28 mars 2013

Canada (CSC): l'interception de messages textes nécessite une "autorisation d'intercepter une communication privée" et non un "mandat général" - R. c. Telus

Le 27 mars 2013, dans l'arrêt R. c. Société Telus Communications (2013 CSC 16), la Cour suprême du Canada (CSC) s'est prononcée sur "la procédure qui doit être appliquée par les tribunaux, en vertu du Code criminel [...], pour autoriser la communication prospective, sur une base quotidienne, de [messages textes] se trouvant dans une base de données informatique exploitée par un fournisseur de services de télécommunications" [par. 1]. 

En effet, "le 27 mars 2010, le service de police d'Owen Sound a obtenu un mandat général en vertu de l'art. 487.01, ainsi qu'une ordonnance d'assistance connexe en vertu de l'art. 487.02 du Code. Le mandat désignait deux abonnés des services mobiles de Telus et obligeait cette entreprises à fournir aux policiers copie de tous les messages textes envoyés ou reçus par ces abonnés qui étaient conservés dans la base de données de Telus. Le mandat exigeait en outre la production de renseignements relatifs aux abonnés permettant d'identifier toute personne ayant envoyé des messages textes aux deux personnes visées par le mandat ou ayant reçu de tels messages de ces personnes" [par. 8]. 
Et, "le mandat visait une période subséquente de deux semaines allant du 30 mars au 16 avril 2010, période pendant laquelle Telus devait observer un calendrier de communication précis" [par. 9]. 

Se pose alors la question de savoir si une telle communication doit  se faire en vertu d'un mandat général ou d'une autorisation d’intercepter une communication privée ? 

Pour répondre à cette question, les juges de la CSC ont pris en considération:

25 mars 2013

Mars, mois de la prévention de la fraude

Même si le mois de mars est bientôt fini ... voir les capsules proposées notamment par
  • le Commissariat à la protection de la vie privée du Canada (capsule), 
  • le Bureau de la concurrence (capsule), ou
  • la Commission d'accès à l'information du Québec (capsule)
pour souligner le fait que le mois de mars est le mois de la prévention de la fraude ... elles précisent en quoi consiste le vol d'identité, comment le reconnaître, quelles sont les précautions à prendre ou encore que faire si l'on en est victime.

19 mars 2013

Royaume-Uni: guide sur les enjeux du Bring your own device (BYOD)

Publié le 19 mars 2013 - modifié le 20 mars 2013 (lien vers le guide)
 
Utiliser son ordinateur, son téléphone intelligent ou encore sa clé USB au travail peut présenter des avantages ... mais aussi des risques comme l'indique l'Information Commissioner's Office (ICO) du Royaume-Uni dans un guide intitulé Bring your own device (BYOD)

Dans ce guide, l'ICO insiste sur le fait que
[48] BYOD raises a number of data protection concerns due to the fact that the device is owned by the user rather than the data controller. However, it is crucial that as data controller you ensure that all processing for personal data which is under your control remains in compliance with the DPA. Particularly in the event of a security breach, you must be able to demonstrate that you have secured, controlled or deleted all personal data on a particular device.
Ainsi, il est recommandé de tenir compte de plusieurs éléments eu égard à la condidentialité, à la sécurité et au transfert des données, et notamment des éléments suivants: 
[10] BYOD must not introduce vulnerabilities into existing secure environments.
[11] It is important that users connecting their own devices to your IT systems clearly understand their responsibilities.
[14] Regardless of where the data is stored, you will have to take appropriate measures to protect against unauthorised or unlawful access, for example if the device is lost or stolen. This remains your respnsibility as the data controller. 
[22] Forcing all trafic through an encrypted channel such as a VPN, or HTTPS for individual services, can offer some security when using an un-trusted connection, for example an open Wi-Fi network in a coffee shop. However, if you are offering a VPN connection back through the corporate network you should be mindful of any internet monitoring software you have in operation, especially during periods of personal use. If the device sends data via non-corporate systems (for example a public email service) then there is limited opportunity to audit activity.
[25] If you use removable media to transfer data (USB drives or CDs), you must also consider the safe and secure deletion of the data on the media, once the transfer is complete. 
[28] Some devices may offer an automated backup facility which stores a backup of data on the device to the user’s cloud-based account or to the user’s personal computer. As data controller, you will need to ensure that, if this facility is enabled, it will not lead to an inappropriate disclosure of personal data.
[32] You should determine how you will ensure that vulnerabilities in the operating system or other software on the device are appropriately patched or updated. [...] 
[33] You could achieve this protection by restricting the choice of operating systems available to users. Again this could be difficult where the employer does not own the device. You should also consider how to manage employees who might ‘root’ or ‘jailbreak’ devices, a process which may remove some of the default security controls an operating system has in place. 
[37] If employers wish to monitor their workers, they should be clear about the purpose and satisfied that the particular monitoring arrangement is justified by real benefits that will be delivered. 
Pour plus de détails: 

