 Your new post is loading...
Your new post is loading...
Les politiques de confidentialité sont un outil permettant aux organismes publics et aux entreprises d'informer les internautes de leurs engagements en matière de protection des renseignements personnels. Lorsque ces politiques sont modifiées, des questions peuvent se poser notamment quant au consentement, à la collecte de nouveaux renseignements, à la communication de ceux-ci à de nouveaux partenaires ou encore à leur utilisation projetée. Certaines modifications peuvent passer inaperçues, d'autres font l'objet d'enquête par les autorités de contrôles comme dans le cas de Google, de Facebook ou dernièrement de PayPal en France ou de Bell au Canada.
La Commission nationale de l'informatique et des libertés (CNIL) vient de publier la cinquième lettre "Innovation et Prospective" (Lettre IP) qui met l'accent sur le quantified self ou l'auto-mesure de soi via des applications qui permettent notammentd'analyser des données concernant "la nutrition (régime alimentaire, compteur de calories, suivi du poids), l'exercice physique, la surveillance d'un facteur à risque et la qualité du sommeil" (Lettre IP, p. 2); de "surveiller à distance les patients hors des lieux de soins traditionnels" (Lettre IP, p. 2); "d'améliorer son niveau de bien-être en se fixant des objectifs où la dynamique communautaire en ligne est mobilisée comme une source de motivation (au travers du partage des données, des objectifs, des efforts ...)" (Lettre IP, p. 2)étant entendu que "le dénominateur commun [de ces applications est] que ce qui est mesuré est relié au mode de vie" (Lettre IP, p. 2).
Au moment où les États-Unis doivent s'expliquer sur leurs programmes de surveillance des communications suite aux révélations de The Guardian et du Washington Post, la Commission nationale de l'informatique et des libertés (CNIL) annonce la "création d'un groupe de travail sur l'accès des autorités publiques étrangères à des données personnelles de citoyens français".
Le 23 mai 2013, dans le cadre du Symposium sur la protection de la vie privée 2013 organisé par l'International Association of Privacy Professionals (IAPP), Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, a présenté les recommandations mises de l'avant dans le document publié le même jour par le Commissariat et intitulé Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques.
Avant de présenter les arguments mis de l'avant par le Commissariat à la protection de la vie privée du Canada (CPVPC), il convient de rappeler que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) a été adoptée en avril 2000, notamment pour répondre aux exigences de l'Union européenne et de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (voir la décision 2002/2/CE constatant le niveau de protection adéquat de la LPRPDÉ à la D95/46/CE)
Le 29 janvier 2013, une députée européenne - Françoise Castex - a soumis les questions suivantes à la Commission européenne: "De plus en plus d'internautes européens, usagers de sites d'achat de billets en ligne, se disent victimes du suivi IP (IP tracking) utilisé par les opérateurs de transport européens. 1. La Commission estime-t-elle que ces pratiques sont conformes au droit de l'Union européenne? 2. Le cas échéant, la Commission a-t-elle prévu de diligenter une enquête à ce sujet? 3. Si ces abus sont vérifiés, qu'a prévu de faire la Commission pour y mettre un terme?" Le 12 mars 2013, la vice-présidente de la Commission européenne - Viviane Reding - a répondu...
On peut lire cette semaine dans le New York Times qu'Alan F. Westin est décédé. Alan F. Westin est un auteur important pour qui s'intéresse à la vie privée et à la protection des renseignements personnels. Il est notamment l'auteur de Privacy and Freedom publié en 1967. Dans cet ouvrage, A. F. Westin revient, entre autres, sur la notion de "droit à la vie privée" développée par Samuel D. Warren et Louis D. Brandeis ("The Right to Privacy", (1890) 4 Harvard Law Review 193) et sur la classification suivante du Doyen Prosser : "Without any attempt to exact definition, these four torts may be described as follows: 1. Intrusion upon the plaintiff's seclusion or solitude, or into his private affairs. 2. Public disclosur of embarrasing private facts about the plaintiff. 3. Publicity which places the plaintiff in a false light in the public eye. 4. Appropriation, for the defendant's advantage, of the plaintiff's name or likeness." (Source: William L. PROSSER, "Privacy", (1960) 48 California L. R. 383, 389) A. F. Westin propose, en effet, une actualisation de cette classification eu égard aux développements technologiques qui peuvent avoir des répercussions sur la vie privée des individus. Il identifie alors trois mécanismes de surveillance reliés à l'utilisation de l'informatique, soit le contrôle physique (physical surveillance), le contrôle psychologique (psychological surveillance) et le contrôle des données (data surveillance) ... ce qui est toujours d'actualité. Cette actualisation a fait en sorte que l'on présente A. F Westin comme étant celui qui a créé "almost single-handedly, the modern field of privacy law" (Source: New York Times du 22 février 2013).
