France: procédure de notification des violations de données à caractère personnel

En août 2011, comme mentionné dans un précédent billet, l'ordonnance n°2011-1012 a introduit dans la loi "informatique et libertés", à l'article 34bis, une obligation de déclarer les violations de données à caractère personnel, soit "toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques". 

Le 30 mars 2012, le décret n°2012-436 est venue préciser la "procédure de notification des violations de données à caractère personnel à la Commission nationale de l'informatique et des libertés [CNIL]". 

Ainsi, le fournisseur de services de communications électroniques accessibles au public devra indiquer à la CNIL:  la nature et les conséquences de la violation, les mesures déjà prises ou préposées pour y remédier, les personnes pouvant transmettre des informations supplémentaires à ce sujet et, si possible, une estimations du nombre de personnes susceptibles d'être impactées par la violation en cause. 

Le fournisseur peut également communiquer avec les personnes concernées pour leur indiquer la nature de la violation, les personnes pouvant transmettre des informations supplémentaires à ce sujet, mais surtout les mesures qu'elles peuvent prendre pour atténuer les conséquences négatives de cette violation. Il est à noter que pareille communication n'est pas nécessaire si la CNIL considère (dans un délai de deux mois) que les mesures prises par le fournisseur ont été efficacement appliquées aux données concernées par la violation. 

Et, le 28 mai 2012, la CNIL a publié un article relatif à "la notification des violations de données à caractère personnel" faisant état des obligations de l'article 34bis et des exigences du décret du 30 mars. Ainsi il est rappelé ce qu'est une violation de données à caractère personnel, les personnes ayant l'obligation de notifier, quand et comment notifier à la CNIL pour qu'elle puisse constater que des mesures appropriées ont été prises, quand notifier aux personnes concerner et comment le faire. 

• Décret n°2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire européen des communications électroniques, JORF n°0078 du 31 mars 2012, p. 5907
• COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "La notification des violations de données à caractère personnel", Article, 28 mai 2012. 

-----

Sur le même thème, voir également 

• OFFICE OF THE INFORMATION AND PRIVACY COMMISSIONER FOR BRITISH COLUMBIA, Privacy Breaches: Tools and Resources, March 2012. 
• OFFICE OF THE AUSTRALIAN INFORMATION COMMISSIONER, Data breach notification - A guide to handling personal information security breaches, April 2012. 

Travail et vie privée

Même si la problématique est loin d'être nouvelle, ces derniers temps, des articles, des livres, des projets de lois ou encore des guides ont pour toile de fond la notion de vie privée en milieu de travail. Voici quelques exemples:

1. En avril dernier, le Maryland a adopté une loi interdisant aux employeurs d'exiger qu'un employé ou un candidat à l'embauche ne divulgue leur mot de passe à un réseau social. D'autres États américains ont déposé des projets de lois en ce sens.

• "Maryland Legislature Approves Bill Prohibiting Employers from Requesting Social Media Passwords", Privacy and Information Security Law Blog, April 12, 2012. 
• ELECTRONIC PRIVACY INFORMATION CENTER, "Following Maryland, Congress and California Consider Bills Banning Employers From Asking for Facebook Passwords", May 1, 2012. 
• Dan KAHN, "Bills Protecting Social Networking Passwords From Employers Progress in California and New Jersey", Inside Privacy, May 11, 2012.

2. Le Commissariat à l'information et à la protection de la vie privée de l'Ontario vient de publier des conseils pratiques à l'intention des employés pour protéger leur vie privée dans les environnements électroniques. 

• INFORMATION AND PRIVACY COMMISSIONER OF ONTARIO, Reference Check: Is Your Boss Watching ? The New World of Social Media: Privacy and Your Facebook Profile, May 2012.

3. La Conférence des arbitres du Québec vient de publier un livre qui se veut 

"un outil de référence et de réflexions dans la pratique quotidienne des différents intervenants dans les relations de travail, [en abordant des thèmes comme] la législation concernant la protection de la vie privée en regard de l'utilisation des moyens technologiques au travail, les litiges qui s'y produisent ou qui risquent de se produire avec l'utilisation de tels outils et les règles de l'administration de la preuve dans le cadre des litiges qui seront soumis en arbitrage". 

