24 février 2013

États-Unis: Décès d'Alan F. Westin

On peut lire cette semaine dans le New York Times qu'Alan F. Westin est décédé. 

Alan F. Westin est un auteur important pour qui s'intéresse à la vie privée et à la protection des renseignements personnels. Il est notamment l'auteur de Privacy and Freedom publié en 1967. 

Dans cet ouvrage, A. F. Westin revient, entre autres, sur la notion de "droit à la vie privée" développée par Samuel D. Warren et Louis D. Brandeis ("The Right to Privacy", (1890) 4 Harvard Law Review 193) et sur la classification suivante du Doyen Prosser : 
"Without any attempt to exact definition, these four torts may be described as follows: 
1. Intrusion upon the plaintiff's seclusion or solitude, or into his private affairs.
2. Public disclosur of embarrasing private facts about the plaintiff.
3. Publicity which places the plaintiff in a false light in the public eye.
4. Appropriation, for the defendant's advantage, of the plaintiff's name or likeness."
(Source: William L. PROSSER, "Privacy", (1960) 48 California L. R. 383, 389)
A. F. Westin propose, en effet, une actualisation de cette classification eu égard aux développements technologiques qui peuvent avoir des répercussions sur la vie privée des individus. Il identifie alors trois mécanismes de surveillance reliés à l'utilisation de l'informatique, soit le contrôle physique (physical surveillance), le contrôle psychologique (psychological surveillance) et le contrôle des données (data surveillance) ... ce qui est toujours d'actualité.  

Cette actualisation a fait en sorte que l'on présente A. F Westin comme étant celui qui a créé "almost single-handedly, the modern field of privacy law" (Source: New York Times du 22 février 2013).  

18 février 2013

CNIL et Google: des recommandations à une action plus répressive ...

Le 16 octobre 2012, la Commission nationale de l'informatique et des libertés (CNIL), agissant pour le compte des 27 autorités européennes de protection des données, a fait parvenir à Google une série de recommandations relatives aux nouvelles règles de confidentialité (billet).

En date d'aujourd'hui, Google n'a toujours pas donné suite aux recommandations de la CNIL ce qui conduit cette dernière à annoncer ce qui suit:  
"Après plusieurs mois d'enquête menée par la CNIL, les autorités de protection des données européennes ont publié, le 16 octobre 2012, leurs conclusions communes sur les nouvelles règles de confidentialité de Google. Elles recommandaient une information plus claire des personnes et un meilleur contrôle par les utilisateurs de la combinaison de données entre les nombreux services offerts par Google. Enfin, elles souhaitaient que Google précise les durées de conservation des données. A l'expiration du délai de 4 mois accordé à Google pour se mettre en conformité et s'engager sur la mise en œuvre de ces recommandations, aucune réponse n'a été apportée par la société.
À la date du 18 février, les autorités européennes constatent que Google n'a pas apporté de réponse précise et opérationnelle à leurs recommandations. Dans ces conditions, elles sont déterminées à agir et à poursuivre leurs investigations. Elles proposent la mise en place d'un groupe de travail, piloté par la CNIL, pour coordonner leur action répressive, laquelle devrait intervenir avant l'été. 
Ce plan d'action, envisagé par les autorités lors d'une réunion qui s'est tenue à Paris fin janvier, sera soumis pour validation au G29 - le groupe des CNIL européennes - à l'occasion de la plénière du 26 février."
(Source: COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Règles de confidentialité de Google : vers une action répressive et coordonnée des autorités européennes", 18 février 2013)
À suivre donc.

17 février 2013

Facebook, les données et l'anonymat

Facebook a fait l'objet de plusieurs articles cette semaine. 

Tout d'abord, on peut lire que nous donnons nos données au réseau. 

Ensuite, on peut lire que Facebook peut continuer d'exiger que les utilisateurs s'inscrivent sous leurs véritables identités. 
En effet, le tribunal administratif de Schleswig-Holstein, en Allemagne, vient de se prononcer en faveur du réseau dans l'affaire l'opposant à l'autorité de protection des données personnelles de ce land (i.e. Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein). 
Le réseau peut donc interdire l'usage des pseudonymes ... mais Thilo Weichert, le directeur de l'autorité de protection a annoncé qu'il allait porter en appel cette décision qui considère également que la loi allemande ne s'applique pas en l'espèce étant entendu que Facebook a son siège social en Irlande.  

