30 septembre 2012

France et Canada: tribune et résultats de recherche

Cette semaine, Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés a indiqué que la protection des renseignements personnels "loin d'être une contrainte, voire un handicap comme l'estiment certains, devient un facteur de différenciation concurrentielle, un outil de compétitivité", ou encore un "argument économique" pour les entreprises. Dès lors, il est important de moderniser la législation européenne relative à la protection des renseignements personnels afin de "coller aux nouvelles réalités d'Internet". 

De son côté, la commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, publiait les résultats d'une recherche "sur les pratiques de certains sites Web très prisés de la population canadienne afin d’évaluer si les fuites sur Internet représentent une atteinte à la vie privée au Canada".

25 septembre 2012

CNIL: enquête sur Facebook

Suite à l'annonce selon laquelle des messages auraient été rendus publics, la Commission nationale de l'informatique et des libertés a rencontré des représentants de Facebook France et a décidé de poursuivre ses investigations "afin de déterminer si des messages privés ont effectivement été rendus publics" (Source: CNIL, Article, 25 septembre 2012)
 
À suivre donc ...

Pour plus de détails: 

23 septembre 2012

Irlande: nouvel audit sur Facebook (et reconnaissance faciale)

En décembre 2011, le Data Protection Commissioner d'Irlande a indiqué dans son rapport d'enquête sur les pratiques de Facebook en matière de protection des renseignements personnels qu'un nouvel audit serait publié courant 2012 (billet).

Le 21 septembre 2012, l'autorité irlandaise a rendu public les conclusions de ce nouvel audit portant sur la mise en oeuvre des points suivants: 1) Privacy and data use policy; 2) Advertising; 3) Access requests; 4) Retention of data; 5) Cookies / Social plugs-ins; 6) Third party apps; 7) Disclossures to third parties; 8) Facial recognition / Tag suggest; 9) Data security; 10) Detention of accounts; 11) Friend finder; 12) Tagging; 13) Posting on other profiles; 14) Facebook credits; 15) Pseudonymous profiles; 16) Abuse reporting; et 17) Compliance management / Governance
On peut lire dans le communiqué que:  
"[...] The Review finds that the great majority of the recommendations have been fully implemented to the satisfaction of this Office, particularly in the following areas:  
- The provision of better transparency for the user in how their data is handled, 
- The provision of increased user control over settings.
- The implementation of clear retention periods for the deletion of personal data or an enhanced ability for the user to delete items, 
- The enhancement of the user’s right to have ready access to their personal data and the capacity of FB-I to ensure rigorous assessment of compliance with Irish and EU data protection requirements.
Those recommendations which are not implemented by FB-I as of yet are highlighted with a clear timescale for implementation listed.
The Irish Data Protection Commissioner, Billy Hawkes said, “I am satisfied that the Review has demonstrated a clear and ongoing commitment on the part of FB-I to comply with its data protection responsibilities by way of implementation or progress towards implementation of the recommendations in the Audit Report.  I am particularly encouraged in relation to the approach it has decided to adopt on the tag suggest/facial recognition feature by in fact agreeing to go beyond our initial recommendations, in light of developments since then, in order to achieve best practice.  This feature has already been turned off for new users in the EU and templates for existing users will be deleted by 15 October, pending agreement with my Office on the most appropriate means of collecting user consent.  By doing so it is sending a clear signal of its wish to demonstrate its commitment to best practice in data protection compliance.”
Deputy Commissioner, Gary Davis who led the both the Audit and the Review stated that “the outcome reflects months of detailed engagement between Facebook Ireland and this Office.  The discussions and negotiations that have taken place, while often robust on both sides, were at all times constructive with a collective goal of compliance with data protection requirements.  There were a number of items on which progress was not as fully forward as we had hoped and we have set a deadline of 4 weeks for these matters to be brought to a satisfactory conclusion.   
It is also clear that ongoing engagement with the company will be necessary as it continues to bring forward new ways of serving advertising to users and retaining users on the site.  The value of such engagement to identify and deal with any data protection concerns prior to launch of new products and services is fully accepted by FB-I.”"  
(Source: Data Protection Commissioner, Press Release, September 21, 2012)
Il est à noter que depuis la publication de cet audit, plusieurs commentateurs, comme l'Electronic Privacy Information Center (EPIC), soulignent le fait que 
"Facebook has agreed to give users the choice over the use of facial recognition, to grant users access to their facial recognition template, and to delete the facial recognition data of EU citizens by October 15"
(Source: EPIC, Press Release, September 21, 2012) 
Rappelons que le recours à la reconnaissance faciale est dans la mire de plusieurs autorités: Allemagne, Norvège, Luxembourg, Groupe de l'article 29, Federal Trade Commission, par exemple (billet)


Pour plus de détails: 

