26 juillet 2013

Google: suivi de billets sur la politique de confidentialité et sur les Google Glass

Que se soit pour sa politique de confidentialité ou pour ses Google Glass, Google est dans la mire de plusieurs autorités de protection des renseignements personnels.

Ainsi, par exemple, le 10 juin dernier, la Commission nationale de l'informatique et des libertés (CNIL) mettait l'entreprise en demeure relativement à sa politique de confidentialité (billet) et, le 22 juillet la CNIL a fait le point sur les actions répressives à l'encontre de Google en Europe. 

En ce qui concerne les Google Glass, le 18 juin dernier, les autorités de protection de l'Australie, de la Nouvelle-Zélande, du Mexique, d'Israël, de la Suisse, du Canada (Alberta, Colombie-Britannique, Québec, commissariat fédéral) et le Groupe de l'article 29, ont fait parvenir une lettre commune à l'entreprise (billet). Le 27 juin l'entreprise a répondu dans les termes suivants:
"Je vous remercie de votre récente lettre concernant Google Glass. La protection de la sécurité et de la vie privée de nos utilisateurs figure en tête de liste de nos priorités. Conscients du fait que la nouvelle technologie soulèvera de nouveaux types de questions, nous avons mûrement réfléchi dès le début à la façon de concevoir Google Glass et nous continuons d’examiner Glass dans la perspective du vaste programme de protection de la vie privée de Google. Nous avons notamment à cœur de concevoir Glass en nous souciant du respect de la vie privée et en veillant à ce que Google obtienne un consentement valable des utilisateurs.
Glass n’a pas encore été lancé à grande échelle sur le marché de la consommation et en est encore à ses débuts, mais nous sommes convaincus que l’expérience concrète de cet appareil continuera d’aider à recentrer les discussions au bénéfice des utilisateurs et de la population. C’est pourquoi nous avons lancé le programme Google Glass Explorer à l’intention de nos explorateurs aux États-Unis, qui sont des personnes de divers horizons qui participent aux premiers essais pratiques du produit. Au moment d’élaborer les étapes à venir, nous accordons une grande importance à leurs commentaires.
Vous trouverez ci-après des renseignements sur certaines caractéristiques de Glass qui devraient vous aider à comprendre ce qu’il en est :
- Pour commencer, nous avons mis au point Glass pour permettre aux utilisateurs de déterminer quand et comment utiliser Glass. Par exemple, comme dans le cas des appareils mobiles, l’utilisateur de Glass doit poser des gestes précis pour obtenir le résultat voulu, par exemple faire des recherches dans Internet, trouver un itinéraire, prendre une photo ou enregistrer une vidéo. L’utilisateur dit « Okay, Glass », puis il donne des commandes vocales comme « Google » pour faire des recherches dans Internet ou « Get directions » pour afficher l’itinéraire jusqu’à sa destination. Pour prendre une photo ou enregistrer une vidéo, l’utilisateur appuie sur un bouton sur la monture de Glass ou dit « Take a photo » ou « Record a video ». Le lien ci-après conduit à une vidéo qui donne une bonne idée de certaines fonctions de base de Glass : https://www.youtube.com/watch?v=4EvNxWhskf8.
- L’utilisateur aura accès à son propre site «  MyGlass » (www.google.com/myglass) et à l’application mobile MyGlass, qui lui permettra de suivre de près l’état de ses lunettes, de gérer les paramètres et de décider quels éléments ou applications afficheront l’information sur Glass.
- Notre engagement à donner la maîtrise à l’utilisateur s’étend aux politiques que nous avons élaborées à l’intention des développeurs qui conçoivent les applications pour Glass, également appelées « Glassware ». Par exemple, Google affirme depuis plusieurs années qu’elle n’ajoutera pas de fonctions de reconnaissance faciale à ses produits sans avoir d’abord mis en place de vigoureuses mesures de protection de la vie privée. Dans cette optique, nous n’approuverons pour le moment aucune application Glassware de reconnaissance faciale. En outre, nous interdisons aux développeurs de désactiver ou d’éteindre l’écran lorsque la caméra est en marche. Quelle que soit l’application Glassware, l’affichage doit s’activer au moment de la prise d’une photo et le demeurer pendant l’enregistrement d’une vidéo.
- Nous demandons aux participants à notre programme Explorer de ne pas vendre ni céder leur Glass, mais les utilisateurs qui les céderont un jour à une autre personne pourront en retirer le contenu. Glass affiche les éléments comme les photos, les vidéos et les textos sur une ligne du temps et comporte une fonction « suppression » qui permet de les en retirer. Cette fonction représente une façon d’effacer le contenu de Glass. L’utilisateur pourra également, grâce au site et à l’application MyGlass susmentionnés, désactiver des éléments particuliers (notamment Gmail, Google+ et Now) de Glass et réinitialiser l’appareil, ce qui supprimera toutes ses données. Si un utilisateur perd son Glass, il pourra utiliser ces fonctions sur le site et dans l’application MyGlass.
- Nous avons aussi intégré certains signaux dans le mode d’utilisation de Glass en pensant aux utilisateurs et aux non-utilisateurs. Outre les commandes vocales, l’utilisateur peut toucher Glass afin de faire défiler des éléments ou appuyer sur un bouton situé sur la branche de l’appareil afin de prendre une photo ou d’enregistrer une vidéo — ce qui aura pour effet d’activer l’écran de Glass d’une manière qui sera visible aux autres. Ces signaux permettent à l’utilisateur de respecter l’étiquette dans toute situation donnée et aident les gens à comprendre ce que fait l’utilisateur de Glass. Comme vous le savez, certaines parties peuvent prendre elles-mêmes des mesures pour baliser l’utilisation de la technologie existante — par exemple les téléphones cellulaires, les ordinateurs portatifs ou les caméras — dans certaines circonstances. Nous nous attendons à ce que ces types de règles continuent d’évoluer à mesure que les technologies vestimentaires seront lancées sur le marché en plus grand nombre.
Il est à noter que nous continuons de travailler activement sur Glass. L’information fournie dans le présent document est sujette à changement avant le lancement du produit à grande échelle sur le marché de la consommation. Comme vous le savez, Google a, dans la plupart de vos pays, des spécialistes locaux et régionaux en matière de protection de la vie privée, de droit et de politiques, qui seront vos points de contact à l’avenir."