Pour plus de détails, voir notamment: 

15 février 2013

Canada: un comité examine la protection des renseignements personnels au RHDCC

Suite à la perte d'une clé USB et d'un disque dur par Ressources humaines et Développement des compétences Canada (RHDCC) (billet 1 et 2), le Comité permanent des ressources humaines, du développement des compétences, du développement social et de la condition des personnes handicapées s'est réunit, le 14 février 2013, afin d'examiner la protection des renseignements personnels détenus par ce ministère. (Source: Procès verbal de la Séance n°67).

À cette fin, le Comité a entendu des hauts fonctionnaires de ce ministère, dont le sous-ministre qui a notamment déclaré: 
"The incidents are unacceptable. Sensitive information was stored on unencrypted portable storage devices and not properly secured. This should not have occurred," Shugart said.
"On behalf of Human Resources and Skills Development Canada, I say to the committee, I apologize for these incidents." [...]
Shugart told the committee the investigation into the Canada Student Loans breach is still open, and investigators haven't finalized details of what exactly happened to the hard drive - which is about the size of an iPhone - or who exactly was at fault.
"We did not make any assumptions and even now we haven't made any assumptions about what happened," he said. "We can say - the committee will appreciate it's not possible to prove a negative - that we encountered no evidence of malfeasance."
(Source: Jordan PRESS, "Top bureaucrat apologizes for student loan data breach", The Gazette, February 14, 2013)
"Le sous-ministre Ian Shugart a répondu que les fonctionnaires ne faisaient que suivre la procédure prévue. Selon lui, aucune de ces disparitions ne serait liée à un geste criminel. «Nous n'avons trouvé aucune preuve de délit, et notre suivi ne nous a donné aucun motif de croire qu'une quelconque malversation serait en cause», a assuré M. Shugart."
(Source: Stephanie LEVITZ, "Renseignements personnels perdus: Ottawa s'excuse", La Presse, 14 février 2013)

Le Comité a ajourné ses travaux. À suivre donc.

12 février 2013

Canada: abandon du PL C-30 (protection des enfants contre les cyberprédateurs)

Le projet de loi C-30, également connu sous le titre abrégé de Loi sur la protection des enfants contre les cyberprédateurs, n'est plus. 

Ce projet de loi, déposé en février dernier à la Chambre des communes du Canada, avait pour objet 
"d’exiger des télécommunicateurs qu’ils disposent des moyens nécessaires pour permettre aux organismes chargés de la sécurité nationale ou du contrôle d’application des lois d’exercer leur pouvoir d’intercepter les communications et qu’ils fournissent des renseignements, notamment sur les abonnés, sans toutefois porter atteinte indûment à la vie privée des particuliers ou entraver sérieusement la prestation de services de télécommunication aux Canadiens et la compétitivité de l’industrie canadienne des télécommunications."
(Source: art. 3 du projet de loi)  

Ce projet de loi a fait l'objet de nombreuses critiques notamment car il aurait permis la communication sans mandat de renseignements concernant les abonnés. Ainsi, 
"sur demande écrite [...], le télécommunicateur [aurait eu à fournir] les renseignements identificateurs qu'il a en sa possession ou à sa disposition concernant les nom, adresse, numéro de téléphone et adresse de courriel de tout abonné de ses services de télécommunication et l'adresse de protocole Internet et l'identification du fournisseur de services locaux associés aux services et à l'équipement de l'abonné"
(Source: art. 16(1) du projet de loi)

Hier, le ministre de la Justice, l'honorable Rob Nicholson, "a confirmé que le projet C-30 était chose du passé" (Source: La Presse).  
Il est à noter que cette annonce a été faite alors que le ministre indiquait qu'il déposait un nouveau projet de loi visant à ajouter "de nouvelles mesures de protection de la vie privée à la disposition existante du Code criminel sur la mise sur écoute en situation de préjudice imminent" (Source: Communiqué de presse, Ministère de la justice). 