17 septembre 2012

Europe: avis du Groupe 29 sur le niveau de protection adéquat offert par Monaco

En novembre 2009, la Principauté de Monaco a demandé à la Commission européenne de se prononcer sur le niveau de protection adéquat offert par la Loi 1.165 relative à la protection des informations nominatives (et par l'Ordonnance souveraine 2.230) au regard de la Directive 95/46/CE

Le 19 juillet 2012, après plusieurs discussions, notamment entre la Commission de contrôle des informations nominatives (autorité monégasque) et la Commission nationale de l'informatique et des libertés (autorité française agissant à titre de rapporteur), le Groupe de l'article 29 s'est prononcé dans son avis 07/2012 sur le niveau de protection adéquat offert par la Principauté de Monaco.  

Pour plus de détails: 

10 septembre 2012

CNIL: réseaux sociaux et vie privée

En matière de renseignements personnels, il est souvent fait référence aux manquements de tel organisme public ou de telle entreprise ... mais cela ne veut pas dire qu'il n'existe pas des initiatives visant à mettre en oeuvre les principes de protection et, c'est justement ce que souligne la Commission nationale informatique et libertés (CNIL) dans son communiqué intitulé "Des réseaux sociaux plus protecteurs de la vie privée ...", daté du 10 septembre 2012 et, qui se lit comme suit:
"Les réseaux sociaux peuvent être de formidables outils de communication à disposition des internautes. Toutefois, ils présentent également des risques d'atteinte à la vie privée si les données publiées ne sont pas maîtrisées ou si leurs éditeurs ne mettent pas en œuvre toutes les mesures nécessaires pour protéger les données de leurs membres. Plusieurs réseaux sociaux ont mis en place des dispositifs plus protecteurs de la vie privée de leurs membres. La CNIL invite l'ensemble des acteurs à s'inspirer de ces bonnes pratiques et propose de les accompagner vers une meilleure conformité.
Le fonctionnement de la majorité des réseaux sociaux repose sur la mise à disposition d'un service gratuit en contrepartie d'une collecte d'informations pour une utilisation commerciale (analyse des profils et de la navigation sur internet pour délivrer de la publicité ciblée, transmissions de données à des tiers, …). Or, il est difficile de déterminer le devenir de ces informations une fois qu'elles sont sur le réseau.
C'est pourquoi le G29 (groupe des CNIL européennes) a précisé les règles applicables aux réseaux sociaux dans un avis du 12 juin 2009. Les CNIL européennes leur demandent notamment de :
  • définir des paramètres par défaut limitant la diffusion des données des internautes
  • mettre en place des mesures pour protéger les mineurs
  • supprimer les comptes qui sont restés inactifs pendant une longue période
  • permettre aux personnes, même si elles ne sont pas membres des réseaux sociaux, de bénéficier d'un droit de suppression des données qui les concernent
  • proposer aux internautes d'utiliser un pseudonyme, plutôt que leur identité réelle
  • mettre en place un outil accessible aux membres et aux non membres, sur la page d'accueil des réseaux sociaux, permettant de déposer des plaintes relatives à la vie privée.
L'ensemble de ces règles n'est malheureusement pas toujours respecté. Aussi, la CNIL tient à souligner la démarche entreprise par certains réseaux sociaux tel que le réseau social Famicity qui s'est engagé à suivre l'ensemble des règles protectrices de la vie privée émises par le G29. La CNIL a accompagné cette mise en conformité de Famicity.
L'initiative du réseau social Diaspora peut également être soulignée. Il s'agit d'un réseau social libre où le contrôle des données personnelles par les utilisateurs est a priori garanti par plusieurs techniques.
D'autres sites proposent également des mesures protectrices, en particulier des mineurs, il s'agit par exemple de Mondokiddo, de le Mini réseau, de l'Univers de Wilby ou de Yoocasa.
La CNIL participe ainsi à la mise en conformité des gestionnaires de réseaux sociaux, et invite à la diffusion de ces bonnes pratiques, à destination notamment des mineurs."

8 septembre 2012

FTC: guide pour les développeurs d'applications mobiles

La Federal Trade Commission (FTC) vient de publier un guide destiné aux développeurs d'applications mobiles relatif à la publicité et à la protection des renseignements personnels.
 
