30 juin 2013

CNIL: enquête conjointe avec la DGCCRF quant au suivi des adresses IP (IP Tracking)

[Publié le 30 juin 2013 - Ajout le 2 juillet 2013]

Le 24 avril dernier, une députée européenne - Françoise Castex - faisait parvenir une lettre à la présidente de la Commission nationale de l'informatique et des libertés (CNIL) afin de connaître la position de l'autorité française de protection des données personnelles sur la question du suivi des adresses IP par certains sites de commerce en ligne (ou IP Tracking) (billet). 

La CNIL a examiné ce dossier en séance plénière le 13 juin dernier et "compte tenu de la diversité des pratiques existantes visant à moduler le prix des billets de transports sur Internet, et n'ayant pas à ce jour d'éléments suffisamment établis sur l'existence et les conditions de fonctionnement de l'IP Tracking en France, la CNIL a décidé  de mener une enquête en collaboration étroite avec la DGCCRF [i.e. Direction générale de la concurrence, de la consommation et de la répression des fraudes]" (Source: CNIL, Actualité 28 juin 2013)

Et, lors de cette séance, la CNIL a considéré le fait que: 
"une telle pratique, si elle était avérée, poserait notamment la question de la loyauté de la collecte des données permettant de mettre en œuvre l'IP Tracking. Cette pratique serait opérée à l'insu des personnes et sans qu'elles soient en mesure de connaitre, voire d'agir sur les mécanismes conduisant à moduler le tarif affiché. Outre les aspects relatifs au respect de la loi " Informatique et Libertés ", l'IP Tracking doit également être examiné sur le fondement des pratiques commerciales déloyales, régies par l'article L.120-1 et suivants du code de la consommation, qui visent les procédés " qui altèrent, ou sont susceptibles d'altérer de manière substantielle, le comportement du consommateur normalement informé et raisonnablement attentif et avisé, à l'égard d'un bien ou d'un service ".
(Source: CNIL, Actualité 28 juin 2013)
À suivre donc. 

Ajout: En date du 2 juillet 2013, on peut lire sur le site de Mme Castex qu'elle vient d'envoyer une lettre au commissaire croate à la protection des consommateurs, Neven Mimica, lui demandant d'examiner la problématique relative au suivi des adresses IP par certains sites de commerce en ligne (ou IP Tracking). 


25 juin 2013

Royaume-Uni: Google, WiFi et vie privée (2)

En juillet et octobre 2012, Google a informé l'Information Commissioner's Office (ICO) du Royaume-Uni être en possession de disques durs contenant des données dites "de contenu" collectées via des réseaux WiFi par le biais de Google Street View alors que ceux-ci auraient dû être détruits (billet).  

Après analyse, l'ICO est d'avis que l'entreprise n'a pas respectée l'un des principes de protection des renseignements personnels du Data Protection Act 1998, plus particulièrement le cinquième principe (Partie I, Annexe 1) qui se lit comme suit: 
Personal data processed for any purpose or purposes shall not be kept for longer than is necessary for that purpose or those purposes.
Partant, l'ICO donne 35 jours à Google pour détruire lesdites données sous peine d'outrage. Ainsi, on peut lire dans la décision du 11 juin 2013 que:
"The Commissioner is of the view that, in respect of the retention of payload data collected by Street View vehicles in the UK, the data controller has contravened the Fifth Data Protection Principle in that they did not erase the payload data referred to in paragraph 5 above. 
The data controller has given an explanation for their failure to erase the payload data referred to in paragraph 5 above. However, the Commissioner is still concerned that other discs holding payload data may have been overlooked during the destruction process.
The Commissioner considered, as he is required to do under section 40(2) of the Act when deciding whether to serve an Enforcement Notice, whether any contravention has caused or is likely to cause any person damage or distress. The Commissioner took the view that the likelihood of distress is self-evident. Individuals whose personal data has been collected by the data controller are likely to suffer worry and anxiety on account of the fact that other discs holding payload data may not have been destroyed.
In view of the matters referred to above the Commissioner hereby gives notice that, in exercise of his powers under section 40 of the Act, he requires that:
(1) Within 35 days of the date of this notice the data controller shall securely destroy any personal data within the meaning of the Data Protection Act 1998 held on vehicle discs and collected in the UK using Street View vehicles (to the extent that the data controller has no other legal obligations to retain such data) and,
(2) If the data controller subsequently discovers a Street View vehicle disk holding personal data and collected in the UK it shall promptly inform the Information Commissioner."
(Source: ICO Enforcement Notice, June 11, 2013)
et, selon Stephen Eckersley de l'ICO:
"Today’s enforcement notice strengthens the action already taken by our office, placing a legal requirement on Google to delete the remaining payload data identified last year within the next 35 days and immediately inform the ICO if any further disks are found. Failure to abide by the notice will be considered as contempt of court, which is a criminal offence."
(Source: ICO News Release, June 21, 2013)

