30 septembre 2011

Europe : application des principes pour des réseaux sociaux plus sûrs ... prise 2


En juin 2011, la Commission européenne publiait une étude sur la mise en oeuvre des principes de l'Union européenne pour des réseaux sociaux plus sûrs (billet), un complément vient d'être publié aujourd'hui.

Cette nouvelle étude révèle que:  
"Sur les neuf sites internet de socialisation examinés dans le cadre d'une nouvelle série de tests réalisés pour le compte de la Commission européenne, deux seulement (Habbo Hotel et Xbox Live) prévoient par défaut que le profil d'un mineur ne soit accessible qu'aux personnes figurant sur sa liste d'«amis».
En revanche, la majorité des sites examinés fournissent, en matière de sécurité, des informations, conseils ou contenus pédagogiques spécifiquement destinés aux mineurs et adaptés à leur âge. Par ailleurs, sept d'entre eux ont répondu aux demandes d'assistance, dans un délai de moins d'un jour pour la plupart.
Deux sites (Dailymotion et Windows Live) garantissent que, par défaut, les mineurs d'âge peuvent être contactés uniquement par leurs amis, que ce soit par messages publics ou par messages privés. Sur tous les sites soumis aux tests, n'importe qui peut demander à un mineur de devenir son ami. Sur six d'entre eux, les amis des amis d'un mineur ont directement accès à son profil. Tous les sites fournissent une version abrégée et plus adaptée aux enfants de leurs conditions d'utilisation ou de service."
(Source: IP/11/1124)
L'étude du mois de septembre (et celle du mois de juin) est disponible via:
Voir également:

29 septembre 2011

Québec: publication du Rapport quinquennal de la CAI

En vertu des articles 179 de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels et 88 de la Loi sur la protection des renseignements personnels dans le secteur privé, la Commission d'accès à l'information du Québec (CAI) doit produire, tous les cinq ans, un rapport sur l'application de ces deux lois. 

Ce rapport intitulé Technologie et vie privée : à l'heure des choix de société est désormais publié et est disponible sur le site de la CAI
 
Le communiqué de presse se lit comme suit: 
"La protection des renseignements personnels est au cœur du cinquième Rapport quinquennal de la Commission d'accès à l'information du Québec déposé aujourd'hui à l'Assemblée nationale. Intitulé Technologie et vie privée : à l'heure des choix de société, ce rapport met l'accent sur la nécessité d'adopter des mécanismes visant à mieux informer les individus des enjeux inhérents aux environnements électroniques. Il rend également compte des progrès accomplis dans le monde entier en matière de diffusion proactive de l'information gouvernementale et appelle à une culture de « gouvernement ouvert » ainsi qu'à des améliorations des mécanismes qui permettent l'accès à l'information. Il est disponible en version électronique sur le site Internet de la Commission.
Que ce soit au regard de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels ou de la Loi sur la protection des renseignements personnels dans le secteur privé, nous fournissons de plus en plus de renseignements personnels afin d'obtenir des services publics ou privés, afin de participer aux réseaux sociaux, ou afin de compléter des transactions en ligne. La présentation de cette information, à l'ère numérique, doit tenir compte du support sur lequel elle sera lue : ordinateur, téléphone intelligent, tablette numérique. L'information doit donc être simplifiée ou encore être accompagnée d'illustration permettant de savoir en un clin d'œil quels sont les engagements d'un organisme public ou d'une entreprise en matière de protection des renseignements personnels.
Cette information doit être comprise des adultes, mais aussi des jeunes. À cette fin, le rapport porte une attention particulière sur la sensibilisation et la protection de la nouvelle génération face aux risques et défis que présente cet environnement pour leurs renseignements personnels. Il insiste aussi sur l'engagement nécessaire, dans ce domaine, des entreprises face à cette clientèle.
Ce rapport insiste sur la nécessité d'imposer aux organismes et aux entreprises qui détiennent, conservent et traitent les renseignements personnels, l'obligation de divulguer à la Commission, sans délai, les failles de sécurité. Rappelons qu'une faille de sécurité constitue un manquement dans l'application des mesures de sécurité reliées à la perte, au vol ou à la divulgation non autorisée de renseignements personnels. Alors que l'obligation de sécurité a un caractère préventif, l'obligation de déclaration des failles de sécurité a davantage un caractère curatif. Ces deux obligations sont donc complémentaires.
De plus, par son mandat de protéger les renseignements personnels quel que soit le secteur d'activité concerné, la Commission tend à ce que les organismes publics et les entreprises aient des obligations similaires. C'est dans cette optique que le présent rapport propose de doter le secteur privé d'un responsable de la protection des renseignements personnels à l'instar de ce qui existe déjà dans le secteur public.
Le rapport quinquennal aborde également des problématiques touchant l'accès aux documents des organismes publics. Il traite notamment des questions de délais pour motiver un refus d'accès, de représentation par avocat devant la Commission ou d'assujettissement des organismes dont le fonds social fait partie du domaine public. Ce rapport préconise également le passage de la transparence au gouvernement ouvert, ce qui passe notamment par un élargissement du Règlement sur la diffusion de l'information et sur la protection des renseignements personnels. Il est à noter que cette ouverture ne pourra pas être totale sans l'établissement de mécanismes permettant une meilleure participation et collaboration entre les décideurs publics et la société civile.
En somme, les recommandations contenues dans le cinquième Rapport quinquennal de la Commission d'accès à l'information du Québec invitent à s'arrêter sur les choix que nous avons faits et que nous voulons faire en tant que société en matière d'accès à l'information et de protection des renseignements personnels à l'ère numérique."