Du 21 au 23 novembre dernier, la Commission de contrôle des informations nominatives (CCIN) de Monaco a accueilli la 6° conférence annuelle et de la 6° assemblée générale de l'Association francophone des autorités de protection des données personnelles (AFAPDP) dont la présidence est assurée par la Commission d'accès à l'information (CAI) du Québec et dont le secrétariat est basé à la Commission nationale de l'informatique et des libertés (CNIL) en France. Lors de l'assemblée générale, les membres de l'AFAPDP ont adopté la Déclaration de Monaco par laquelle ils soutiennent "l'adoption d'un instrument mondial de protection des données personnelles inspiré des standards internationaux adoptés à Madrid en 2009".
Dans le cadre de sa mission de conseil, la Commission nationale de l'informatique et des libertés a décidé de mener une réflexion quant aux enjeux inhérents à l'utilisation, de plus en plus fréquente, de drones dans le domaine civil eu égard à la protection des renseignements personnels.
En effet, "dès lors qu'il est équipé d'un appareil photo, d'une caméra mobile, d'un capteur sonore ou encore d'un dispositif de géolocalisation, un drone peut [...] potentiellement porter atteinte à la vie privée, capter et diffuser des données personnelles".
La Federal Trade Commission (FTC) vient de publier son rapport sur la reconnaissance faciale: "Facing Facts: Best Practices for Common Uses of Facial Recognition Technologies". Ce rapport revient sur les travaux menés par la FTC depuis décembre 2011, notamment le Face Facts workshop qui a conduit à un examen des progrès et des utilisations actuelles et futures de cette technologie au regard de la protection des renseignements personnels (billet).
Le W3C Tracking Protection Working Group dont les travaux ont pour but de développer des mécanismes permettant aux utilisateurs d'environnements électroniques d'exprimer leurs préférences en matière de suivi (billet) s'est réuni, à Amsterdam (Pays-Bas), du 3 au 5 octobre 2012 (Sixth face-to-face: Agenda). Même si elle reconnaît que plusieurs navigateurs ont déjà intégré le mécanisme «Do Not Track» ou «DNT» qui était au centre des discussions du groupe de travail du W3C, Neelie Kroes, la vice-présidente de la Commission européenne chargée de la stratégie numérique, lors d'un discours au Centre d'études de la politique européenne (CEPS), le 11 octobre 2012, s'est dite inquiète de la progression des travaux.
|
En mai dernier, plusieurs autorités de protection des renseignements personnels, membres du Global Privacy Enforcement Network (GPEN), ont participé à une action commune visant les politiques de confidentialité (billet). Cette opération visait à "apprécier la qualité de l'information délivrée aux personnes quant aux conditions de traitement de leurs données personnelles" (Source: CNIL, 13 août 2013), elle "ne constituait pas une enquête, et [elle] ne visait pas non plus à relever de façon concluante les problèmes liés à la conformité ou les infractions aux lois. Les participants au ratissage cherchaient plutôt à reproduire l'expérience vécue par les consommateurs en naviguant quelques minutes sur chaque site et en vérifiant la conformité du site en fonction d'un ensemble d'indicateurs communs" (CPVPC, Communiqué du 13 août 2013). C'est dans cette optique que 2180 sites Internet ou application mobiles ont fait l'objet de ce ratissage international d'internet ou Internet Sweep day.
À l'instar du Congrès américain (billet), les autorités de protection de l'Australie, de la Nouvelle-Zélande, du Mexique, d'Israël, de la Suisse, du Canada (Alberta, Colombie-Britannique, Québec, commissariat fédéral) et le Groupe de l'article 29, ont fait parvenir une lettre commune, le 18 juin 2013, à Larry Page, président de Google, afin d'obtenir des explications sur le fonctionnement des lunettes de l'entreprise (Google Glass) et leur impact sur la protection des renseignements personnels.
Le 6 juin dernier, le Commissariat à la protection de la vie privée du Canada (CPVPC) a rendu public son Rapport annuel 2012 insistant sur "l'importance de contrôler sa propre réputation dans les médias sociaux" (p. 3) et sur la responsabilité des organisations au regard de l'application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ).
