Québec: la CAI, les entreprises et la protection des renseignements personnels

La Commission d'accès à l'information (CAI) du Québec vient de publier une affiche intitulée Votre entreprise et les renseignements personnels: les bonnes questions à se poser !

Cette affiche vise à fournir "les réponses aux 10 questions que toute personne qui exploite une entreprise doit se poser pour satisfaire aux exigences de la [Loi sur la protection des renseignements personnels dans le secteur privé]. On y traite notamment de l’information qu’il convient de donner aux personnes concernées au moment de constituer un dossier sur elles, de l’utilisation qui peut être faite des renseignements personnels ou encore des précautions à prendre lors du partage et de la conservation de ces renseignements personnels". [Source: CAI, Nouvelles récentes, 10/09/2014]

(Source: Commission d'accès à l'information du Québec)

GPEN: résultats de l'action commune visant les politiques de confidentialité (2014)

[Publié le 13/09/2014 - Mis à jour le 16/09/2014]

En mai dernier, plusieurs autorités de protection des données personnelles ont participé à la deuxième édition du ratissage d'internet visant à examiner les politiques de confidentialité de plusieurs applications mobiles. 

Plusieurs autorités participantes viennent de publier leurs résultats: 

• COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, "Un ratissage international pour la protection de la vie privée met au jour des préoccupations liées aux applications mobiles", Communiqué, 10 septembre 2014.
• OFFICE OF THE INFORMATION AND PRIVACY COMMISSIONER OF ALBERTA, "Global privacy sweep raises concerns about mobile apps", News Release, September 10, 2014. 
• OFFICE OF THE INFORMATION AND PRIVACY COMMISSIONER FOR BRITISH COLUMBIA, "B.C. app developers need to do a better job of providingprivacy information to users, says Commissioner", News Release, September 10, 2014.
• OFFICE OF THE AUSTRALIAN INFORMATION COMMISSIONER, "Mobile apps must put user privacy first", Media Releases, September 10, 2014. 
• PRIVACY COMMISSIONER OF NEW ZEALAND, "Global privacy sweep raises mobile app concerns", Media Release, September 11, 2014.
• OFFICE OF THE PRIVACY COMMISSIONER FOR PERSONAL DATA FOR HONG-KONG, "Global Results of the Second International GPEN Privacy Sweep", Media Statement, September 12, 2014. 
• [Ajout] COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Internet Sweep day : des applications mobiles peu transparentes sur le traitement de vos données", Actualité, 16 septembre 2014.
  

Rappelons que ce ratissage est une initiative du Global Privacy Enforcement Network (GPEN) qui "a pour objet d’inciter les organisations à se conformer aux lois en matière de protection de la vie privée et à accroître la collaboration entre les autorités chargées de l’application de ces lois. Ce n’était pas une enquête et elle ne visait pas non plus à cerner de façon concluante des problèmes de conformité ou des infractions à la loi. Les préoccupations soulevées lors du ratissage donneront lieu à des mesures de suivi, comme une sensibilisation des organisations, une analyse approfondie des dispositions de protection des renseignements personnels associées aux applications et des mesures d’exécution de la loi" (Source: CPVPC, Communiqué du 10/09/2014).

CPVPC, Apple et la publicité ciblée

Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier son rapport d'enquête sur l'utilisation par Apple d'identifiant unique d'appareil (UDID) à des fins de publicités ciblées. 

Même si le CPVPC conclut que la plainte est résolue car Apple a modifié ses pratiques durant l'enquête (par. 50 et 57), le CPVPC rappelle néanmoins que: 

• "des renseignements qui, à eux seuls, peuvent ne pas être considérés comme personnels peuvent être considérés comme personnels lorsqu'une organisation a la capacité d'établir un lien entre ces renseignements et un individu identifiable" (par. 34). Dès lors même si les identifiants utilisés par Apple, "en eux-même et indépendamment de tout autre renseignement disponible, ne permettent pas nécessairement d'identifier un individu, [Apple a néanmoins] la capacité de faire le rapprochement entre ces identifiants et des individus [notamment "en cas de fraude, aux fins du soutien à la clientèle ou pour se conformer à un ordre de la Cour" (par. 11)]" (par. 35). Par conséquent, "étant donné qu'Apple peut associer ses [identifiants] à des détenteurs de comptes personnels Apple, [le CPVPC] est d'avis que les identifiants [utilisés par Apple] constituent des renseignements personnels au sens de la [Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDÉ]" (par. 35);
• en vertu de la LPRPDÉ, le consentement peut prendre une forme différente en fonction "de la nature et de la sensibilité des renseignements et des attentes raisonnables de l'individu" (par. 36) tout en précisant que les avis expliquant les raisons de la collecte et les utilisations qui seront faites des renseignements personnels doivent être "suffisamment clair[s] et compréhensible[s] pour servir de fondement à un consentement valable des utilisateurs à l'utilisation [des identifiants] aux fins de la publicité comportementale en ligne" (par. 40). Comme Apple a modifié ses pratiques en cours d'enquête, le CPVPC considère que les avis sont suffisants (par. 40);
• Apple, comme elle "contrôle le fonctionnement de son système d'exploitation iOS, puisque c'est elle qui l'a conçu" (par. 43) doit "s'assurer que l'utilisateur donne un consentement valable à la communication de [ses] renseignements personnels" (par. 44) aux développeurs d'applications. Comme les pratiques d'Apple ont été modifiés en cours d'enquête (i.e. réglage de l'appareil et Apple ne donne plus accès aux identifiants en cause aux développeurs d'application depuis le 1er mai 2013), le CPVPC considère que le consentement est "valable à ce qu'Apple communique [l'identifiant] à des développeurs d'applications à des fins publicitaires" (par. 47).

Pour aller plus loin, 

• COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Rapport de conclusions en vertu de la LPRPDÉ n°2013-017.