14 juillet 2013

Canada (CSC): téléphone cellulaire, mot de passe et fouille.

Dans le communiqué du 11 juillet 2013 relatif aux jugements sur demandes d'autorisation, on apprend que la Cour suprême du Canada (CSC) a accueillie la demande d’autorisation d’appel dans R. c. Fearon, un arrêt de la Cour d'appel de l'Ontario qui a considéré qu'en l'absence de mot de passe sur un téléphone cellulaire, la police avait le droit de chercher des éléments de preuve:
[73] In this case, it is significant that the cell phone was apparently not password protected or otherwise “locked” to users other than the appellant when it was seized. Furthermore, the police had a reasonable belief that it would contain relevant evidence.  The police, in my view, were within the limits of Caslake to examine the contents of the cell phone in a cursory fashion to ascertain if it contained evidence relevant to the alleged crime.  If a cursory examination did not reveal any such evidence, then at that point the search incident to arrest should have ceased.
[75] If the cell phone had been password protected or otherwise “locked” to users other than the appellant, it would not have been appropriate to take steps to open the cell phone and examine its contents without first obtaining a search warrant.
(Source: R. c. Fearon, 2013 ONCA 106 (CanLII))
Lors de la présentation de ce dossier, le sommaire suivant a été préparé par le Bureau du registraire de la Cour suprême du Canada :
35298 - Kevin Fearon c. Sa Majesté la Reine
Charte des droits et libertés – Droit criminel – Fouilles, perquisitions et saisies – Droit à l'assistance d'un avocat – Droit de garder le silence – Preuve – La fouille d’un téléphone cellulaire pendant une arrestation nécessite-t-elle un mandat de perquisition ou relève-t-elle plutôt du pouvoir du policier de procéder à une fouille accessoire à une arrestation? – Le contenu du téléphone cellulaire du demandeur aurait-il dû être exclu de la preuve? – La déclaration aux policiers était-elle volontaire? – Le demandeur a-t-il renoncé à son droit à l'assistance d'un avocat?
Le demandeur a été arrêté pour vol qualifié. Pendant une fouille accessoire à l’arrestation, un policier a trouvé le téléphone cellulaire du demandeur. Le téléphone n'était pas verrouillé ou protégé par un mot de passe. Le policier a examiné le téléphone et il a trouvé des photographies d'une arme à feu et d'argent comptant ainsi qu'un message texte incriminant. Le policier a saisi le téléphone cellulaire. Le téléphone cellulaire a été fouillé à de nombreuses autres reprises au poste de police ce jour-là et le lendemain, mais aucune autre preuve n'a été extraite. Des mois plus tard, un mandat de perquisition a été obtenu pour fouiller le téléphone de nouveau. Le demandeur a été informé de ses droits au moment de son arrestation et, en route vers le poste de police, il a affirmé vouloir téléphoner à un avocat. Au poste de police, les policiers qui ont procédé à l'arrestation ont informé l'agent responsable des mises en détention que le demandeur avait demandé de parler à un avocat. Le demandeur a été laissé dans une salle d'entretien pendant cinq heures sans avoir eu l'occasion de communiquer avec un avocat. Lorsqu'il a été interrogé, il a de nouveau été informé de son droit à l'assistance d'un avocat. Il a fait des déclarations incriminantes.   
(Source: Sommaire 35298) 
Il est à noter que la CSC a uniquement accueillie la demande d'autorisation d'appel à l’égard de la question de la fouille du téléphone cellulaire.  