Ainsi, dans le chapitre Pleins feux sur les citoyens, le CPVPC revient sur certaines enquêtes (par ex. création d'un faux compte Facebook au nom d'une adolescente, divulgation des profils d'un site de rencontre sur d'autres sites de rencontre sans le consentement des personnes concernées), sur certaines ressources en matière de protection de la vie privée pour les jeunes (par ex. publication d'une bande dessinée intitulée Branchés et futés: Internet et vie privée) et pour les joueurs (par ex. fiche d'information intitulée Consoles de jeu et renseignements personnels: la vie privée en jeu).
Dans l'avant-propos du Rapport d'activité 2012 qui vient d'être publié, Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (CNIL), donne le ton: celui de l'audace. "Interrogée à mi-année sur le mot qui décrivait le mieux l'état d'esprit qui devait guider la CNIL en 2012, j'avais parlé d'audace. C'est cette audace qui devait nous permettre d'innover, de repenser la régulation, de renouveler notre action et nos outils pour faire face aux différentes mutations structurelles liées au développement du numérique."
Utiliser son ordinateur, son téléphone intelligent ou encore sa clé USB au travail peut présenter des avantages ... mais aussi des risques comme l'indique l'Information Commissioner's Office (ICO) du Royaume-Uni dans un guide intitulé Bring your own device (BYOD).
Le 3 janvier dernier, la Commission nationale de l'informatique et des libertés (CNIL) a prononcé une sanction pécuniaire d'un euro contre un syndicat de copropriétaires qui utilise un système continu de vidéosurveillance de ses employés (agents de sécurité) et, a enjoint le responsable du traitement à mettre fin à ce type de traitement. Cette décision fait suite à une plainte des employés relative à "l'installation d'un dispositif de vidéosurveillance dans le local du poste de sécurité de l'immeuble qui porterait atteinte à la vie privée des personnes présentes dans le local en réalisant une mise sous surveillance permanente des personnes". (Source: CNIL - Délibération n°2012-475)Et, avant de rendre sa décision, la CNIL a mis en demeure le responsable du traitement de supprimer le dispositif en litige, ce qu'il n'a pas fait. Dès lors, la CNIL a effectué une mission de vérification auprès du syndicat de copropriétaires conformément à l'article 46 de la Loi Informatique et Libertés. Dans sa décision, la CNIL indique que "le dispositif de vidéosurveillance critiqué devait être considéré comme disproportionné en ce que le traitement plaçait sous surveillance permanente les agents de sécurités présents dans le poste de sécurité du bâtiment géré par le Syndicat". Et, elle précise qu'"il importe peu que les salariés ne se soient pas plaints précédemment de l'installation de la caméra et que les nouveaux agents de sécurité en acceptent le principe dès lors que le caratère continu de la surveillance résultant du traitement litigieux n'est pas justifiée par un impératif de sécurité des personnes et des biens mais résulte de la volonté de contrôler l'activité des salariés". (Source: CNIL - Délibération n°2012-475)
Les 23 et 24 octobre dernier s'est tenue à Punta del Este (Uruguay) la 34° conférence internationale des commissaires à la protection des données et de la vie privée (billet). Lors de cette conférence deux résolutions ont été adoptées:
- une sur l'infonuagique (ou cloud computing) ...
- une autre sur le futur de la vie privée ...
Lors de cette conférence, les commissaires ont également mis l'accent sur les enjeux liés au profilage comme l'illustre la déclaration de la conférence qui invite à prendre en considération les éléments suivants en ce domaine:
...
Le Commissariat à la protection de la vie privée du Canada et ses homologues de la Colombie-Britannique et de l'Alberta viennent de publier un document contenant des orientations afin de développer des applis mobiles dans le respect du droit à la vie privée. Après avoir indiqué qu'"en vertu des lois canadiennes sur la protection des renseignements personnels, toutes les entreprises doivent concilier innovation, esprit d'entreprise et protection efficace des renseignements personnels, et cela s'applique aux concepteurs d'applications mobiles, qu'ils travaillent à leur compte ou pour le compte d'une organisation" (p. 1), ce document met de l'avant les principaux facteurs à prendre en compte en cas de développement d'applications mobiles.
Voila bien des années que les professionnels de la sécurité serinent la rengaine usuelle de la mise en œuvre des best practices, y compris dans la téléphonie. Le fait que cette dernière soit désormais incluse dans le lot est d’ailleurs le signe qu’elle gagne indubitablement en maturité me semble-t-il.
Cette semaine, Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés a indiqué que la protection des renseignements personnels "loin d'être une contrainte, voire un handicap comme l'estiment certains, devient un facteur de différenciation concurrentielle, un outil de compétitivité", ou encore un "argument économique" pour les entreprises. Dès lors, il est important de moderniser la législation européenne relative à la protection des renseignements personnels afin de "coller aux nouvelles réalités d'Internet".
|