Pour aller plus loin, voir notamment:

22 juin 2013

CNIL: mise en demeure de Google (politique de confidentialité)

En avril 2013, la Commission nationale de l'informatique et des libertés (CNIL), à l'instar des autorités de protection de l'Allemagne, de l'Espagne, de l'Italie, des Pays-Bas et du Royaume-Uni, a informé Google de sa décision d'ouvrir une procédure de contrôle quant aux règles de confidentialité mises en ligne par l'entreprise en mars 2012 (billet).

L'analyse a été réalisée au regard de la Loi "Informatique et Libertés" et, plus particulièrement en ce qui concerne les finalités de traitement, l'information des personnes concernées, la durée de conservation des données, la combinaison de données, la collecte et le traitement loyal des données ou encore le consentement de la personne concernée. 

Au terme de cette analyse, la CNIL a constaté plusieurs manquements. Par conséquent, par décision 2013-025 du 10 juin 2013, elle met en demeure Google de: 
"- définir les finalités déterminées et explicites afin de permettre aux utilisateurs, quel que soit leur statut, d'appréhender concrètement les traitements portant sur leurs données à caractère personnels;
- procéder à l’information des utilisateurs, quel que soit leur statut, en application des dispositions de l’article 32 [de la Loi "Informatique et Libertés"], en particulier s’agissant des finalités poursuivies par le responsable des traitements mis en œuvre; 
- définir une durée de conservation des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées; 
- ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs ;
- procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies "Doubleclick", "Analytics", les boutons "+1" ou tout autre service Google présents sur la page visitée; 
- informer les utilisateurs, quel que soit leur statut, puis obtenir leur accord préalable avant d’inscrire des informations dans leur équipement terminal de communications électroniques ou d'accéder à celles-ci par voie de transmission électronique."
(Source: CNIL, Décision 2013-025 du 10 juin 2013, p. 14-15)
Google a trois mois pour se conformer à la mise en demeure de la CNIL ... à suivre donc. 

Pour plus de détails, voir notamment: 

Par ailleurs, il est à noter que les autres autorités poursuivent leurs investigations. Ainsi,
"- Le Directeur de l’autorité de protection des données espagnole a notifié à Google sa décision d’ouvrir une procédure de sanction [en espagnol] pour violation des principes fondamentaux de la législation espagnole en matière de protection des données personnelles.
- L’autorité de protection des données d’Hambourg (Allemagne) a ouvert une procédure formelle contre Google. Celle-ci commence par une audition formelle, telle que prévue par le droit public allemand, qui pourra donner lieu au prononcé d’un acte administratif enjoignant Google de mettre en œuvre des mesures afin de se conformer à la législation nationale allemande en matière de protection des données personnelles. Dans le cadre de son enquête, l’autorité de protection des données néerlandaise va délivrer, dans un premier temps, un rapport confidentiel sur les conclusions préliminaires et dans un second temps, demander à Google de fournir des observations sur ce rapport.
- L’autorité de protection des données néerlandaise tiendra compte de ces observations dans son rapport final sur les conclusions, et pourra par la suite décider de prononcer une sanction.
- Après avoir ouvert une procédure formelle d’enquête fin mai, l’autorité de protection des données italienne est dans l’attente de clarifications [en italien] de la part de Google Inc.. L’autorité italienne évaluera sous peu les éléments pertinents afin de déterminer les mesures d’exécution envisageables, y compris de possibles sanctions, conformément à la législation italienne en matière de protection des données personnelles.
- L’autorité de protection des données britannique est en train d’examiner la nouvelle politique de confidentialité de Google afin de déterminer si elle est conforme à la loi de protection des données personnelles britannique de 1998. L’autorité britannique écrira prochainement à Google pour lui faire part de ses conclusions préliminaires."