Ce guide insiste, entre autres, sur l'importance de dire la vérité et d'informer clairement les utilisateurs des caractéristiques et des conditions d'utilisation de l'application. Ou encore sur la nécessité: 
  • de prendre en considération, dès la conception du produit, les principes de protection des renseignements personnels (Privacy by Design); 
  • d'adopter, de publier et de respecter ses engagements en matière de protection des renseignements personnels; 
  • de tenir compte de la Children's Online Privacy Protection Act (COPPA) si l'application est destinée à des utilisateurs de moins de 13 ans. Rappelons que la FTC est en train de procéder à la révision de cette loi (billet); 
  • de ne collecter des renseignements personnels sensibles qu'avec le consentement des personnes concernées; 
  • d'adopter des mesures de sécurité propres à assurer la confidentialité des renseignements personnels. 
Pour aller plus loin: 

5 septembre 2012

Europe: reconnaissance du niveau de protection adéquat de l'Uruguay

La Commission européenne vient de reconnaître que la Loi n°18.331 relative à la protection des données à caratère personnel et au recours en "habeas data" (en espagnol), adoptée par la République orientale de l'Uruguay, le 11 août 2008, offre un niveau de protection adéquat. 

La notion de "niveau de protection adéquat" réfère à la Directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus particulièrement à son article 25 al. 1 qui dispose que "le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, [...] le pays tiers en question assure un niveau de protection adéquat". 
Ce niveau de protection s'apprécie en fonction, notamment de "la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées" (art. 25 al. 2). 

La Commission européenne a reconnu le niveau de protection adéquat de plusieurs législations: l'Andorre, l'Argentine, l'Australie, le Canada, la Suisse, Israël, les États-Unis, Guernesey, les Iles Féroé, l'Ile de Man, Jersey. 

Sur une autre note, rappelons que la République orientale de l'Uruguay est l'hôte de la prochaine Conférence internationale des commissaires à la protection des renseignements personnels et de la vie privée qui aura lieu les 23 et 24 octobre 2012. 

Pour aller plus loin, 

3 septembre 2012

Belgique: surveillance et travail

La Commission de la protection de la vie privée (CPVP) en Belgique vient de publier un dossier relatif à la surveillance électronique sur les lieux de travail. 

Ce dossier insiste, notamment, "sur les interférences entre différentes dispositions légales auxquelles est confrontée l'admissibilité d'une prise de connaissance patronale des communications électroniques et des données de communications électroniques" (Source: Texte introductif, p. 2). En effet, la problématique "surveillance et travail" fait, entre autres, référence à la Loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (LVP), au Code pénal, à la Loi relative aux communications électroniques (LCE), à la Loi relative aux contrats de travail (LCT), à la Convention collective de travail n°81 relative à la protection de la vie privée des travailleurs à l'égard du contrôle des données de communication électroniques en réseau (CCT n°81).

Partant, "pour qu'une consultation d'une communication électronique s'effectue dans le respect de la vie privée, l'employeur doit garder à l'esprit trois principes de base: 1) il doit poursuivre un but déterminé; 2) il ne peut systématique tout contrôler, et 3) le travailleur concerné doit savoir que l'employeur peut effectuer des contrôles. Attention: cela ne veut donc pas dire que le travailleur doit donner son consentement, seulement qu'il doit en être informé au préalable" (Source: Brochure, p. 2).

En effet, la CPVP "estime que le consentement du (des) travailleur(s) concerné(s) ne peut pas constituer la base légale autorisant un contrôle patronal des actes numériques accomplis par les travailleurs dans le cadre de la relation de travail ou à l'aide des outils de travail. En raison des rapports de force existant entre les parties, un consentement individuel des travailleurs concernés ne pourrait être considéré comme véritablement libre. [Dès lors,] l'employeur doit se conformer lors de l'exercice de son droit de contrôle [aux principes suivants: finalité, transparence et, proportionnalité]" (Source: Rapport, p. 24-25 / Recommandation 08/2012, p. 33 et 37-38).

Ainsi, advenant le cas où un employeur tolère que ses employés utilisent leur courriel professionnel à des fins professionnels, la CPVP recommande aux employeurs 1) de s'assurer "du respect du principe de légitimité, de la prévisibilité des traitements et de l'ingérence dans le droit au respect de la vie privée des travailleurs"; 2) de limiter "les possibles ingérences dans la vie privée des travailleurs"; 3) d'encadrer "les opérations de surveillances et de contrôles" et; 4) de garantir "le respect des règles et [de] renforce[r] la sécurité de la surveillance et du contrôle" (Source: Recommandations, p. 2-4 / Recommandation 08/2012, p. 44-46).

Pour plus de détails:

Belgique: rapport annuel 2011

La Commission de la protection de la vie privée (CPVP) en Belgique vient de publier son Rapport annuel 2011 qui retrace différentes activités, avis et recommandations de la Commission, notamment le contrôle des travailleurs par les employeurs, le marketing direct, Google Street View, l'échange électronique de données administratives, la désignation d'un fonctionnaire préposé à la protection des données à la Banque nationale de Belgique, la vidéosurveillance dans les lieux de détention et autres lieux d'un commissariat, la réutilisation des données des patients à des fins de recherches statistiques ou scientifiques ou encore la recherche biomédicale.