Pour plus de détails, voir notamment: 

28 septembre 2011

Conseil de l'Europe: modernisation de la Convention 108 ... le rapport

En mai 2011, le Conseil de l'Europe publiait une compilation des réponses reçues dans le cadre du projet de modernisation de la Convention 108 (billet). La synthèse des réponses était alors en cours de rédaction. Elle est désormais disponible. 

26 septembre 2011

La reconnaissance faciale dans la mire du FTC

En juin dernier, Facebook a rendu accessible la reconnaissance faciale à tous les amis du réseau social. Des voix se sont élevées (billet) et la Federal Trade Commission a annoncé qu'elle va organiser une rencontre le 8 décembre 2011 pour discuter des enjeux de cette application en matière de protection de la vie privée. 

On peut ainsi lire sur le site du FTC que: 
"Facial recognition technology has been adopted in a variety of new contexts, ranging from online social networks to digital signs and mobile apps. Its increased use has raised a variety of privacy concerns. The FTC workshop will gather consumer protection organizations, academics, business and industry representatives, privacy professionals, and others to examine the use of facial recognition technology and related privacy and security concerns. The workshop is free and open to the public.
Topics may include:
- What are the current and future uses of facial recognition technology?
- How can consumers benefit from the technology?
- What are the privacy and security concerns surrounding the adoption of the technology; for example, have consumers consented to the collection and use of their images?
- Are there special considerations for the use of this technology on or by children and teens?
- What legal protections currently exist for consumers regarding the use of the technology, both in the United States and internationally?
- What consumer protections should be provided?"
(Source: FTC, "FTC To Host Workshop on Facial Recognition Technology", Press Release, September 19, 2011)
 À suivre donc.

Failles de sécurité: approbation de certains projets de lois

Déposé il y a quelques semaines, le projet de lois du sénateur Blumenthal visant à encadrer les failles de sécurité (billet) vient d'être adopté, avec deux autres projets (Leahy et Feinstein), par le U.S. Senate Judiciary Committee

Toutefois, certains commentateurs sont d'avis que: 
"Because the bills were approved on a party-line vote, and several other data breach bills currently are under consideration by other Senate committees, the prospects for these three bills in the full Senate are uncertain."
(Source: "Data Breach Bills Clear Senate Judiciary Committee", Privacy and Information Security Law Blog, September 23, 2011)
ou encore que: 
"While the Committee’s actions advances these pieces of legislation, it does little to clarify the landscape and prospects for data security legislation in this term.  There remain at least eight separate active legislative proposals in the House and Senate.  Barring dramatic developments, it seems unlikely that the Congress will resolve these various proposals and gain consensus over a single piece of legislation as we move into an election year. "
(Source: Libbie CARTER, "Senate Judiciary Committee Passes Breach Notices Bills", Inside Privacy, September 23, 2011)

24 septembre 2011

CNIL: la géolocalisation expliquée aux jeunes

La Commission nationale de l'informatique et des libertés vient de publier sur son espace "Jeunes", un numéro spécial de L'actu sur la géolocalisation, soit cette "technologie qui permet de déterminer à distance l'endroit où se trouve une personne ou un objet avec une certaine précision" (L'actu, p. 1) et, plus particulièrement au regard des téléphones intelligents.  
Sur cette problématique voir un précédent billet relatif à l'avis 13/2011 du Groupe de travail "Article 29" sur la protection des données. 

    22 septembre 2011

    Belgique: publication du rapport annuel 2010 du CPVP

    La Commission belge de la protection de la vie privée (CPVP) vient de publier son rapport annuel 2010. Ce rapport revient sur le case handling workshop et le congrès "Vie privée et recherche scientifique" que la CPVP a organisée. Il aborde également certains projets sur lesquels la CPVP a eu à se prononcer, dont notamment la loi portant assentiment à l'accord sur les données des dossiers passagers (PNR)l'accord bilatéral d'entraide judiciaire entre la Belgique et les États-Unis, le mobile mapping. Il y est également question de la réforme en cours de la D95/46/CE ou encore des activités des différents comités sectoriels du CPVP.

    Par ailleurs, ce rapport insiste sur le fait que:

    "le droit au respect de la vie privée est considéré comme un obstacle désespérément compliqué à franchir mais surtout comme une fâcheuse entrave à une sécurité efficace, à la bonne marche des affaires, à la recherche humanitaire, à la liberté d’expression et à l’investigation journalistique démocratique … Et comme si tout cela ne suffisait pas encore, ce droit fondamental doit encore s’imbriquer dans ce curieux édifice babylonien que constitue l’État de droit, à l’étage des droits fondamentaux et des droits de l’homme. De quoi y perdre son latin ! D’où cette tentative de recadrer les choses, en abordant la vie privée sous quatre angles différents en lien avec le monde qui nous entoure [à savoir:
    • la vie privée en tant qu'ennemie: la pensée sécuritaire
    • la vie privée en tant que marchandise: la logique de marché
    • la vie privée en tant qu'inhiniteur du bonheur: l'argument moral
    • la vie privée en tant qu'élément d'équilibre - l'approche d'un État de droit]."
    (Source: CPVP, Rapport annuel 2010, pp. 6 et 7)
    Pour plus de détails, voir notamment:

    21 septembre 2011

    CNIL: nomination de la nouvelle présidente

    Il y a quelques jours Alex Türk démissionnait de ses fonctions de président de la Commission nationale de l'informatique et des libertés (billet).
    Lors de la séance plénière du 21 septembre 2011, les membres de la CNIL ont nommé Mme Isabelle Falque-Pierrotin à la présidence de cette autorité.

    Pour plus de renseignements, voir notamment:
    (10-09-2011) On peut visionner sur le site de la CNIL les priorités d'Isabelle Falque-Pierrotin.

    18 septembre 2011

    Europe / États-Unis: discussions autour de directives

    Alors qu'en Europe, le Groupe de l'article 29 discutait avec les représentants de l'European Advertising Standards Alliance et de l'IAB (Internet architecture board) Europe des mesures pour encadrer la publicité comportementale au regard des modifications apportées à la Directive 2002/58/CE ("e-Privacy Directive"), aux États-Unis le Subcommittee on Commerce, Manufacturing, and Trade tenait une séance intitulée “Internet Privacy: The Impact and Burden of EU Regulation" durant laquelle il a été question de la Directive 1995/46/CE ("Data Privacy Directive"). 

    Pour plus de détails, voir notamment:

    17 septembre 2011

    CPVPC: fiche d'information sur la protection des renseignements personnels en ligne

    Le Commissariat à la protection de la vie privée du Canada vient de publier une fiche d'information sur la protection des renseignements personnels en ligne. Cette fiche, qui se présente sous la forme de foire aux questions, insiste sur les points suivants: 
    • Que faut-il savoir sur la protection des renseignements personnels en ligne ?
    • Dois-je craindre la fraude en ligne ?
    • Quels sont les risques propres aux sites de réseautage social ?
    • Quels sont les risques d’entrave à la vie privée les plus graves associés au réseautage social?
    • Comment me protéger sur les sites de réseautage social ?
    • Puis-je protéger ma vie privée si je participe à des forums de discussion ?
    • Les renseignements personnels en ligne sont-ils protégés en vertu de lois canadiennes ?
    • Dans quelles circonstances puis-je déposer une plainte auprès de Commissariat à la protection de la vie privée du Canada ?
    Pour plus de détails, voir notamment: 

      FTC: lancement d'une consultation sur la COPPA

      La Children's Online Privacy Protection Act (COPPA) est entrée en vigueur en 2000. En vertu de cette loi, tout site Web qui collecte des renseignements personnels auprès de jeunes de moins de 13 ans doit obtenir le consentement préalable des parents. La Federal Trade Commission (FTC) veille à l'application de cette loi. 