Pour aller plus loin sur certaines de ces actions, voir: 

19 juin 2013

Canada, Europe, APEC: lettre commune au sujet des Google Glass

À l'instar du Congrès américain (billet), les autorités de protection de l'Australie, de la Nouvelle-Zélande, du Mexique, d'Israël, de la Suisse, du Canada (Alberta, Colombie-Britannique, Québec, commissariat fédéral) et le Groupe de l'article 29, ont fait parvenir une lettre commune, le 18 juin 2013, à Larry Page, président de Google, afin d'obtenir des explications sur le fonctionnement des lunettes de l'entreprise (Google Glass) et leur impact sur la protection des renseignements personnels. 

Ainsi, on peut lire que ces autorités s'interrogent sur les points suivants: 
"Nous voudrions soulever entre autres les questions suivantes :
- Comment Google Glass se conforme-t-il aux lois sur la protection des données?
- Quelles mesures de protection des données personnelles Google et les développeurs d’application mettent-ils en place?
- Quels renseignements Google recueille-t-elle par l’entremise de Glass et quels renseignements sont transmis à des tiers, y compris des développeurs d’applications?
- Comment Google compte-t-elle utiliser cette information?
- Bien que nous croyions comprendre que Google a choisi de ne pas intégrer la reconnaissance faciale à Glass, comment Google prévoit-elle aborder les enjeux liés à la reconnaissance faciale à l’avenir?
- Google fait-elle quoi que ce soit au sujet des grands enjeux sociétaux et éthiques soulevés par un tel produit, en outre, au sujet de la collecte subreptice d’information au sujet d’autres individus?
- Google a-t-elle déjà entrepris des évaluations des risques à la vie privée dont elle serait disposée à partager les conclusions avec nous?
- Google serait-elle disposée à faire une démonstration de l’appareil à l’intention de nos organisations, et de permettre à toute autorité de protection des données qui en fait la demande de soumettre l’appareil à des tests?
Nous sommes conscients que ces questions portent sur des enjeux qui sont de notre ressort en tant qu’autorité de protection des données, de même que sur des enjeux éthiques plus vastes soulevés par les ordinateurs vêtements. Nous serions très intéressés à en savoir davantage au sujet de l’incidence sur la vie privée de ce nouveau produit, et des mesures que vous envisagez adopter afin de vous assurer que le droit à la vie privée des personnes est respecté partout dans le monde, alors que vous allez de l’avant avec Google Glass. Nous attendons de vos nouvelles à ce sujet et nous espérons avoir l’occasion de prendre part à une rencontre afin de discuter des enjeux de vie privée soulevés par Google Glass."
(Source: Lettre commune du 18 juin 2013)

Pour plus de détails, voir notamment: 

15 juin 2013

Surveillance et autres accés aux renseignements personnels

Au moment où les États-Unis doivent s'expliquer sur leurs programmes de surveillance des communications suite aux révélations de The Guardian et du Washington Post, la Commission nationale de l'informatique et des libertés (CNIL) annonce la "création d'un groupe de travail sur l'accès des autorités publiques étrangères à des données personnelles de citoyens français".

Et, par ailleurs, le Conseil de l'Europe a adopté le 11 juin dernier une Déclaration sur les risques présentés par le suivi numérique et les autres technologies de surveillance pour les droits fondamentaux qui attire notamment
"l’attention des États membres sur les risques que présentent les technologies de suivi numérique et les autres technologies de surveillance pour les droits de l’homme, la démocratie et l’État de droit et rappelle la nécessité de garantir leur utilisation légitime au profit des personnes, de l’économie et de la société dans son ensemble, ainsi que celle de respecter la loi."
Pour aller plus loin, voir notamment:  

9 juin 2013

CPVPC: Rapport annuel 2012

Le 6 juin dernier, le Commissariat à la protection de la vie privée du Canada (CPVPC) a rendu public son Rapport annuel 2012 insistant sur "l'importance de contrôler sa propre réputation dans les médias sociaux" (p. 3) et sur la responsabilité des organisations au regard de l'application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ).

Ainsi, dans le chapitre Pleins feux sur les citoyens, le CPVPC revient sur certaines enquêtes (par ex. création d'un faux compte Facebook au nom d'une adolescente, divulgation des profils d'un site de rencontre sur d'autres sites de rencontre sans le consentement des personnes concernées), sur certaines ressources en matière de protection de la vie privée pour les jeunes (par ex. publication d'une bande dessinée intitulée Branchés et futés: Internet et vie privée) et pour les joueurs (par ex. fiche d'information intitulée Consoles de jeu et renseignements personnels: la vie privée en jeu). 