Pour aller plus loin, 

 

5 février 2013

FTC: applications mobiles (recommandations et guide)

1. Début février, la Federal Trade Commission (FTC) a publié le rapport Mobile Privacy Disclosures: Building Trust Through Transparency et le guide Mobile App Developers: Start with Security.

2. Le rapport fait suite à des études (billet) et autres rapports de la FTC (notamment Mobile Apps for Kids (billet) ou encore Protecting Consumer Privacy in an Era of Rapid Change (billet)). Il s'adresse aux principaux acteurs du milieu des applications mobiles: plateformes mobiles, développeurs d'applications, réseaux publicitaires et autres associations. 

Pour chacun de ces acteurs, la FTC fait des recommandations présentées comme étant "sufficiently flexible to accommodate further innovation and change" (Source: FTC, p. 13) et qui se lisent comme suit: 
Platforms

- "before allowing apps to access sensitive content through APIs (Application Programming Interface), susch as geolocalisation information, platforms should provide a just-in-time disclosure of that fact and obtain affirmative express consent from consumers" (p. 15)
- "a "dashboard" approach - similar to one used by several existing platforms - may be promising. A dashboard provides an easy way for consumers to determine which apps have access to which data and to revisit the choices they initially made about the apps" (p. 16)
- "platforms could explore the use of icans. Icons, if appropriately designed and implemented, offer the ability to communicate keys terms and concepts in clear and easily digestible manner" (p. 17) 
- "platforms should consider imposing privacy requirements on apps" (p. 19)
- "platforms could educate app developpers on privacy and make available to them important information about consumer privacy considerations as they craft their apps" (p.19)
- "to alleviate any potential consumer confusion, platforms should consider providing consumers with clear disclosures about the extent of review platform undertake prior to making apps available for download in the app stores, as well as any compliance checks or review they undertake after the apps have been placed in the app stores" (p. 20)
- "a DNT (do-not-track) setting placed at the platform level could give consumers who are concerned about this practice a way to control the transmission of information to third parties as consumers are using apps on their mobile devices. The platforms are in a position to better control the distribution of user data for users who have elected not to be tracked by third parties" (p. 21)

App Developers
- "apps should have a privacy policy and make that policy available through the platform's app store" (p. 22)
- "app developpers should provide just-in-time disclosures and obtain affirmative express consent when collecting sensitive information outside the platfor's API, such as financial, health, or children's data, or sharing sensitive data with third parties" (p. 23)
- "app developers should improve coordination with ad networks and other third parties that provide services for apps so that the apps can provide truthful disclosures to consumers" (p. 24)
- "app developers should consider participating in self-regulatory programs, trade associations, and industry organizations, which can provide industry-wide guidance on how to make uniform, short-form privacy disclosures" (p. 24)

Advertising Networks and Other Third Parties

- "advertising networks and other third parties that provides services for apps should improve coordination and communication with app developers so that the app developers can in turn make truthful and complete disclosures to consumers" (p. 24)
- "advertising networks should work with platforms to ensure implementation of an effective DNT system for mobile" (p. 25)

App Trade Associations

- "app trade associations could develop standardized icons to depict app privacy practices" (p. 23)
- "app developer trade associations could continue work on developing "badges" or other similar short, standardized disclosures that could appear within apps or within advertisements for apps" (p. 26)
- "app developer trade associations could develop ways to have more standardization within app privacy policies" (p. 27)
Il conviendra de suivre la mise en œuvre de ces recommandations par les principaux acteurs du milieu des applications mobiles.

3. Par ailleurs, le guide publié par la FTC destiné aux développeurs d'applications mobiles met l’emphase sur la sécurité. Il insiste notamment sur l'importance de nommer un responsable de la sécurité, de recourir à des mots de passe ou encore à la cryptographie, de ne collecter que les renseignements nécessaires au fonctionnement de l'application. 

