
(Source: Security, Privacy and the Law)

Cette lettre n'est pas sans rappeler celle envoyée il y a quelques semaines à Google par le Groupe de l'article 29 (lettre et réponse). 

21 février 2012

OCDE: protection des enfants sur Internet

L'Organisation de coopération et de développement économiques vient du publier une Recommandation sur la protection des enfants sur Internet

Le Conseil reconnaît que: 
" - qu'un nombre croissant d'enfants passent de plus en plus de temps sur Internet, en commençant à un âge de plus en plus précoce, et que les technologies Internet et les appareils donnant accès aux réseaux évoluent rapidement, ce qui facilite l'accès des enfants à l'Internet et modifie les types d'utilisation qu'ils en font; 
- que si l'Internet a des retombées positives majeures pour les enfants en termes d'éducation, d'expression individuelle et de développement social, il s'accompagne également d'un éventail de risques vis-à-vis desquels les enfants sont plus vulnérables que les adultes; 
- l'importance de la coopération et de l'échange d'information entre l'ensemble des parties prenantes dans l'élaboration, la mise en oeuvre et l'évaluation des stratégies de protection des enfants sur Internet; 
- que la protection des enfants sur Internet nécessite des politiques qui à la fois réduisent les menaces de manière à promouvoir un Internet plus sûr pour les enfants et permettent aux enfants de se protéger eux-mêmes des menaces qui subsistent; 
- que même si les différences culturelles régionales et locales influent sur l'évaluation des risques pour les enfants sur Internet, le dialogue et la coopération au plan international se sont révélés précieux pour établir des stratégies plus efficaces à l'égard d'un média qui est par définition de dimension mondiale comme l'Internet."
(Source: Recommandation de l'OCDE)
Partant, les recommandations du Conseil sont les suivantes: 
"RECOMMANDE que dans la formulation de politiques destinées à protéger les enfants sur Internet, les gouvernements et l’ensemble des autres parties prenantes prennent en considération les principes suivants
a. Automatisation
b. Proportionnalité et valeurs fondamentales;
c. Flexibilité.

RECOMMANDE que, dans la formulation de politiques au plan intérieur pour la protection des enfants sur Internet, les gouvernements:
a. Ouvrent la voie et s'engagent à protéger les enfants sur Internet,
b. Favorisent une réponse coordonnée de l'ensemble des parties prenantes en facilitant et, le cas échéant, en établissant un dialogue, des partenariats,
c. Favorisent la compatibilité et la cohérence des initiatives de protection des enfants sur Internet parmi l'ensemble des parties prenantes publiques et privées,
d. Encouragent l'information et l'éducation qui sont des outils essentiels pour autonomiser les parents et les enfants,
e. Encouragent des politiques de protection des enfants sur Internet qui soient fondées sur des données probantes,
f. Encouragent le développement et l'adoption de technologies pour la protection des enfants sur Internet qui respectent les droits des enfants et la libertés des autres utilisateurs de l'Internet.

RECOMMANDE qu’au niveau international, les gouvernements :
a. Renforcent les réseaux internationaux d’organisations nationales chargées de la protection des enfants sur Internet, comme les réseaux d’assistance téléphonique et de centres d’information et, s’il y a lieu, facilitent un élargissement de leur rôle.
b. Échangent des informations sur les stratégies nationales de protection des enfants sur Internet et notamment élaborent les fondements empiriques d’une analyse comparative internationale quantitative et qualitative.
c. Soutiennent les initiatives régionales et internationales de renforcement des capacités afin d’améliorer les politiques publiques et les mesures pratiques destinés à protéger les enfants sur l’Internet, notamment la mise en commun et l’échange des outils d’éducation et de sensibilisation qui ont fait leurs preuves.
d. Améliorent la coordination des travaux menés par les divers organes et organisations à l’échelon international et régional qui jouent un rôle à l’appui des efforts gouvernementaux dans ce domaine, notamment l’OCDE, l’Organisation de coopération économique Asie-Pacifique, le Conseil de l’Europe, l’Union européenne, le Forum sur la gouvernance de l’Internet, l’Union internationale des télécommunications, l’Organisation des États Américains, et associent des acteurs non gouvernementaux en tant que de besoin."
(Source: Recommandations de l'OCDE)

Pour plus de détails:

20 février 2012

Amazon: dans la ligne de mire de la CNIL

Dans un article publié dans la revue L'express, on peut y lire que le site de commerce en ligne Amazon France fait l'objet d'un contrôle de la part de la Commission nationale de l'informatique et des libertés. Ce contrôle concerne notamment la durée de conservation des renseignements personnels collectés sur le site et l'analyse des comportements d'achats réalisée par Amazon.