Toujours au sujet de cette "pratique consistant, pour un employé, à utiliser son matériel électronique personnel dans le cadre de son travail" (Office québécois de la langue française), la Cour de cassation (France) a rendu le 12 février 2013 une décision par laquelle elle se prononce  
"sur le droit de vérification de l’employeur sur un Byod (Bring your own device), en l’occurrence une clé USB personnelle d’une salariée sur le lieu de travail. [Elle] a affirmé « qu’une clé USB, dès lors qu’elle est connectée à un outil informatique mis à disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors de la présence du salarié ». Elle a ainsi invalidé la décision d’appel qui avait considéré que le moyen de preuve était illicite, l’employée n’ayant pas été présente lorsque la clé USB avait été consultée par l’employeur. Dans cette affaire, une salariée avait été licenciée pour avoir enregistré sur une clé USB des informations confidentielles relatives à l’entreprise ainsi que des documents personnels de collègues et du dirigeant."

Voir également

13 mars 2013

États-Unis: Google, Wi-fi et vie privée (amende)

38 États américains et le district de Columbia viennent de conclure un accord de 7 millions de dollars avec Google en ce qui concerne les données collectées via des réseaux WiFi par les véhicules StreetView de l'entreprise de 2008 à 2010. 

Voir notamment: 

12 mars 2013

FTC: rapport sur le paiement mobile

Au cours de l'année dernière, la Federal Trade Commission (FTC) s'est intéressée au paiement mobile, notamment en ce qui a trait à la protection des renseignements personnels des consommateurs. Un colloque a eu lieu au mois d'avril 2012, durant lequel les participants ont mis de l'avant le fait que: 
"For consumers, mobile payments can be an easy and convenient way to pay for goods and services, get discounts through mobile coupons, and earn or use loyalty points. Mobile payments also may provide underserved communities with greater access to alternative payment systems. For merchants, mobile payments may lead to lower transaction costs by allowing a consumer to utilize funding options other than a credit or debit card. Mobile payments may also spur competition among payment methods, benefitting consumers and merchants alike."
(Source: FTC Report, p. 4)
Ils ont également fait valoir que "while mobile payments offer many potential benefits to consumers, they also raise consumer protection concerns. Panelists identified three primary areas where concerns are likely to arise with the increasing use of mobile payments: dispute resolution, data security, and privacy". (Source: FTC Report, p. 4)

Ces trois problématiques sont présentées dans le rapport que vient de publier la FTC et qui s'intitule Paper, Plastic ... or Mobile? An FTC Workshop on Mobile Payments

En ce qui concerne plus particulièrement la confidentialité des renseignements personnels, il est rappelé que 
"when a consumer makes a mobile payment, any or all of these parties [i.e. banks, merchants, payment card networks, operating system manufacturers, hardware manufacturers, mobile phone carriers, application developers, coupon and loyalty program administrators] may have access to more detailed data about a consumer and the consumer's purchasing habits as compared to data collected when making a traditional payment"
(Source: FTC Report, p. 13) 
Dans ce rapport, la FTC revient sur certaines recommandations contenues dans Protecting Consumer Privacy in an Era of Rapid Change (i.e. "Privacy Report"):
"[The] Privacy Report urged companies to adopt three basic practices: (1) "privacy by design" [en vertu de ce concept "companies should consider and address privacy at every stage of product development. Thus, a company should provide reasonable security for consumer data, and should limit data collection to that which is consistent with the context of a consumer's interaction with that company"], (2) simplified choice for businesses and consumers, and (3) greater transparency. These principles apply to companies in the mobile payments marketplace [...]"
(Source: FTC Report, p. 14) 
En conclusion, la FTC précise que: 
"Without question, mobile payments have the potential to provide significant benefits to consumers and businesses. Industry is experimenting with many technologies, business models, and partnerships that provide consumers with new and exciting products and services. Although the industry is still young, FTC staff encourages those developing mobile payment products and services to create them with financial, security, and privacy protections in mind. The FTC will continue to monitor mobile payment options, and to evaluate whether consumers have adequate protections and the information they need to make informed choices about these new and innovative services."
(Source: FTC Report, p. 17)

À suivre donc.  


Pour aller plus loin, 

3 mars 2013

PFPDT et CNIL: données personnelles et travail

Le Préposé fédéral à la protection des données et à la transparence (PFPDT - Suisse) et la Commission nationale de l'informatique et des libertés (CNIL - France) viennent de publier des fiches sur la protection des données personnelles au travail. 

Ces fiches mettent l'accent sur les problématiques suivantes:

- l'utilisation d'Internet à des fins privées sur les lieu de travail
Il est rappelé qu'"une utilisation personnelle de ces outils est tolérée par les tribunaux si elle reste raisonnable et n'affecte pas la sécurité des réseaux ou la productivité. C'est à l'employeur de fixer les contours de cette tolérance et d'en informer ses employés" (CNIL) ... en effet "l'employé doit savoir dans quelles limites il peut surfer sur Internet à des fins privées" (PFPDT)

En cas d'abus, le PFPDT préconise de "procéder à une évaluation anonyme (analyser le comportement de navigation de l'équipe plutôt que d'un collaborateur particulier)", d'"adresser une mise en garde générale" et de "n'évaluer les donner individuellement qu'en cas de récidive et d'irrégularité flagrante". 

La CNIL précise que "l'employeur peut contrôler et limiter l'utilisation d'internet [...] et de la messagerie [...]. Ce contrôle a pour objectif: 1) d'assurer la sécurité des réseaux qui pourraient subir des attaques [...], 2) de limiter les risques d'abus d'une utilisation trop personnelle d'internet ou de la messagerie". Elle indique également que "par défaut, les courriels ont un caractère professionnel. L'employeur peut les lire, tout comme il peut prendre connaissance des sites consultés, y compris en dehors de la présence de l'employé". 
- la vidéosurveillance-vidéoprotection au travail 
Il est rappelé que "l'utilisation de caméras vidéos sur le lieu de travail peut se concevoir si elle a pour but, par exemple, de contrôler les processus de fabrication d'une usine, de surveiller la chambre forte ou le local des serveur d'une entreprise dans certains secteurs, ou encore de prévenir les vols à main armée dans un magasin de station-service" (PFPDT) ... mais ces dispositifs de vidéosurveillance "ne peuvent conduire à placer les employés sous surveillance constante et permanente" (CNIL) ... car "il est interdit de placer les salariés sous surveillance constante" (PFPDT)

Ainsi, le PFPDT précise qu'avant de mettre en place de tels dispositifs, il convient d'envisager "des mesures moins intrusives", d'"informer le personnel des lieux filmés et du but de la surveillance; l'informer également de ce qu'il advient des enregistrement vidéo", de "ne filmer que ce qui est nécessaire au but défini. Pas de caméras dans les toilettes ni dans les vestiaires".  

La CNIL indique que les caméras "ne doivent pas filmer les employés sur leur poste de travail, sauf circonstances particulière (employés manipulant de l'argent par exemple, mais la caméra doit davantage filmer la caisse que le caissier; entrepôt stockant des biens de valeurs au sein duquel travaillent des manutentionnaires)" et "elles ne doivent pas filmer les locaux syndicaux ou des représentants du personnel, ni leur accès lorsqu'il ne mène qu'à ces seuls locaux". 
Elle mentionne que "la conservation des images ne doit pas excéder un mois". 
Et, elle insiste sur le fait que "les personnes concernées (employés et visiteurs) doivent être informés, au moyen d'un panneau affiché de façon visible dans les locaux sous vidéosurveillance: 1) de l'existence du dispositif, 2) du nom de son responsable, 3) de la procédure à suivre pour demander l'accès aux enregistrements visuels les concernant. De plus chaque employé doit être informé individuellement (au moyen d'un avenant au contrat de travail ou d'un note de service, par exemple)". 
- la recherche d'informations sur les candidats à un emploi / le recrutement et la gestion du personnel
Le PFPDT indique que "l'intrusion de la part des employeurs dans des sites Internet ou des profils de réseaux sociaux non accessibles à tous n'est pas licite". Et, il donne des conseils aux candidats à un emploi, à savoir ""googler" son propre nom et évoquer ouvertement les contenus délicats lors de l'entretien; faire attention à ce qu'on poste sur Internet. La Toile n'oublie rien !; bien définir qui a accès à son profil Facebook, Flickr, etc.".     

La CNIL rappelle que "dans le cadre d'un recrutement, les données collectées ne doivent servir qu'à évaluer la capacité du candidat à occuper l'emploi proposé [...]. Il est interdit de demander à un candidat à un emploi son numéro de sécurité sociale. Il est également interdit de collecter des informations sur ses parents, sa fratrie, ses opinions politiques ou son appartenance syndicale. À l'embauche [seulement], l'employeur pourra collecter des informations complémentaires". 
Elle revient aussi sur le fait qu'"en cas d'issue négative à une candidature, le recruteur devra informer le candidat qu'il souhaite conserver son dossier, afin de lui laisser la possibilité d'en demander la destruction. Si un candidat ne demande pas la destruction de son dossier, les données seront automatiquement détruite 2 ans après le dernier contact. Seul l'accord formel du candidat permet une conservation plus longue. Les données relatives à un employé sont conservées le temps de sa présence dans l'organisme. Une fois l'employé parti, certaines informations doivent être conservées par l'employeur sur un support d'archive (par exemple, 5 ans après le départ du salarié pour les bulletins de paie)".
- la géolocalisation des véhicules
La CNIL rappelle que si un employeur installe des dispositifs de géolocalisation dans un véhicule, il doit en informer les employés qui doivent pouvoir s'opposer à une telle installation "dans leur véhicule professionnel, dès lors que ce dispositif ne respecte pas les conditions légales posées par la CNIL ou d'autres textes" et "ils doivent avoir accès aux données les concernant enregistrées par l'outil (dates et heures de circulation, trajets effectués, etc.)". 
Et, elle indique qu'"en principe, les informations obtenues par la géolocalisation ne doivent pas être conservées plus de deux mois. Toutefois, elles peuvent être conservées un an lorsqu'elles sont utilisées pour optimiser les tournées ou à des fins de preuve des interventions effectuées, lorsqu'il n'est pas possible de rapporter cette preuve par un autre moyen. Enfin, elles peuvent être conservées cinq ans lorsqu'elles sont utilisées pour le suivi du temps de travail".
- l'accès aux locaux et le contrôle des horaires
La CNIL précise que "l'employeur peut mettre en place des outils - y compris biométriques - de contrôle individuel de l'accès pour sécuriser 1) l'entrée dans les bâtiments, 2) les locaux faisant l'objet d'une restriction de circulation" ... étant entendu que "le système mis en place ne doit pas servir au contrôle des déplacements à l'intérieur des locaux" et "le dispositif ne doit pas entraver la liberté d'aller et venir des représentants du personnel dans l'exercice de leur mandat, ou être utilisé pour contrôler le respect de leurs heures de délégation". 
Et, elle mentionne que "les données relatives aux accès doivent être supprimées 3 mois après leur enregistrement. Les données utilisées pour le suivi du temps de travail, y compris les données relatives aux motifs des absences, doivent être conservées pendant 5 ans".

Pour plus de détails: 

1 mars 2013

CNIL et Google: vers une "action répressive et concertée"

Comme mentionné le 18 février dernier, les autorités européennes de protection des données se sont réunies le 26 février en séance plénière pour discuter notamment des suites à donner dans le dossier concernant Google et ses règles de confidentialité. Voici ce qui a été décidé: 
"les autorités européennes ont décidé de poursuivre leurs investigations en étroite collaboration et de prendre toutes les mesures nécessaires conformément aux pouvoirs dont elles disposent. Un groupe de travail, piloté par la CNIL, a été mis en place afin de coordonner leur action répressive, laquelle devrait être lancée avant l'été. 
Ce groupe de travail se réunira dans les prochaines semaines et auditionnera Google." 
(Source: COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Règles de confidentialité de Google : le G29 s'engage dans une action répressive et coordonnée", 28-02-2013.

À suivre donc.