 
Pour aller plus loin: 

2 février 2013

Canada et Pays-Bas: enquête relative à WhatsApp

Le 15 janvier 2013, le Commissariat à la protection de la vie privée du Canada (CPVPC ou OPC) et l'autorité de protection des données personnelles des Pays-Bas (i.e. College Bescherming Persoosgegevens ou CBP ou Dutch DPA) ont rendu une décision contre la compagnie WhatsApp Inc., laquelle
"possède et exploite "WhatsApp Messenger", application mobile de messagerie multiplateforme qui permet aux utilisateurs d'échanger des messages sur leurs appareils mobiles par Internet plutôt que par le service de messages courts (SMS). L'application est disponible sur divers appareils et plateformes mobiles, notammentle iPhone d'Apple, le BlackBerry de Research In Motion et Android de Google [et Microsoft's Windows Phone, Nokia's Symbian]. En plus de la messagerie de base, l'application permet aux utilisateurs d'envoyer et de recevoir des images ainsi que des messages vidéo et audio."
(Source: Décision CPVPC, par. 5) [Source: Décision CBP, p. 5]
L'enquête ayant conduit à cette décision est présentée comme une première mondiale: 
"L'enquête coordonnée est une première mondiale: deux autorités nationales de protection des données ont examiné de concert les pratiques de protection des renseignements personnels d'une entreprise ayant des centaines de millions de clients dans le monde. Cette collaboration marque un tournant dans la protection de la vie privée à l'échelle mondiale"
(Source: Communiqué CPVPC) (Source: Communiqué CBP)
L'enquête a été menée dans le cadre d'un protocole d'accord (MoU ou Memorandum of Understanding) conclu entre les deux autorités: 
"Prior to the investigation, the Dutch DPA and the OPC signed a Memorandum of Understanding (hereinafter called the MoU) regarding the mutual exchange of investication data. This agreement came into effect on 16 January 2012. During the investigation, the Dutch DPA and the OPC shared investigation data as part on the MoU"
(Source: Décision CBP, p. 6)
L'enquête a débuté le 16 février 2012. Elle a couvert la période allant du 26 janvier 2012 au 30 novembre 2012. Elle a donné lieu à des nombreux échanges entre les autorités et la compagnie WhatsApp Inc. comme décrit dans la décision du CBP aux pages 6 et 7. Elle a mené a deux "rapports distincts, afin de tenir compte des lois sur la protection des données des deux pays [...]. Et, après la publication de leurs rapports de conclusions respectifs, le Commissariat et le CBP continueront d'examiner les questions en suspens de manière indépendante". (Source: Communiqué CPVPC)

Lors de leur enquête, le CPVPC et le CBP se sont intéressés aux problématiques suivantes: 

1. Inscription et création d'un compte

Il était allégué que "le processus d'inscription à WhatsApp n'empêchait pas l'utilisation de l'application même lorsque l'utilisateur n'avait pas répondu au message de confirmation de l'ouverture du compte" et que "les messages de confirmation de l'ouverture de compte de WhatsApp étaient envoyés au moyen de ports ordinaires pour le trafic Web et, semble-t-il, sans chiffrement ni mesures de sécurité". (Source: Décision CPVPC, par. 15 et 16)

L'enquête a permis de démontré que WhatsApp avait pris des mesures pour renforcer la sécurité du processus d'inscription et de création d'un compte. Par conséquent, pour le CPVPC "les préoccupations liées au processus d'inscription de WhatsApp sont non fondées" (Source: Décision CPVPC, par. 21)

2. Intégration du carnet d'adresses d'un utilisateur

Il était allégué que "pour faciliter la communication entre les utilisateurs de l'application, WhatsApp a recours au carnet d'adresses de l'utilisateur pour enrichir la liste de "tous ses contacts" sur WhatsApp" et que "dès qu'un numéro de contact a été téléchargé, les serveurs d'entreprise de WhatsApp le classe dans la catégorie "réseau" (c.-à-d, inscrits auprès de WhatsApp) ou "hors réseau". Il n'est possible d'utiliser le service de WhatsApp que pour communiquer avec les numéros "réseau". Un numéro "hors réseau" ne sera associé à un utilisateur de WhatsApp qu'une fois que l'application aura été installée sur l'appareil ayant ce numéro et que la personne se sera inscrite au service". (Source: Décision CPVPC, par. 24 et 27)