16 février 2012

FTC: applications mobiles et politique de confidentialité

Dans le cadre de ses travaux sur les amendements à apporter à la Children's Online Privacy Protection Act (billet), la Federal Trade Commission (FTC) vient de publier une étude intitulée Mobile Apps for Kids: Current Privacy Disclosures Are Disappointing.
Cette étude invite les développeurs d'applications mobiles à revoir la présentation et le contenu de l'information transmise aux jeunes, mais également à leurs parents afin que celle-ci soit plus accessible.
"FTC staff believes that all members of the kids app ecosystem [...] should play an active role in providing key information to parents who download apps. The mobile app marketplace is growing at a tremendous speed, and many consumer protections, including privacy and privacy disclosures, have not kept pace with this development. Parents need easy access to basic information so they can make informed decisions about the apps they allow their children to use". 
(Source: FTC Staff Report, p. 7)
Dès lors, il est indiqué que
"App developers should provide this information through simple and short disclosures or icons that are easy to find and understand on the small screen of a mobile device. Parents should be able to learn what information an app collects, how the information will be used, and with whom the information will be shared.16 App developers also should alert parents if the app connects with any social media, or allows targeted advertising to occur through the app. Third parties that collect user information through apps also should disclose their privacy practices, whether through a link on the app promotion page, the developers’ disclosures, or another easily accessible method."
(Source: FTC Staff Report, p. 7)
Pour y arriver, la FTC reconnaît que: 
"Additional work is needed to identify the best means and place for conveying data practices in plain language and in easily accessible ways on the small screens of mobile devices. Staff encourages industry members, privacy groups, academics, and others to develop and test new ways to provide information to parents – for example, by standardizing language, creating icons, or using a layered approach."
(Source: FTC Staff Report, pp. 7 et 8)
Après avoir expliqué sa méthodologie, la FTC en arrive à la conclusion que : 
"The mobile apps marketplace is a constantly evolving new media that offers parents many new options for entertaining and educating their children. Staff’s survey shows, however, that parents generally cannot determine, before downloading an app, whether the app poses risks related to the collection, use, and sharing of their children’s personal information. Although the two major U.S. mobile app stores provide some information and controls governing apps, all members of the mobile app ecosystem – the app stores, the developers, and the third parties providing services within the apps – must do more to ensure that parents have access to clear, concise and timely information about the apps they download for their children. Parents should be able to learn, before downloading an app for their children, what data will be collected, how the data will be used, and who will obtain access to the data. Armed with such information, parents can make knowledgeable decisions about the apps they choose for their children, and embrace these technologies with more confidence. Staff is committed to working with all stakeholders on these issues, and also plans to continue its vigorous enforcement of the COPPA statute and Rule. Staff hopes that this report will spur greater transparency and meaningful disclosure about the data collection practices in apps for children."
(Source: FTC Staff Report, p. 17)

Pour aller plus loin: 

14 février 2012

Nouvelle-Zélande: Google et la vie privée

Sur le site du Privacy Commissioner de la Nouvelle-Zélande, on peut lire la déclaration suivante quant à la nouvelle politique de Google en matière de confidentialité. 
"Google's aim of making their privacy policies simpler and clearer is a move in the right direction. We have encouraged Google to go down that track and have said how important it is for privacy policies to be readily understandable and as clear as possible. If these changes do that, then that is a good thing for Google users.
Google's plans for increased linkages in user identity data across Google products and services to provide a seamless user experience do raise concerns and it means the ground is shifting for Google account holders.
Users need to be aware that Google's business model relies on being able to deliver targeted advertising and that user demographic data provides the raw fuel. That exists under the current model and is extended by the new plans.
Google account holders might want to look again at their privacy settings in tools like Google Dashboard and change those if they want more privacy. Some users may choose to create pseudonymous, separate, online profiles. I will continue to keep track of these changes and the impact that they may have on user privacy.
For people who don't have Google accounts (eg Google+, Reader, Gmail etc) there is probably little difference."
(Source: Privacy Commissioner, Media Statement)

13 février 2012

Google ou la monétisation de la vie privée

Articles intéressant sur la monétisation de la vie privée par Google et, plus particulièrement via son programme Screenwise:
"The panel - called Screenwise - is similar to those used by many market research companies. This panel is designed to help us understand web usage better - such as what times of day people browse, how long they stay on websites and what types of sites are popular (or not). As a Screenwise Internet Trends panelist, you'll add a browser extension that will share with Google the sites you visit and how you use them. What we learn from you, and others like you, will help us improve Google products and services and make a better online experience for everyone."

8 février 2012

Facebook et la mémoire (4)

Dans la continuité des billets du 22 octobre et du 22 décembre, on peut lire les articles suivants sur la rencontre entre Max Schrems et Facebook: 

7 février 2012

Europe: Google et la vie privée (2)

En réponse à la lettre envoyée le 2 février dernier (billet) par le Goupe de l'article 29, Google a répondu
"[...] Your letter has requested a pause while the Article 29 Working Party checks the possible consequences of the changes for ours users. Your letter states that this in the interests of ensuring that there can be no misunderstanding about Google's commitment to information rights of their users and EU citizens.
As you will know, we had extensively pre-briefed data protection authorities across the EU prior to the launch of our notification to users on 24 January 2012. At no stage did any EU regulator suggest that any sort of pause would be appropriate. Since we finished these extensive briefings, we have notified over 350 million Google account holders, as well as providing highly visible notices to all our non-authenticated users. In addition, the policy does not come into effect until 1 March 2012, as we wanted to leave more than adequate time for our users to be able to read and understand the policy before it's fully implemented.
We hope this overview of our updated privacy policy will help to address your concerns. We are happy to discuss this further with tne CNIL should they want to approach us for a meeting, or to answer anu written questions to Working Party may have."
(Source: Letter's Google 03-03-2012)
  • Letter's Google, February 3, 2012.
  • "Google Declines EU Request to Delay Privacy Policy Start Date", Bloomberg BNA - Electronic Commerce & Law Report, February 6, 2012 (sur abonnement)

3 février 2012

Europe: Google et la vie privée

En date du 2 février, le Groupe de l'article 29 a fait parvenir, à Larry Page, directeur de Google, une lettre invitant la société à retarder l'entrée en vigueur de sa nouvelle politique de confidentialité.
"Dear Mr. Page, 
On behalf of the Article 29 Working Party I would like to inform you that we are aware of the upcoming change in your privacy policy.
Given the wide range of services you offer, and popularity of these services, changes in your privacy policy may affect many citizens in most or all of the EU member states.
We wish to check the possible consequences for the protection of the personal data of these citizens in a coordinated procedure. We have therefore asked the French data protection authority, the CNIL, to take the lead. The CNIL has kindly accepted this task and will be your point of contact for the data protection authorities in the EU.
In light of the above, we call for a pause in the interests of ensuring that there can be no misunderstanding about Google's commitments to information rights of their users and EU citizens, until we have completed our analysis.
Yours sincerely,
Jacob Kohnstamm
Chairman of the Article 29 Working Party" 
Google a présenté sa nouvelle politique le 24 janvier dernier et, cette dernière doit en principe entrer en vigueur le 1er mars prochain. À suivre donc.


2 février 2012

CNIL: vidéosurveillance des salariés

Le 17 janvier 2012, la Commission nationale de l'informatique et des libertés a décidé de rendre publique la mise en demeure, du 16 décembre 2011, de la société Oceatech Equipement. 

Cette société qui emploie huit salariés utilise un dispositif vidéo comportant "huit caméras, chacune équipée d'un microphone permettant l'écoute sonore et d'un haut-parleur" (Décision 2011-036, p. 1). Parmi ces caméras, sept filment des lieux non ouverts au public (postes de travail des salariés, salle de réunion / réfectoire, cuisine, par exemple). 

Suite au dépôt d'une plainte, la CNIL a constaté plusieurs manquements à la Loi du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment aux obligations de: 
- définir une finalité déterminée, explicite et légitime du traitement,
- veiller à l'adéquation, à la pertinence et au caractère non excessif des données,
- définir une durée de conservation des données,
- d'informer les personnes. 

Elle a également constaté un manquement à la Loi du 21 janvier 1995 modifiée d'orientation et de programmation relative à la sécurité en ce qui concerne l'obligation d'obtenir une autorisation préfectorale préalablement à la mise en oeuvre d'un dispositif de vidéoprotection.

À compter de la notification de la décision du 16 décembre 2011, la société avait six semaines pour prendre les mesures nécessaires pour se conformer aux lois de 1978 et de 1995. 

En rendant publique cette mise en demeure, la CNIL "rappelle que [celle-ci] ne revêt pas le caractère d'une sanction. À ce titre, aucune suite ne sera donnée à la procédure si l'organisme concerné se conforme en tous points aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l'objet d'une clôture qui sera également rendue publique" (Délibération 2012-012, p. 2).

France: vidéosurveillance et droit du travail

La Chambre sociale de la Cour de cassation, dans un arrêt du 12 janvier 2012, indique que "si l’employeur a le droit de contrôler et de surveiller l’activité de ses salariés pendant le temps de travail, il ne peut être autorisé à utiliser comme mode de preuve les enregistrements d’un système de vidéo-surveillance installé sur le site d’une société cliente permettant le contrôle de leur activité dont les intéressés n’ont pas été préalablement informés de l’existence". 

    1 février 2012

    AFAPDP: un nom (un site) à retenir

    L'Association Francophone des Autorités de Protection des Données Personnelles, créée en 2007 à Montréal, vient de lancer son site Web à l'adresse suivante: http://www.afapdp.org

    Cette association "rassemble une quarantaine d’autorités de protection des données, ainsi que les représentants des États intéressés par l’adoption d’une législation sur la protection des données personnelles et les organisations régionales et internationales concernés par le sujet". (Source: AFAPDP, "À Propos")

    Ses objectifs sont: 
    • "la mise en avant de la législation et de l’expertise francophones sur la protection des données personnelles, notamment grâce à des services d’accompagnement", 
    • "la valorisation et le partage des bonnes pratiques entre les autorités de contrôle francophones",
    • "la participation au développement du réseau des organisations régionales et internationales et des États francophones concernés par le droit à la protection des données personnelles".
    • (Source: AFAPDP, "À Propos")
    La présidence de l''AFAPDP est assurée par la Commission d'accès à l'information (CAI) du Québec et, le secrétariat général est basé à la Commission nationale de l'informatique et des libertés (CNIL) en France.