      Face à l'évolution des environnements électroniques la FTC a lancé une consultation en vue de réviser la COPPA dans cinq domaines. 
      "The Commission proposes modifications to the Rule in five areas: definitions, including the definitions of "personal information" and "collection", parental notice, parental consent mechanisms, confidentiality and security of children's personal information, and the role of self-regulatory "safe harbor"programs".

      La consultation est ouverte jusqu'au 28 novembre 2011. 


      Pour plus de détails, voir notamment: 
      (21-09-2011) "FTC Proposes COPPA Rule Changes", Privacy and Information Security Law Blog, September 19, 2011. 
      (06-10-2011) Michael BEDER, "House Subcommittee Discusses COPPA Updates, Teen Privacy", Inside Privacy, November 6, 2011.

        14 septembre 2011

        CNIL: démission prochaine du président

        On peut lire sur le site de la Commission nationale de l'informatique et des libertés le communiqué suivant: 
        "Conformément aux nouvelles dispositions législatives de mars 2011, la fonction de Président de la CNIL est désormais incompatible avec tout mandat parlementaire. Cette disposition n’entre en vigueur qu’à compter du 1er septembre 2012. Cependant, dans un souci de clarté vis-à-vis des grands électeurs sénatoriaux d’une part, et afin d’assurer la continuité de l’action menée par la CNIL d’autre part, j’ai décidé de démissionner avant les élections sénatoriales du 25 septembre.
        C’est pourquoi je présenterai ma démission lors de la séance réunissant les 17 membres du Collège le mercredi 21 septembre, permettant ainsi l’élection d’un nouveau Président ce même jour."
        Reste maintenant à savoir qui va être nommé à la tête de la CNIL pour le remplacer. À suivre donc. 


        12 septembre 2011

        Failles de sécurité: un autre projet de lois américain

        2011 est selon, Colin J. Zick, l'année des failles de sécurité (billet). Par le fait même, c'est également l'année des projets de lois visant à encadrer la déclaration de ces failles comme le démontrait Josephine Liu (billet) et comme l'illustre ce nouveau projet déposé par le Sénateur Blumenthal intitulé Personal Data Protection and Breach Accountability Act of 2011 lequel entend :
        "to protect consumers from threats to their sensitive personally-identifiable information online and safeguard data security. The bill takes a substantive, multi-pronged approach to combating the risks associated with data breaches for both consumers and businesses, helping to ensure companies take adequate steps to protect individuals from data breaches before they occur, to promote information sharing between companies to help prevent future breaches, and to provide remedies to individual consumers in the wake of data breaches."
        (Source: Blumenthal's Website, "Blumenthal Introduces Data Breach and Security Legislation to Protect Consumers", Press Release, September 12, 2011)
        Tout comme pour les autres, il sera intéressant de suivre les travaux législatifs entourant ce projet de lois.

        9 septembre 2011

        W3C: lancement de travaux pour des standards "do not track"

        Dans un rapport de décembre 2010, la Federal Trade Commission a mis de l'avant l'importance de permettre aux consommateurs de mieux contrôler la collecte et l'utilisation de leurs renseignements personnels en ligne. Plusieurs projets "do-not-track" ont alors été déposé aux États-Unis (billet). 

        C'est dans cette optique que le World Wide Web Consortium (W3C), un organisme international indépendant de standardisation, vient de mettre en place un groupe de travail qui devrait publier une norme "do-not-track" courant 2012.
        "Today, the World Wide Web Consortium announced a new standardization effort to improve user privacy on the Web. The Tracking Protection Working Group will create standards for "Do Not Track" technology by building consensus among a broad set of stakeholders, including browser vendors, content providers, advertisement networks, search engines, and experts in policy, privacy, and consumer protection. The Working Group, which first meets in two weeks, is charted to publish Do Not Track standards by mid-2012. The standards will let users express their tracking preferences and select which parties can track them online."

        Pour plus de détails, voir notamment: 

        5 septembre 2011

        Failles de sécurité: entre modifications législatives et transposition en droit national

        Que l'on pense à la Californie qui vient de modifier les articles 1798.82 et 1798.29 du California Civil Code, à la France (billet) ou dernièrement au Luxembourg qui vient de transposer dans la loi de 2005 concernant la protection des données dans le secteur des communications électroniques une des dispositions de la directive 2009/136/CE, force est de constater que les législateurs prennent de plus en plus des mesures pour encadrer la problématique "protection des renseignements personnels et failles de sécurité". 