L'enquête a démontré que WhatsApp contrevient aux principes relatifs au consentement et à la nécessité quant à la collecte et à la conservation des numéros "hors réseau", lesquels sont énoncés tant dans la Loi sur la protection des renseignements personnels et les documents électroniques que dans la Wet bescherming persoonsgegevens (loi néerlandaise de protection des données ou Wbp)
"Compte tenu de ce qui précède, et attendu que les numéros hors réseau sont conservés plus longtemps que nécessaire aux fins de la recherche de contacts, nous estimons que les préoccupations concernant la conservation des numéros des non-utilisateurs sont fondées". 
(Source: Décision CPVPC, par. 45)
"People who want to use the app must grant WhatsApp access to their entire electronic address book, including the mobile phone numbers of contacts that are not using the app (except in the latest app version on an iPhone with iOS6). Because WhatsApp does not obtain unambiguous consent from non-users to process their personal data and does not have any other legal ground for processing that data, WhatsApp is acting in breach of the provisions of Article 8 of the Wbp.
To enable users to whatsapp with each other, it is not necessary for WhatsApp to process all the mobile phone numbers in their address books. Because WhatsApp does not gives users (except in the latest app version on an iPhone with iOS6) the option of choosing wheter they want to make their contacts available to WhatsApp and, if so, which contacts, a large number of the mobile phone numbers colleted from the address books are excessive. WhatsApp is therefore acting in breach of the provisions of Article 11, first section, of the Wbp"
(Source: Décision CBP, p. 36-37) 
3. Communication systématique des messages de statut

Il était allégué que "contrairement à certaines plateformes de réseautage social qui permettent aux utilisateurs de limiter la diffusion des messages de statut à certaines personnes, les messages de statut communiqués à l'aide du service de messagerie de WhatsApp sont, à dessein, diffusés à tous les utilisateurs de WhatsApp qui ont, dans leur liste de contacts, le numéro de téléphone de l'utilisateur dont le message est diffusé". (Soucre: Décision CPVPC, par. 51)

L'enquête a mis de l'avant que "WhatsApp ne permet pas d'exercer un contrôle granulaire sur la diffusion des messages de statut" (Source: Décision CPVPC, par. 66). Dès lors, la compagnie "a modifié ses conditions d'utilisation et sa politique de confidentialité afin de mieux informer les utilisateurs de la nature publique des messages [de statut] diffusés" (Source: Décision CPVPC, par. 69) et "a indiqué qu'elle avait ajouté la notification en temps réel (p. ex. fenêtre en incrustation) des messages de statut des utilisateurs à son futur plan de mise en oeuvre [soit à compter du 30 septembre 2013]" (Source: Décision CPVPC, par. 72). 

Partant, le CPVPC considère que ce point est conditionnellement résolu et, l'autorité néerlandaise appuie la recommandation du CPVPC quant à la notification en temps réel.
"Every whatsapp user can read the status messages of other whatsapp users, even those of unknown users, whose mobile phone numbers are listed in his address book. In response to the investigation conducted by the Dutch DPA and the OPC, WhatsApp has supplemented the information that it provides to its users about the distribution of status messages. The OPC stresses that WhatsApp must build in extra safeguards against the risks of the widespread distribution of potentially sensitive status information. Although in this respect there would seem to be no formal breach of the Wbp, the Dutch DPA endorses the recommendation of the OPC that whenever users of whatsapp change their status message, they should be warned that there is a risk of that message being widely distributed."
(Source: Décision CBP, p. 37) 
4. Stockage hors ligne des messages

Il est allégué que "WhatsApp achemine les messages au destinataire prévu lorsque celui-ci est en ligne" et que "dans les cas où le destinataire prévu n'est pas en ligne, les messages qui lui sont envoyés par d'autres utilisateurs de WhatsApp sont stockés par la société, en attendant qu'ils soient transmis. WhatsApp peut conserver un message non liv jusqu'à 30 jours, après quoi le message est automatiquement supprimé". (Source: Décision CPVPC, par. 75 et 78)

Considérant que "WhatsApp s'est engagé à retravailler sa politique de conservation des renseignements personnels et à rendre la politique révisée accessible au public [d'ici le 31 mars 2013]", le CPVPC estime que cette problématique est conditionnellement résolue. (Source: Décision CPVPC, par. 84 et 85) 

5. Sécurité des transmissions

L'enquête a mis de l'avant que "les messages envoyés au moyen de l'application n'étaient pas chiffrés" (Source: Décision CPVPC, par. 88). Elle a également permis de constater que "WhatsApp utilise les adresses MAC des appareils iPhone afin de générer automatiquement des mots de passe pour l'échange de message au moyen de son service. Dans le cas des autres téléphones intelligents, WhatsApp utilise plutôt le numéro d'identité internationale d'équipement mobile (numéro IMEI). Les adresses MAC et les numéros IMEI sont des identifiants propres à chaque téléphone qui sont généralement attribués par les fabricants d'appareils". (Source: Décision CPVPC, par. 95)

En ce sens WhatsApp contrevenait, au début de l'enquête, aux dispositions relatives à la sécurité contenues tant dans la loi canadienne que dans la loi néerlandaise. 

Comme "WhatsApp a cessé d'utiliser les numéros IMEI et les adresses MAC pour l'authentification sur toutes les plateformes mobiles [... et] utilise maintenant une clé de 160 bits généré aléatoirement", le CPVPC considère cet aspect résolu. (Source: Décision CPVPC, par. 98 et 99)

De son côté, si le CBP considère que la question du chiffrement résolue, il en va autrement en ce qui concerne la génération des mots de passe: 
"The way WhatsApp generated passwords – that is, using the hashed WiFi MAC address on users to the risk of others pirating their passwords and using their accounts to send and read messages. WhatsApp was therefore acting in breach of Article 13 of the Wbp. In response to the Preliminary Findings report, WhatsApp adopted a new method to create passwords. In December 2012, WhatsApp launched new versions of the app, and started to force active users to switch to these latest versions. Users are forced because they can no longer use the older versions of the app. There are still risks for inactive users that do not update their app. After all, users only obtain a new password when they actively install a new update. WhatsApp has stated that it will address these risks for inactive users, but it has not specified any dates. Because WhatsApp is currently not using the new method for all accounts, with regard to users whose passwords are still based on the WiFi MAC address or the IMEI device number WhatsApp is (still) acting in breach of the provisions of Article 13 of the Wbp. 
When the Dutch DPA and the OPC started their investigation, Whatsapp was using the app to send messages unencrypted. This meant that others could intercept the message contents in readable format. In response to the investigation, WhatsApp now uses encryption. In this respect, WhatsApp is therefore no longer acting in breach of the provisions of Article 13 of the Wbp." 
(Source: Décision CBP, p. 37) 
6. Conservation des données et fermeture de compte 

Il est allégué que "WhatsApp conservait les renseignements personnels des abonnés après que ceux-ci avaient supprimé le service de messagerie de leurs appareils mobiles" (Source: Décision CPVPC, par. 101). De son côté, la compagnie précise qu'elle "a pour politique d'effacer ou de détruire tous les renseignements personnels se rapportant à un utilisateurs, y compris les renseignements pertinents sur les paiements, 30 jours après la cessation du service" (Source: Décision CPVPC, par. 105). Toutefois, "lorsqu'une personne profite d'une période d'essai gratuite d'un an [...] si la personne qui a bénéficié de cet essai gratuit décide de na pas s'abonner après un an de service, certains renseignements personnels sur cette personne (entre autres son nom d'utilisateur, son numéro de téléphone et le type de compte) peuvent être conservés pendant une période maximale d'un an [...] pour s'assurer que la personne qui a profité de l'essai gratuit ne puisse pas bénéficier d'une période d'essai gratuite consécutive" (Source: Décision CPVPC, par. 106)

Étant entendu que "WhatsApp s'est engagée à retravailler sa politique de conservation des renseignements personnels et à la rendre accessible au public [d'ici le 31 mars 2013]", le CPVPC considère cette question conditionnellement résolue. (Source: Décision CPVPC, par. 110 et 111)

De son côté, le CBP est d'avis que: 
"WhatsApp stores the personal data of inactive users for one year. Because WhatsApp has not demonstrated that the data of inactive users need to be stored for such a long time, WhatsApp is acting in breach of the provisions of Article 10, first section, of the Wbp."
(Source: Décision CBP, p. 37)   
À suivre donc ..


Pour aller plus loin,