À suivre donc.  

6 juillet 2013

Royaume-Uni: Google et sa politique de confidentialité

Comme mentionné dans le billet du 22 juin dernier, au moment où la Commission nationale de l'informatique et des libertés (CNIL) mettait en demeure Google en ce qui concerne sa politique de confidentialité,
"l’autorité de protection des données britannique [Information Commissioner’s Office ou ICO] [était] en train d’examiner la nouvelle politique de confidentialité de Google afin de déterminer si elle est conforme à la loi de protection des données personnelles britannique de 1998. L’autorité britannique écrira prochainement à Google pour lui faire part de ses conclusions préliminaires".
Depuis, on peut lire sur le site de l'ICO que: 
"We have today written to Google to confirm our findings relating to the update of the company’s privacy policy. In our letter we confirm that its updated privacy policy raises serious questions about its compliance with the UK Data Protection Act.
In particular, we believe that the updated policy does not provide sufficient information to enable UK users of Google’s services to understand how their data will be used across all of the company’s products.
Google must now amend their privacy policy to make it more informative for individual service users. Failure to take the necessary action to improve the policies compliance with the Data Protection Act by 20 September will leave the company open to the possibility of formal enforcement action."
(Source: ICO, Statement: 4 July 2013)
À suivre donc ...

Pour aller plus loin, 
  • INFORMATION COMMISSIONER'S OFFICE OF THE UNITED KINGDOM, Statement (ICO update on Google Privacy Policy), 4 July 2013.

4 juillet 2013

Google: réponse au Congrès américain concernant les Google Glass

Le 16 mai 2013, huit membres du Congrès américain ont fait parvenir une lettre à Google afin d'obtenir certaines précisions sur les lunettes de l'entreprise (billet). Le 7 juin dernier, Google a fait parvenir sa réponse aux questions et a notamment indiqué que:
  • "Protecting the security and privacy of our users is one of our top priorities. We recognize that new technology is going to bring up new types of questions, so we have been thinking carefully about how we design Glass from its inception".  
  • "Google does not provide any facial recognition capabilities in Glass, and we will not be approving any facial recognition Glassware at this time. We've consistently said that Google won't add face recognition features to our own services unless we have appropriate privacy protections in place";  
  • "Use of Google Glass will be governed by the terms of the Google Privacy Policy and no changes to the Google Privacy Policy are planned for Glass".  
Joe Barton, un des signataires de la lettre envoyée à Google en mai dernier se dit déçu des réponses données par Google et ce dans les termes suivants: 
"I am disappointed in the responses we received from Google. There were questions that were not adequately answered and some not answered at all. Google Glass has the potential to change the way people communicate and interact. When new technology like this is introduced that could change societal norms, I believe it is important that people’s rights be protected and vital that privacy is built into the device. I look forward to continuing a working relationship with Google as Google Glass develops."

Pour aller plus loin, 
  • GOOGLE, Re: Letter, June 7, 2013 (via le site Web du sénateur Joe Barton).