(Source, Préface, p. 2)

• Mes amis facebook, moi et mon emploi: l'arbitrage de grief à l'ère des réseaux sociaux, coll. Les cahiers de la Conférence des arbitres du Québec, vol. 1., Montréal, Wilson & Lafleur, 2012.  

4. Dans un nouveau bulletin Technologies de l'information - En bref, Mes Vermeys et Gingras "s'intéressent [entre autres] aux récents reportages médiatiques visant les employeurs qui requièrent un accès au compte Facebook d'employés potentiels afin d'aborder la qualification juridique des médias sociaux et, ainsi, le contexte dans lequel un accès à leur contenu s'avère justifié". 

• "Qu'est-ce que Facebook ? Plaidoyer pour une qualification juridiques des médias sociaux", (2012) 1 Technologies de l'information - En bref, 2. 

5. Un article intéressant paru dans Le Monde illustre différentes techniques utilisées pour surveiller un employé: appel téléphonique, filature, vidéosurveillance et autres GPS. 

• Bertrand BISSUEL, "Mon patron, cet espion", Le Monde, 27 mai 2012. 

CNIL: Google et la vie privée (4)

La Commission nationale de l'informatique et des libertés (CNIL) avait donné à Google jusqu'au 5 avril dernier pour répondre à un questionnaire détaillé (billet), une réponse partielle a été transmise le 5 avril (billet) et la réponse complète a été déposée le 20 avril. 

Toutefois, comme on peut le lire sur le site de la CNIL, celle-ci "se félicite de la collaboration de Google sur cette question mais regrette que les réponses fournies par Google soient souvent incomplètes ou approximatives". 

C'est pourquoi, la CNIL a fait parvenir une lettre à Google, le 22 mai, pour obtenir des précisions sur certaines réponses. En effet, 

"en l'état, la CNIL considère qu'il est impossible de connaître l'ensemble des traitements de données personnelles réalisé par Google, ainsi que les relations entre données collectées, finalités et destinataires et que l'obligation d'information des personnes sur les traitements n'est donc pas respectée. La CNIL relève également que Google n'est pas en mesure de fournir une durée maximale de conservation des données. 

Concernant la combinaison des données entre services, la CNIL réitère ses inquiétudes sur la finalité et l'ampleur de ces combinaisons ainsi que sur leur base légale. La CNIL s'interroge également sur les effets réels des mécanismes de désinscription ("opt-out") proposés par Google et leur validité comme moyen d'exercer un droit d'opposition.

Enfin, Google n'est aujourd'hui pas en mesure d'apporter une réponse concrète sur la manière dont la Directive "vie privée et communications électroniques" est appliquée pour les "utilisateurs passifs" de Google, c'est-à-dire les personnes qui utilisent les services de Google (publicité, analytics, bouton +1) lorsqu'ils se rendent sur des sites tiers." 

(Source: CNIL)

Google a jusqu'au 8 juin pour répondre ... à suivre donc. 

• COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "La CNIL adresse un questionnaire complémentaire à Google suite à ses réponses insuffisantes sur ses nouvelles règles de confidentialité", Actualité, 23 mai 2012. 

FTC: atelier publicité et confidentialité en ligne

La Federal Trade Commission a dévoilé le programme final de l'atelier "Advertising and Privacy Disclosure in a Digital World" qui aura lieu le 30 mai 2012. 

Les thèmes suivants y seront abordés:  

- Universal and Cross-Platform Advertising Disclosures

- Social Media Advertising Disclosures
- Mobile Advertising Disclosures
- Mobile Privacy Disclosures 

[Ajout du 02-07-2012] Les vidéos et les transcriptions des sessions sont disponibles à l'adresse suivante: http://htc-01.media.globix.net/COMP008760MOD1/ftc_web/FTCindex.html#May30_

• FEDERAL TRADE COMMISSION, "FTC Announces Final Agenda and Panelists for Workshop about Advertising and Privacy Disclosures in Online and Mobile Media", Press Release, May 18, 2012. 
• FEDERAL TRADE COMMISSION, "FTC Will Host Public Workshop to Explore Advertising Disclosures in Online and Mobile Media on May 30, 2012", Press Release, February 29, 2012. 

Paiement sans contact: examen en cours et guide

Dans la continuité d'un précédent billet et, devant la multiplication des questions soulevées par le recours à des cartes de bancaire sans contact, la Commission nationale de l'informatique et des libertés (CNIL) procède à une expertise comme l'indique un communiqué:

"Selon plusieurs articles de presse parus ces dernières semaines, les cartes de paiement sans contact actuellement distribuées par certains établissements bancaires présenteraient un risque au regard de la sécurité des données personnelles qu'elles contiennent. Des tests auraient démontré que ces cartes seraient susceptibles de communiquer sur plusieurs mètres des informations relatives à leur porteur ou aux transactions effectuées par celui-ci. La CNIL réalise donc actuellement des investigations techniques afin d'identifier d'éventuels problèmes de sécurité et d'évaluer leurs conséquences en termes d'impact sur la vie privée des porteurs de carte.
La loi Informatique et libertés prévoit que les organismes mettant en œuvre des traitements informatiques doivent assurer la sécurité des données qu'ils traitent afin notamment d'empêcher que des tiers non autorisés n'y aient accès." 

(Source: CNIL) 

• COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Sécurité des cartes bancaires sans contact: expertise en cours", Actualité, 10 mai 2012.  

De son côté le Payment Card Industry Council vient de publier un guide pour les commerçants qui souhaitent recourir à cette technologie, comme le mentionne un billet paru dans InsidePrivacy. 

• Mike NONAKA, "PCI Council Issues Guidance for Mobile Payment Acceptance", InsidePrivacy, May 17, 2012. 

MySpace, Facebook et Google: autour d'une politique de confidentialité

Alors que MySpace a signé un accord avec la Federal Trade Commission (FTC) par lequel il accepte de mettre en place un programme complet de protection des renseignements personnels et de se soumettre, durant le 20 prochaines années, à des évaluations menées par des organismes indépendants, un rapport du cabinet Siegel+Gale insiste sur le fait que les politiques de Facebook et Google demeurent incompréhensibles aux internautes malgré les efforts de simplification ... à tel point qu'"Erin Egan, responsable des règles de vie privée pour [Facebook], tenait d'ailleurs une séance de questions-réponses diffusée en direct sur le site, lundi, afin d'aider à éclaircir les coins sombres de sa politique" (source: La Presse)  

[09-06-2012] Suite à cet accord, on peut lire sur le site de l'Electronic Privacy Information Center que

"EPIC submitted comments to the Federal Trade Commission on a proposed settlement with Myspace. The settlement follows from allegations that Myspace allowed advertisers to access personally-identifying information after promising to keep such information private. The settlement requires Myspace to implement a comprehensive privacy program, submit to independent audits, and refrain from privacy misrepresentations. EPIC expressed support for the settlement in general, but recommended that the FTC make the settlement at least as protective as a previous settlement with Facebook. Additionally, EPIC said, the FTC should require Myspace to implement practices consistent with the White House's Consumer Privacy Bill of Rights."

(source: EPIC)

• In the Matter of MySpace LLC, FTC File No. 102 3058 
• FEDERAL TRADE COMMISSION, "MySpace Settles FTC Charges That It Misled Millions of Users About Sharing Personal Information with Advertisers", Press Release, May 8, 2012. 
• SIEGEL + GALE, Knowing more about privacy makes users share less with Facebook and Google, April 2012. 
• Alain MCKENNA, "Facebook clarifie encore sa politique de confidentialité", La Presse, 15 mai 2012. 

• ELECTRONIC PRIVACY INFORMATION CENTER, "EPIC Urges FTC to Protect Privacy of Myspace Users", Latest News, June 9, 2012. 

Vers une simplification des politiques de confidentialité

Même si elles sont souvent décriées, les politiques de confidentialité demeurent néanmoins l'outil par lequel les organismes publics et les entreprises informent les internautes de leurs engagements en matière de protection des renseignements personnels. 

Pour permettre à cet outil d'informer adéquatement les internautes plusieurs solutions sont envisagées ... cela va de l'adoption de politiques multistrates (ou multi-layered privacy notices), c'est-à-dire que l'information est tout d'abord présentée sous une forme condensée et, si l'internaute souhaite obtenir plus de détails, il lui est possible de cliquer sur un lien lui donnant accès à une politique détaillée ... à l'adoption de pictogrammes qui permettent en une image de connaître la politique de confidentialité d'un site Web ... ce que recommande, entre autres, la Federal Trade Commission dans un rapport de mars 2012 (billet), la Commission d'accès à l'information du Québec dans son Rapport quinquennal de 2011 (billet) ou encore un groupe d'étudiants de l'Université de Yale (Privacy Simplified) comme indiqué dans un billet du Canadian Privacy Law Blog.

Uruguay: 34e conférence internationale (pré-programme)

Publication du pré-programme de la 34° Conférence internationale des commissaires à la protection des données et de la vie privée qui se tiendra à Punta del Este (Uruguay) les 23 et 24 octobre prochain ... http://www.privacyconference2012.org.

Europe: conférence des commissaires à la protection des données

Cette semaine (2-4 mai) s'est tenue, au Luxembourg, la conférence de printemps ("Spring Conference") des commissaires européens à la protection des données sur le thème « La réforme de la protection des données européenne confrontée aux attentes ! ». 

Durant les séances, les discussions ont porté sur: 

- le nouveau cadre européen de la protection des données dans un monde globalisé;

- les droits de la protection des données dans le monde connecté;

- améliorer la conformité et la responsabilité des acteurs tout en réduisant les contraintes administratives; 

- un rôle renforcé des autorités de contrôle et une application cohérente à travers l'Union européenne; 

- la protection des données dans le domaine de la police et de la justice.

• COMMISSION NATIONALE POUR LA PROTECTION DES DONNÉES - GRAND DUCHÉ DU LUXEMBOURG, "Conférence annuelle des autorités européennes à la protection des donnée", Actualité, Mai 2012.  

[21-05-2012] 

• "L’avenir de la protection des données dans l’UE discuté à Luxembourg par les chefs des autorités nationales compétente", EuropaForum.lu, mai 2012. 

Europe: vers un Internet plus sûr et intéressant pour les jeunes

Pour faire en sorte qu'"Internet [soit] plus sûr et plus intéressant pour les enfants et les ados", la Commission européenne "a élaboré un plan visant à doter les enfants des compétences et outils numériques qui leur permettront de profiter pleinement et en toute sécurité du monde numérique". 

Ainsi, reconnaissant que "les approches nationales varient d'un État membre à l'autre, les petits Européens bénéficient de niveaux différents de sensibilisation et de protection en ligne. Cette situation ne facilite pas non plus la tâche des sociétés qui souhaitent commercialiser des services et produits destinés aux enfants partout dans l'Union. Pour surmonter ces obstacles, la Commission a élaboré une série de mesures qui seront mises en œuvre par divers moyens, tels que l'autorégulation du secteur, qui devrait déboucher sur des solutions flexibles et rapides. [...] Les mesures sont regroupées autour de quatre grands objectifs: 

- stimuler la production de contenu créatif et éducatif en ligne pour les enfants et développer des plateformes donnant accès à des contenus adaptés à l'âge;

- renforcer la sensibilisation et l'apprentissage de la sécurité en ligne dans toutes les écoles de l'Union européenne afin de sensibiliser et de responsabiliser les enfants en matière de navigation en ligne;

- créer un environnement sûr pour les enfants, dans lequel les parents et leurs enfants disposent des outils nécessaires pour assurer leur protection en ligne, tels que des mécanismes faciles à utiliser pour signaler les contenus et comportements préjudiciables en ligne, des réglages par défaut sur la vie privée transparents et adaptés à l'âge ou encore des contrôles parentaux conviviaux;

- lutter contre le matériel pédopornographique en ligne en favorisant la recherche et l'utilisation de solutions techniques innovantes par la police."

(Source: Commission européenne, Communiqué IP/12/445) 

Pour plus de détails: 

• COMMISSION EUROPÉENNE, "Vers un internet plus sûr et plus intéressant pour les enfants et les ados", Communiqué de presse IP/12/445, 2 mai 2012.