31 juillet 2012

CNIL: Google, WiFi et vie privée

Tout comme l'Information Commissioner’s Office (ICO) du Royaume-Uni (billet), et d'autres autorités de protection européenne, la Commission nationale de l'informatique et des libertés a été avisée par Google que l'entreprise détient toujours une partie des données dites "de contenu" (identifiants, mots de passe, données de connexion, échanges de courriels) collectées via des réseaux WiFI dans le cadre de Google Street View

La CNIL, à l'instar de l'ICO, "a demandé à Google de mettre à sa disposition les données en question et de les conserver de manière sécurisée le temps de pouvoir mener toutes les investigations nécessaires". (Source: Cnil, 31 juillet 2012)

29 juillet 2012

Royaume-Uni: Google, WiFi et vie privée

Voir la lettre de Google et la réponse de l'Information Commissioner’s Office du Royaume-Uni concernant l'interception par Google de renseignements personnels via des réseaux WiFi dans le cadre de Google Street View et leur conservation.

26 juillet 2012

Hong Kong: Google et vie privée

L'Office of Privacy Commissioner for Personal Data (OPCPD) d'Hong Kong, à l'instar de plusieurs autorités de protection des renseignements personnels, a demandé à Google d'apporter des précisions sur la politique de confidentialité entrée en vigueur le 1er mars 2012. 

Une conférence de presse a été organisée, le 26 juillet 2012, pour fait état du résultat des discussions qui ont eu lieu entre l'OPCPD et Google

Ainsi on peut lire sur le site de l'OPCPD que: 
" 1. At a press briefing today (26 July 2012), the Privacy Commissioner for Personal Data, Mr. Allan Chiang, reported some improvements in Google’s new privacy policy subsequent to the dialogue and exchange of correspondence that his Office (“PCPD”) had with Google since February 2012. The success represented the efforts of multi-jurisdictions on data protection, with Hong Kong acting as the convenor of the Technology Working Group (“TWG”) of the Asia Pacific Privacy Authorities (“APPA”). 
2. Mr. Chiang explained, “From a privacy and data protection perspective, our concerns, inter alia, have been:-
(a) No opt-out options to users for combining their account data - Not all users would feel comfortable to allow Google to combine their personal data across multiple Google services, especially those users who use Google services for personal and professional purposes. Users should be allowed to opt-out of the arrangement. Google should enable and educate users on how they may maintain separate identities when using Google services.
(b) Readability of privacy policy should not be at the expense of details -  The unified Google privacy policy becomes so high-level that it is hard for users to know what information is being shared, how and why (especially when one only registers for a few of Google’s services). Furthermore, certain details in the previous policies (such as the time commitment to honour an erasure request) appear to have been left out in the new policy. 
(c) Effects to Android users - Android users are greatly affected as they have to log on Google in order to meaningfully use Android. Google should provide more details to this group of users on how the change affects them.”
3. PCPD has directly clarified with Google US on the changes. Some notable clarifications are:
(a) No combining information across multiple accounts – Google confirmed that it does not combine information across different accounts even if they have the same registration details (such as name, gender, date of birth), created/accessed from the same computer. It also confirmed that the only change was to allow sharing of information collected in search engine and YouTube with other Google services;
(b) User can create and use multiple Google accounts - Google confirmed that many of its services; support the switching between logged in accounts;
(c) Coverage of the combined policy – Google confirmed that the combined policy applies to all Google services without exception. However, in addition to the combined policy, the following products have additional privacy policies: Chrome and Chrome OS, Books and Wallet;
(d) Clarification on sharing information – Google confirmed that they would only share user information to external parties with the user’s consent (e.g. Google+ users having shared their postings to the public on one occasion would be taken as giving consent, by default, to share their subsequent postings).
4. PCPD also noted that some improvements in Google’s new privacy policy have been made. For example, there are now more ways to access privacy-related information. Also, as a response to customers’ wish to opt out of data combination across multiple services, Google allows multiple accounts to be used simultaneously in some of its services (such as Gmail and iGoogle).
5. “In terms of fully addressing the privacy concerns we have raised, we are far from satisfied with Google’s clarifications and improvements done. For example, up to now, we are still unable to obtain detailed information from Google on what and how information stored in Android phones would be accessible and shared by Google,” Mr. Chiang commented.
6. Hong Kong’s concerns are shared by the Privacy Commissioners, Data Protection Authorities and consumer groups worldwide. In particular, the French CNIL, on behalf of the European Union data protection authorities, has commenced an investigation into the lawfulness and fairness of Google’s aggregation of users’ personal data across services.
7. “To seek Google’s further improvement in personal data protection, PCPD will continue to co-operate with other APPA members in confronting Google. We will also keep in view and capitalize on the investigative efforts of CNIL,” Mr. Chiang pointed out.
8. While the enquiry with Google is still on-going, PCPD’s advice to Google users in the meantime is as follows:-
(a) if they are concerned about their information collected by Google, they should visit the Dashboard (www.google.com/dashboard) to examine what account and profile information are stored by Google, particularly search records in Web history and YouTube history, and removing/pausing them accordingly;
(b) if they wish to opt-out from Google advertisements that are based on the users’ interests and demographic details, they should access the Ad Preference Manager (www.google.com/ads/preferences) to inspect/modify/remove the categories Google has assigned to them for advertising purposes, and consider to download a browser plug-in from this page;
(c) if they are concerned about Google mixing together the information related to their personal, work or other affairs, they should consider creating multiple Google accounts to manage these activities; and
(d) if they are Android users concerned about the storage of location history by Google and sharing the information with other services, they should consider (i) disabling various options under Location services when not in use, and (ii) erasing and disabling Latitude location information in the Dashboard."
 