2 juillet 2013

FTC: entrée en vigueur des nouvelles règles relatives à la COPPA

Le règlement d'application de la Children's Online Privacy Protection Act (COPPA) adopté en décembre 2012 (billet) est entré en vigueur hier, 1er juillet et, comme le rappelle la Federal Trade Commission (FTC): 
"The COPPA rule was mandated when Congress passed the Children’s Online Privacy Protection Act of 1998. It requires that operators of websites or online services that are either directed to children under 13 or have actual knowledge that they are collecting personal information from children under 13 give notice to parents and get their verifiable consent before collecting, using, or disclosing such personal information, and keep secure the information they collect from children."
(Source: FTC, News Release, July 1, 2013)
Pour permettre aux entreprises de se conformer à ce règlement, la FTC propose différents documents, notamment : 
  • un guide The Children’s Online Privacy Protection Rule: A Six-Step Compliance Plan for Your Business pour permettre à une entreprise de répondre aux exigences de la COPPA, à savoir 1) déterminer si l'entreprise collecte des renseignements personnels concernant des enfants de moins de 13 ans et, si tel est le cas elle doit 2) adopter une politique de confidentialité; 3) informer les parents avant de collecter de tels renseignements personnels; 4) obtenir leur consentement; 5) leur accorder un droit d'accès et de rectification et 6) mettre en oeuvre des mesures de sécurité tenant compte de la sensibilité des données;
  • une vidéo expliquant aux entreprises les droits et les obligations prévus par la COPPA et son règlement d'application; 
La FTC propose également un guide Protecting Your Child's Privacy Online destiné aux parents afin de leur donner les outils nécessaires pour protéger leurs enfants et comprendre les enjeux relatifs à la collecte et au traitement de leurs renseignements personnels par les entreprises.

Et dans son communiqué, la FTC indique qu'elle a reconduit les programmes suivants: Aristotle International, Inc., Children’s Advertising Review Unit of the Council of Better Business Bureau, ESRB Privacy Online, TRUSTe, et Privo, Inc., lesquels certifient que les entreprises qui y adhèrent respectent les règles de la COPPA et de son règlement d'application:
"To coincide with the amended COPPA rule taking effect, the FTC has also continued five “safe harbor” programs, whose guidelines now reflect the modified rule. Under COPPA, safe harbor status allows certain organizations to create comprehensive self-compliance programs for their members. Companies that participate in a COPPA safe harbor program are generally subject to the review and disciplinary procedures provided in the safe harbor’s guidelines in lieu of formal FTC investigation and law enforcement. COPPA safe harbor programs are offered by Aristotle International, Inc., the Children’s Advertising Review Unit of the Council of Better Business Bureaus, ESRB Privacy Online, TRUSTe, and Privo, Inc."
(Source: FTC, News Release, July 1, 2013) 

Pour aller plus loin, voir notamment: 

1 juillet 2013

Suisse: rapport annuel du PFPDT et les 20 ans de la Loi fédérale sur la protection des données

Il y a vingt ans, entrait en vigueur la loi fédérale suisse sur la protection des données, laquelle "vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données" (art. 1) et "régit le traitement de données concernant des personnes physiques et morales effectué par: a) des personnes privées et b) des organes fédéraux" (art. 2).

À l'occasion de cet anniversaire, Hanspeter Thür, le Préposé fédéral à la protection des données et à la transparence (PFPDT), rappelle qu'au moment de l'adoption de la loi, 
"le Conseil fédéral parlait déjà de "quantités toujours plus importantes d'informations personnelles, lesquelles sont exploitées suivant des techniques toujours plus complexes" et voyait, dans ce phénomène, un risque croissant de violation de la personnalité". 
Cet anniversaire coïncide également avec la publication du 20° Rapport d'activités de l'autorité suisse qui revient sur certaines problématiques examinées au cours de l'année 2012-2013, notamment : 
  • la vidéosurveillance dans les vestiaires de centres de loisir; 
  • la lutte contre le dopage et la communication de données personnelles à l'étranger; 
  • les technologies biométriques; 
  • la mise au pilori sur Internet, c'est-à-dire que "les personne qui n'ont pas agi ou décidé dans le sens de l'auteur de la liste sont ainsi répertoriées sur internet et couvertes de reproches provocateurs" (Source: PFPDT, Rapport d'activités, p. 31)
  • Google Street View (billet);
  • le monitoring des réseaux sociaux par les entreprises, autorités et autres organisations afin de "savoir ce qui se dit d'elles dans les réseaux sociaux et [par le fait même] y réagir de manière adéquate" (Source: PFPDT, Rapport d'activités, p. 35)
  • l'utilisation d'outils d'analyses de l'audience Internet pour les organes de la Confédération; 
  • le dossier électronique du patient; 
  • l'implication de la vente de médicaments par correspondance sur la protection des données; 
  • les systèmes de surveillance et de contrôle sur le lieu de travail (billet); 
  • la gestion du compte de messagerie dans la vie professionnelle ou encore;
  • les programmes de fidélisation de la clientèle. 

Pour aller plus loin, voir notamment: