28 août 2013

Europe: procédure de notification en cas de violation de données à caractère personnel

Afin d'harmoniser les procédures relatives à la notification d'une violation de données à caractère personnel, la Commission européenne a adopté le 24 juin 2013 le Règlement n°611/2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques

Ce règlement est entré en vigueur du 25 août 2013.

Ainsi, un fournisseur de services de communications électroniques accessibles au public doit notifier "toutes les violations de données à caractère personnel à l'autorité nationale compétente" (Règlement 611/2013, art. 2 par. 1)
Cette notification doit être faite "au plus tard vingt-quatre heures après le constat de la violation, si possible" (Règlement 611/2013, art. 2 par. 2) et, elle doit comprendre les informations prescrites à l'Annexe 1 du Règlement. 
Si les informations prévues à cette annexe "ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie", le fournisseur doit dans un premier temps transmettre une notification initiale et par la suite fournir "une seconde notification à l'autorité nationale compétente le plus rapidement possible et au plus tard trois jours après la notification initiale" (Règlement 611/2013, art. 2 par. 3 al. 1). 

23 août 2013

Europe: demande d'éclaircissements sur le programme Prism

Le 13 août dernier, le Groupe de l'article 29 a fait parvenir une lettre à la vice-présidente de la Commission européenne, Mme Viviane Reding, afin d'obtenir "des éclaircissements sur la nature exacte des informations collectées [dans le cadre du programme PRISM] en vertu des législations américaines, sur les conditions dans lesquelles les autorités américaines peuvent y accéder, le type de contrôle exercé aux États-Unis sur ces procédures et sur les voies de recours dont peuvent disposer les citoyens européens. Ces éléments sont en effet nécessaires afin d'apprécier dans quelle mesure les législations américaines sont ou non en accord avec le droit international et européen, en matière de protection de la vie privée et des données personnelles". (Source: CNIL, Article du 19 août 2013)

À suivre donc ...

Pour aller plus loin, 

15 août 2013

GPEN: résultats de l'action commune visant les politiques de confidentialité

En mai dernier, plusieurs autorités de protection des renseignements personnels, membres du Global Privacy Enforcement Network (GPEN), ont participé à une action commune visant les politiques de confidentialité (billet). 

Cette opération visait à "apprécier la qualité de l'information délivrée aux personnes quant aux conditions de traitement de leurs données personnelles" (Source: CNIL, 13 août 2013), elle "ne constituait pas une enquête, et [elle] ne visait pas non plus à relever de façon concluante les problèmes liés à la conformité ou les infractions aux lois. Les participants au ratissage cherchaient plutôt à reproduire l'expérience vécue par les consommateurs en naviguant quelques minutes sur chaque site et en vérifiant la conformité du site en fonction d'un ensemble d'indicateurs communs" (CPVPC, Communiqué du 13 août 2013). C'est dans cette optique que 2180 sites Internet ou application mobiles ont fait l'objet de ce ratissage international d'internet ou Internet Sweep day. 

1 août 2013

La CNIL et l'auto-mesure de soi (ou "quantified self")

La Commission nationale de l'informatique et des libertés (CNIL) vient de publier la cinquième lettre "Innovation et Prospective" (Lettre IP) qui met l'accent sur le quantified self ou l'auto-mesure de soi via des applications qui permettent notamment
  • d'analyser des données concernant "la nutrition (régime alimentaire, compteur de calories, suivi du poids), l'exercice physique, la surveillance d'un facteur à risque et la qualité du sommeil" (Lettre IP, p. 2)
  • de "surveiller à distance les patients hors des lieux de soins traditionnels" (Lettre IP, p. 2)
  • "d'améliorer son niveau de bien-être en se fixant des objectifs où la dynamique communautaire en ligne est mobilisée comme une source de motivation (au travers du partage des données, des objectifs, des efforts ...)" (Lettre IP, p. 2)
étant entendu que "le dénominateur commun [de ces applications est] que ce qui est mesuré est relié au mode de vie" (Lettre IP, p. 2).

Dès lors, la CNIL précise qu'en ce qui concerne les applications visant le bien-être ou la santé, 
" les enjeux en termes de protection des données sont différents selon que les initiatives proviennent de/ou sont encadrées par les acteurs "traditionnels" du monde de la santé [...] ou décidées par les individus eux-mêmes. Dans le premier cas, le déploiement de solutions ou dispositifs nouveaux est encadré et a vocation à s'insérer par exemple dans les procédures d'agrément existantes (des matériels médicaux, des hébergeurs de données de santé ...). Les domaines de vigilance concernent alors la sécurité, l'effectivité des droits des patients ... 
Dans le deuxième cas de figure, plusieurs séries de questions se posent: - Le statut des données: une caractéristique essentielle des pratiques de quantification est qu’elles produisent des données qui se situent sur une frontière floue entre le bien-être et la santé. 
Or, les données de santé – traditionnellement considérées comme sensibles – font l’objet d'une réglementation renforcée. Quid des données de bien-être? Ces données sont aussi susceptibles de révéler la vie intime, y compris pour les moins sensibles d’entre elles a priori: elles peuvent par exemple renseigner sur les heures de lever et de coucher (suivi de sommeil), sur les lieux fréquentés (géolocalisation des activités sportives), voire estimer un risque cardio-vasculaire (données liées au poids). 
- La centralisation de ces données: où sont-elles hébergées? Comment sont-elles sécurisées? Sont-elles cédées? Ces questions sont d’autant plus importantes que les utilisateurs peuvent avoir l’impression d’établir un rapport direct avec leurs données puisqu’ils en sont à l’origine. Or, la relation entre les utilisateurs et leurs données se fait par l'intermédiaire de l’entreprise qui produit le capteur ou édite l’application. Les données transitent d’abord par ses serveurs avant d’être visualisables et exploitables par l’utilisateur. Faut-il imaginer un nouveau cadre de régulation ? 
- Enfin, des interrogations éthiques apparaissent quant au caractère normatif de la pratique de l’auto-mesure. Le quantified self pourrait-il demain s'imposer à chacun comme certaines pratiques d’assureurs américains semblent le présager? À l’avenir, va-t-il devenir suspect de ne pas s’auto-mesurer?" 
(Source: Lettre IP, p. 3)
Comme le souligne la CNIL, "cette 5° lettre IP est l'occasion de dresser un premier état des lieux. D'autres publications suivront. Ces premiers travaux confirment que la quantification de soi semble bien correspondre à un mouvement citoyen de fond de contrôle de ses données mais qu'en ce domaine aussi, la donnée personnelle est au coeur de ces nouveaux modèles d'affaires" (Lettre IP, p. 1).

À suivre donc ...