- OFFICE OF PRIVACY COMMISSIONNER FOR PERSONAL DATA FOR HONG KONG, "Privacy Commissioner reports improvements in Google's new privacy policy", Media Statement, July 26, 2012. 
  

10 juillet 2012

CNIL: rapport d'activité 2011

La Commission nationale de l'informatique et des libertés vient de publier son 32e rapport d'activité
Elle y fait le point sur ses nouvelles missions en matière de vidéoprotection, de labellisation, de notification des violations de données à caractère personnel. Elle met de l'avant certaines de ses préoccupations: les téléphones intelligents, les jeunes et les réseaux sociaux, la protection de l'identité, la géolocalisation, l'infonuagique, les alertes professionnelles. Elle revient sur le rôle des correspondants informatique et libertés (CIL). Elle met l'accent sur l'augmentation du nombre de plaintes reçues: 5738. Elle annonce ses thèmes de réflexions pour 2012: la révision de la Directive 95/46/CE et l'implantation d'une culture de protection des données au sein des entreprises. 

Voici pour un rapide survol du rapport ... à suivre. 

Pour aller plus loin, 
  • COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, 32e Rapport d'activité 2011, Paris, Direction de l'information légale et administrative, 2012.

7 juillet 2012

CNIL: sécurité et gestion des risques

Un organisme public ou une entreprise qui collecte, utilise ou communique des données à caractère personnel doit assurer la sécurité de celles-ci. Pour ce faire, "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès" (art. 34 Loi Informatique et Libertés).

Pour aider le responsable du traitement à respecter cette obligation, la Commission nationale de l'informatique et des libertés (CNIL) vient de publier deux guides qui viennent compléter celui paru en 2010. Retour en arrière.

2010: La CNIL publie un guide intitulé La sécurité des données personnelles composé de 17 fiches thématiques s'adressant "à tout responsable de traitement ainsi qu'à toute personne disposant d'un minimum de connaissances informatiques (administrateur système, développeur, responsable de la sécurité des systèmes d'information, utilisateur ...) et souhaitant évaluer le niveau de sécurité dont doit bénéficier tout traitement de données à caractère personnel" (p. 1). La CNIL y rappelle ce qu'est un risque
"un risque est un scénario qui combine une situation crainte (atteinte de la sécurité des traitements et ses conséquences) avec toutes les possibilités qu'elle survienne (menaces sur les supports des traitements). On estime son niveau en termes de gravité (ampleur et nombre des impacts) et de vraisemblance (possibilité/probabilité qu'il se réalise)" (p. 6).
Pour chacune des fiches, la CNIL indique les précautions à prendre, ce qu'il faut éviter de faire et donne des pistes pour aller plus loin. Ces fiches portent notamment sur l'authentification des utilisateurs, la sécurité des postes de travail, des locaux, du réseau informatique, la maintenance, l'informatique mobile, la sous-traitance, l'échange d'informations avec d'autres organismes, l'anonymisation ou encore le chiffrement.

La même année, la CNIL propose un quiz sur la sécurité qui permet aux responsables de traitement "de faire le point sur les mesures prises et celles qui restent à prendre pour mieux protéger les données personnelles".

2012: La CNIL publie deux guides: le premier est une méthode, le second est un catalogue de bonnes pratiques.

Le premier intitulé Gérer les risques sur les libertés et la vie privé "présente une méthode pour gérer les risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur les personnes concernées" (p. 3).

Il y est rappelé que les "risques sont composés d'un évènement redouté (que craint-on ?) et de toutes les menaces qui le rendent possible (comment cela peut-il arriver ?)" (p. 5). Parmi les évènements redoutés, on retrouve la modification du traitement, l'accès illégitime aux données, leur modification ou encore leur perte. Les menaces quant à elles peuvent provenir de personnes internes ou externes à l'organisme ou de virus informatique, de catastrophe naturelle. Ces menaces sont accidentelles ou délibérées. Elles peuvent conduire à un détournement d'usage, un espionnage ou encore à une détériorations des supports.

Le responsable du traitement doit donc évaluer le niveau de risque, lequel "est estimé en termes de gravité ["elle dépend essentiellement du caractère identifiant des DCP et du caractère préjudiciables des impacts potentiels"] et de vraisemblance [elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter"]" (p. 7).

Et pour pouvoir évaluer adéquatement un risque, "employer une démarche de gestion des risques est la manière la plus sûre de garantir l'objectivité et la pertinence des choix à effectuer lors de la mise en place d'un traitement." (p. 8).

Le guide propose une démarche en cinq étapes:
  • étude du contexte: de quoi parle-t-on ? 
    • éléments/supports à protéger, bénéfices du traitement, sources de risques, références à respecter.(p. 9-10)
  • étude des évènements redoutés: que craint-on qu'il arrive ? 
    • détermination des impacts potentiels, estimation du caractère identifiant / préjudiciable (négligeable, limité, important, maximal), gravité. (p. 11-13)
  • étude des menaces: comment cela peut-il arriver ? (si besoin) 
    • estimation de la vulnérabilité des supports et des capacités des sources de risques (négligeable, limité, important, maximal), vraisemblance. (p. 14-16)
  • étude des risques: quel est le niveau des risques ? (si besoin)
  • études des mesures: que peut-on faire pour traiter les risques ?
    • déterminer les mesures existantes ou prévues, ré-estimer la gravité et la vraisemblance des risques résiduels, expliquer pourquoi les risques résiduels peuvent être acceptés (p. 19-22)
Le second intitulé Mesures pour traiter les risques sur les libertés et la vie privée "est un catalogue de bonnes pratiques destinées à traiter les risques que les traitements de données à caractère personnel (DCP) peuvent faire peser sur les libertés et la vie privée des personnes concernées. Il complète la méthode de gestion des risques sur les libertés et la vie privée de la CNIL. Il aide à déterminer des mesures proportionnées aux risques identifiés avec cette méthode" (p. 4). 

Ces bonnes pratiques sont destinées à agir sur les éléments à protéger, les impacts potentiels, les sources de risques et les supports.
  • éléments à protéger - il convient entre autres de minimiser les DCP, de gérer la durée de leur conservation, de les chiffrer, de les anonymiser, d'informer et d'obtenir le consentement des personnes concernées, d'accorder un droit d'opposition, d'accès et de rectification - il convient de prévoir les spécificités relatives, notamment, aux cookies, à la géolocalisation, à la publicité ciblée, aux recherches sur des prélèvements biologiques identifiants, à l'accès aux dossiers médicaux, aux bases de données. (p. 5-26)
  • impacts potentiels - il convient entre autres de sauvegarder les DCP pour assurer leur disponibilité et/ou leur intégrité tout en protégeant leur confidentialité, de tracer l'activité sur le système informatique afin de détecter les incidents de sécurité, de gérer les violation de DCP - il convient de prévoir notamment les spécificités du hachage, de la signature électronique, des codes d'authentification, des postes clients, des serveurs, de l'équipement réseau. (p. 27-37)
  • sources de risques - il convient entre autres de marquer les documents contenant des DCP, , de gérer les personnes internes et les tiers qui ont un accès légitime (clause de confidentialité), de contrôler l'accès logique et physique des personnes, de se protéger contre les sources de risques non humaines - il convient de prévoir notamment les spécificités de l'externalisation, de la maintenance, de l'hébergement mutualisé. (p. 38-57)
  • supports - il convient entre autres de réduire la vulnérabilité des logiciels, des matériels, des canaux informatiques, des personnes, des documents papier - il convient de prévoir les spécificités relatives, notamment, aux postes de travail, aux téléphones mobiles, aux bases de données, aux imprimantes, aux outils de prise de main à distance, aux connexions aux équipements actifs du réseau, aux interfaces sans fil, au fax. (p. 58-77)
Ce guide propose également des actions transversales visant, entre autres, à désigner un responsable des traitements au sein de l'organisation, à établir une politique de protection de la vie privée, à intégrer la protection de la vie privée dans les projets. (p. 78-83)

Pour aller plus loin,

5 juillet 2012

Europe: avis sur l'infonuagique

Le 1er juillet, le Groupe de l'article 29 a publié un avis sur l'infonuagique: Opinion 05/2012 on Cloud Computing dans lequel il est notamment fait mention 
  • des risques quant à la protection des données personnelles (manque de contrôle et d'informations quant au processus), 
  • du cadre légal applicable (i.e. Directive 95/46/CE, Directive 2002/58/CE révisée par 2009/135/CE), 
  • des devoirs et responsabilités de chacun des intervenants, 
  • des exigences quant à l'encadrement des données (i.e. transparence, limitation d'utilisation, sécurité, confidentialité, disponibilité, intégrité, responsabilité), 
  • de la problématique des transferts internationaux. 
Dans sa conclusion, le Groupe insiste sur le fait que
"Businesses and administrations wishing to use cloud computing should conduct, as a first step, a comprehensive and thorough risk analysis. This analysis must address the risks related to processing of data in the cloud (lack of control and insufficient information) by having regard to the type of data processed in the cloud. Special attention should also be paid to assessing the legal risks regarding data protection, which concern mainly security obligations and international transfers. The processing of sensitive data via cloud computing raises additional concerns. Therefore without prejudice to national laws such processing requires additional safeguards. The conclusions below are meant to provide a checklist for data protection compliance by cloud clients and cloud providers based on the current legal framework; some recommendations are also provided with a view to future developments in the regulatory framework at EU level and beyond [il en va notamment ainsi des points suivants: "better balancing of responsabilities between controller and processor", "access to personal data for national security and law enforcement purposes", "special precautions by the public sector", "European Cloud Partnership""
(Source: Opinion 05/2012, p. 19 et 23)

Pour plus de détails,