Le CPVPC rappelle notamment que 
"les individus ont le droit de façonner leur réputation et d'être ce qu'ils veulent en ligne. Il est toutefois essentiel que les sites Web soient transparents au sujet de leurs activités; ainsi, les personnes qui les utilisent pourront comprendre, prendre des décisions et exprimer leur consentement pour ce qui est du traitement de leurs renseignements personnels." (p. 7)
Dans le chapitre Pleins feux sur les entreprises, le CPVPC insiste sur la nécessité pour les organisations d'agir de manière responsable. À ce propos, le CPVPC fait état du guide développé en collaboration avec l'Alberta et la Colombie-Britannique et intitulé Un programme de gestion de la protection de la vie privée: la clé de la responsabilité. 

Il fait aussi mention de certaines enquêtes (par ex. utilisation de logiciel espions pour retracer des ordinateurs portables, recours aux cotes de crédit pour fixer des primes d'assurance, collecte de renseignements personnels par une société de prêts hypothécaires ... le tout sans le consentement des personnes concernées, ou encore quant à l'application WhatsApp (billet)) et actions menées au Canada (billet) et ailleurs (billets Europe, Hong Kong, États-Unis, par ex.) auprès de Google lors de l'entrée en vigueur de la nouvelle politique de confidentialité.

Le CPVPC rappelle également que
"le principe de responsabilité oblige les organisations confrontées à une atteinte à la protection des données à prendre toutes les mesures possibles pour en limiter l'incidence. À cette fin, elles doivent intervenir d'une manière rapide et globale pour mettre fin aux dommages, alerter les autorités, communiquer avec les personnes concernées et prêter assistance à celles-ci. 
Une fois la situation d'urgence passée, il faut aussi examiner les politiques et processus internes, et prendre toutes les mesures nécessaires pour assurer leur renforcement en cas d'incidents futurs. 
Le Commissariat encourage les organisations à signaler volontairement les atteintes à la protection des données qui impliquent des renseignements personnels." (p. 44)
Dans les chapitres Pleins feux sur les institutions et L'année à venir, le CPVPC réitère ce qu'il a avancé le 23 mai dernier (billet), à savoir que: 
"le Commissariat a préconisé l'octroi de pouvoirs accrus en vertu de la LPRPDÉ, notamment le signalement obligatoire des atteintes, les conséquences financières en cas de non conformité et d'autres changements au modèle d'application." (p. 74)
"[le Commissariat] est en faveur d'un renforcement des pouvoirs d'application de la loi, comme le pouvoir de prendre des ordonnances et d'imposer des sanctions financières en cas d'infraction à la Loi. Nous sommes également favorables à une obligation de signalement des atteintes, à un rapport public des divulgations à l'insu de la personne ou sans son consentement en vertu de la disposition d'"autorité légitime" et à un renforcement des obligations de responsabilité pour les organisations.
En 2013, nous continuerons de faire pression pour amener les changements nécessaires à la LPRPDÉ et aux autres lois, afin de veiller à ce que les renseignements personnels des Canadiennes et Canadiens soient protégés et que leur confiance soit assurée dans cette économie numérique complexe et en pleine expansion." (p. 90-91)
Par ailleurs, le CPVPC précise qu'il s'intéressera notamment aux enjeux inhérents aux "paiements mobiles", aux "logiciels de reconnaissance faciale", aux "meilleures façons d'obtenir le consentement pour la collecte des renseignements personnels dans un environnement en ligne" ou encore aux "sites Web de "vengeance", qui permettent aux personnes de publier des informations et des photos insultantes et humiliantes à propos d'autres personnes" (p. 92) ... à suivre donc.

Pour aller plus loin, voir

2 juin 2013

CNIL: consultation sur le droit à l'oubli

En avril dernier, dans son rapport d'activité 2012 (billet), la Commission nationale de l'informatique et des libertés (CNIL) précisait qu'"il est nécessaire de s'interroger collectivement sur l'effectivité réelle [du droit à l'oubli] à propos duquel s'exprime une demande social importante" (p. 83-84). 

Dans cette optique, la CNIL vient de lancer une consultation auprès des internautes afin de "construire ensemble un droit à l'oubli numérique".  

La consultation se présente sous forme de questionnaire portant notamment sur la gestion de notre e-réputation, sur les informations nous concernant diffusées sur Internet, sur les démarches que nous avons essayé de faire pour supprimer nos données sur Internet, sur notre compréhension du droit à l'oubli. 


Pour aller plus loin,