        Ainsi, en Californie où l'obligation de déclarer les failles de sécurité est en vigueur depuis 2003, le législateur vient de modifier les articles du California Civil Code

        Cette modification vient notamment préciser quelles sont les informations qui doivent être contenues dans la déclaration: 
        "Any [1798.29(d) - agency / 1798.829(d) - person or business] that is required to issue a security breach notification pursuant to this section shall meet all of the following requirements:
        (1) The security breach notification shall be written in plain language.
        (2) The security breach notification shall include, at a minimum, the following information:
        (A) The name and contact information of the reporting agency subject to this section.
        (B) A list of the types of personal information that were or are reasonably believed to have been the subject of a breach.
        (C) If the information is possible to determine at the time the notice is provided, then any of the following: (i) the date of the breach, (ii) the estimated date of the breach, or (iii) the date range within which the breach occurred. The notification shall also include the date of the notice.
        (D) Whether the notification was delayed as a result of a law enforcement investigation, if that information is possible to determine at the time the notice is provided. 
        (E) A general description of the breach incident, if that information is possible to determine at the time the notice is provided.
        (F) The toll-free telephone numbers and addresses of the major credit reporting agencies, if the breach exposed a social security number or a driver’s license or California identification card number.
        (3) At the discretion of the agency, the security breach notification may also include any of the following:
        (A) Information about what the agency has done to protect individuals whose information has been breached.
        (B) Advice on steps that the person whose information has been breached may take to protect himself or herself." 
        (Source: Senate Bill n°24
        Elle oblige également à déclarer au procureur général toute faille de sécurité visant plus de 500 résidents californiens 
        "Any [1798.29 - agency(e) / 1798.82(f) - person or business] that is required to issue a security breach notification pursuant to this section to more than 500 California residents as a result of a single breach of the security system shall electronically submit a single sample copy of that security breach notification, excluding any personally identifiable information, to the Attorney General. A single sample copy of a security breach notification shall not be deemed to be within subdivision (f) of Section 6254 of the Government Code."
        Ces modifications entreront en vigueur le 1er janvier 2012 et, pour d'autres informations sur ces modifications, voir notamment:

        Au Luxembourg, le législateur a modifié l'article 3 de la Loi de 2005 concernant la protection des données dans le secteur des communications électroniques afin que, 
        "les fournisseurs de services de communications électroniques accessibles au public, comme les entreprises de téléphonie fixe ou mobile ou les fournisseurs d’accès à Internet, doivent avertir immédiatement la Commission nationale pour la protection des données en cas de survenance d’une violation de la sécurité et de la confidentialité de données à caractère personnel et d’informer de surcroît leurs abonnés dès lors que l’incident constaté est susceptible d’affecter défavorablement le niveau de la protection de leur vie privée et des données les concernant."
        (Source: CNPD Actualité, 5 septembre 2011)
        Ainsi, la modification de l'article 3 se lit comme suit:
        "(3) En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard la Commission nationale pour la protection des données de la violation.
        Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.
        La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si le fournisseur a prouvé, à la satisfaction de la Commission nationale pour la protection des données, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
        Sans préjudice de l’obligation du fournisseur d’informer l’abonné et le particulier concerné, si le fournisseur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, la Commission nationale pour la protection des données peut, après avoir examiné les effets éventuellement négatifs de cette violation, exiger du fournisseur qu’il s’exécute.
        La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel. La notification faite à la Commission nationale pour la protection des données décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par le fournisseur pour y remédier.
        La Commission nationale pour la protection des données peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles le fournisseur est tenu de notifier la violation de données à caractère personnel, le format applicable à cette notification et sa procédure de transmission.
        Lors d’un premier manquement aux obligations de notification, le fournisseur est averti par la Commission nationale pour la protection des données. En cas de manquement répété la Commission nationale peut prononcer une amende d’ordre qui ne peut excéder 50.000 euros.
        Un recours en réformation est ouvert devant le tribunal administratif contre les décisions prises par la Commission nationale pour la protection des données dans le cadre du présent article.
        (4) Les fournisseurs tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, les données consignées devant être suffisantes pour permettre à la Commission nationale pour la protection des données de vérifier le respect des dispositions du paragraphe (3). Cet inventaire comporte uniquement les informations nécessaires à cette fin.
        (5) Quiconque contrevient aux dispositions des paragraphes (1), (2) et (4) est puni d’un emprisonnement de huit jours à un an et d’une amende de 251 à 125.000 euros ou d’une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d’astreinte dont le maximum est fixé par ladite juridiction."
        Cette disposition est en vigueur depuis le 1er septembre 2011 et, pour d'autres informations à ce sujet, voir notamment: