30 janvier 2014

CPVPC: vie privée et sécurité nationale (Rapport spécial au Parlement)

Le 28 janvier 2014, le Commissariat à la protection de la vie privée du Canada (CPVPC) a déposé un rapport spécial au Parlement intitulé Mesures de vérification et de contrôle : Renforcer la protection de la vie privée et la supervision des activités du secteur canadien du renseignement à l’ère de la cybersurveillance

Le CPVPC part du constat qu’« au cours des derniers mois, les préoccupations au sujet de la protection de la vie privée dans le contexte des activités liées à la sécurité nationale se sont intensifiées » [p. 1]. Il rappelle dès lors que « les organismes et les activités de renseignement sont régis par la Loi sur la protection des renseignements personnels » [p. 1], donc soumis à sa surveillance et ce même si « des organismes spécialisés ont été créés afin de surveiller la conformité aux lois dans le domaine des activités de renseignement au Canada et de procéder à l’examen de celles-ci, entre autres sous l’angle de la protection de la vie privée » [p. 1]

Ainsi, compte tenu de « l’incidence des changements politiques et sociétaux sur les activités liées au renseignement et à la protection de la vie privée » [p. 1], et du fait que « l’information de sources ouvertes comme celle que l’on retrouve sur les sites de réseautage social est balayé électroniquement et a le potentiel de devenir la principale source de renseignement » [p. 4], le rapport du CPVPC a pour objet d’interpeller le Parlement « afin de déterminer si le Canada dispose toujours de mesures de protection de la vie privée adéquates dans le contexte de la sécurité nationale » [p. 1]

Partant, le CPVPC insiste sur l’importance de « préserver la confiance du public » [p. 5]. À ce titre, il rappelle que « les arguments relatifs à la sécurité nationale ne réduisent en rien les obligations redditionnelles, et les organismes de sécurité doivent rendre compte aux Canadiens de l’usage qu’ils font des renseignements personnels » [p. 5]. Il reconnaît également qu’ « il y a des limites raisonnables à la communication intégrale et proactive de l’information sur toutes les opérations gouvernementales » [p. 5] et qu’il existe « des dispositions visant à protéger l’information [notamment en ce qui concerne les sources ou encore les échanges opérationnels très sensibles avec d’autres gouvernements et partenaires] dans la législation actuelle » [p. 5]

Le CPVPC met aussi de l’avant le fait que certains organismes de renseignement peuvent collaborer entre eux alors que la Loi sur la protection des renseignements personnels, pratiquement inchangée depuis 1982, « ne contient aucune disposition qui ne permette de mener des enquêtes ou des vérifications conjointes avec d’autres organismes semblables, même à une époque où le partage de renseignements a augmenté de façon importante » [p. 6]

Dans ces circonstances, le CPVPC formule une série de recommandations en se fondant notamment sur les modèles de supervision et d’examen mis en œuvre au Royaume-Uni et aux États-Unis, mais aussi sur les activités et les rapports du Comité de surveillance des activités de renseignement de sécurité (CSARS), du Bureau du commissaire du Centre de la sécurité des télécommunications (BCCST)et de la Commission des plaintes du public contre la GRC [p. 7-8]

Les recommandations sont au nombre de dix. Elles visent : 
- à renforcer les mécanismes d’examen et de présentation de rapports [p. 9-11], et notamment à: 
- exiger que le Centre de la sécurité des télécommunications Canada publie annuellement des statistiques sur les demandes provenant d’organismes fédéraux en vue de l’interception de communications et dépose au Parlement un rapport public non classifié; 
- élargir la portée des exigences en matière de présentation de rapports sur l’utilisation de la surveillance notamment en séparant les activités menées à la demande du gouvernement canadien et celles menées à la demande d’un gouvernement étranger ou encore les activités nécessitant ou non un mandat; 
- mettre à jour la documentation présentant le secteur du renseignement canadien. 
- à moderniser le régime de protection de la vie privée [p. 11-12], plus particulièrement en 
- réformant les lois sur la protection de la vie privée pour restreindre la collecte excessive et baliser la communication de renseignements personnels. Ainsi, 
« la Loi sur la protection des renseignements personnels […] devrait obliger les organisations à prouver la nécessité de la collecte des renseignements personnels et mieux protéger la vie privée lorsque cette information est communiquée à des gouvernements étrangers. Il faudrait aussi apporter des modifications afin d’élargir les motifs justifiant un examen par la Cour fédérale de manière à couvrir la collecte, l’utilisation et la communication des renseignements personnels par les institutions » 
(Source : CPVPC, Communiqué, 28 janvier 2014) 
- réglementant l’accès aux analyses et aux enquêtes réalisées au moyen de sources de renseignements personnels ouvertes accessibles au public. 
- à renforcer le cadre actuel de reddition de comptes [p. 12-13], c’est-à-dire : 
- accroître les pouvoir des organismes fédéraux chargés de l’examen des activités liées à la sécurité nationale; 
- clarifier et mettre à jour les autorisations législatives s’appliquant aux activités de renseignement, plus particulièrement la Loi sur la défense nationale
- renforcer la coordination et l’investissement à l’appui du rôle de supervision exercé par le Parlement, étant entendu que « les recommandations formulées ci-dessus n’empêchent pas d’élargir le rôle des Parlementaires [notamment] celui d’exiger une reddition de comptes au nom des Canadiennes et des Canadiens » [p. 13]
Le CPVPC termine en précisant que « la population canadienne fera confiance aux organismes de sécurité et de renseignement si elle sait que les ministères et organismes gouvernementaux maintiennent un équilibre entre la protection de la vie privée des citoyens et la sécurité nationales » [p. 14]

À suivre ...

Pour aller plus loin, 

28 janvier 2014

Journée de la protection des données

Le 28 janvier souligne la Journée de la protection des données

Initiée par le Conseil de l'Europe, il y a maintenant huit ans, cette journée est désormais soulignée internationalement. Elle vise à sensibiliser non seulement les citoyens, mais aussi les organismes publics et les entreprises à la protection des données personnelles, soit tout renseignement relatif à une personne physique et qui permet de l'identifier.

Pour plus de détails sur cette journée: 

25 janvier 2014

CPVPC: Google et la publicité ciblée

Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier un rapport d'enquête [2014-001] mettant l'accent sur les enjeux de la publicité comportementale en ligne (PCL). 

En effet, à la suite d'une plainte, le CPVPC a procédé à une analyse technique du service de publicité de Google: 
"le plaignant alléguait que, depuis qu'il avait fait des recherches en ligne sur des appareils médicaux permettant de traiter l'apnée du sommeil [en particulier sur un appareil de ventilation spontanée en pression positive continue (VSPPC) utilisé pendant le sommeil], divers sites Web affichant des annonces provenant du service AdSense de Google lui présentaient souvent des publicités pour des appareils de VSPPC" [par. 2] et ce sans son consentement.
Dans le cadre de son enquête, le CPVPC a effectué une recherche sur les VSPPC dans Google, a visité "les 20 à 40 premiers sites qui apparaissaient dans les résultats de recherche" [par. 10]. Il a "ensuite visité neuf sites différents (sites d'essais) qui n'avaient aucun lien avec les appareils de VSPPC ou l'apnée du sommeil (p. ex. sites de nouvelles, de météo ou de renseignements de référence). Ces sites affichaient les publicités de Google" [par. 11]. Et, "afin d'évaluer la persistance des publicités, les ordinateurs utilisés pour la réalisation des tests ont été redémarrés à maintes reprises pendant plusieurs jours, et les test reprenaient là où le Commissariat les avait laissé. Les publicités ont continué d'apparaître [...]" [par. 12]. 
Le CPVPC a également pris connaissance de la politique de confidentialité de Google qui indique notamment que "lorsque nous vous proposons des annonces personnalisées, nous n'associons aucun témoin ni identifiant anonyme à des données sensibles, comme la race, la religion, l'orientation sexuelle ou l'état de santé" [par. 25]

Aux termes de son enquête préliminaire, le CPVPC est d'avis que "la diffusion par Google de publicités qui suivent une personne au cours de ses activités en ligne constitue de la PCL" [par. 23] et "comme les publicités diffusées par Google dans le cas présent étaient sélectionnées en fonction d'un intérêt personnel lié à la santé, on peut dire que Google diffuse des annonces personnalisées liées à des données sensibles, en l'occurrence la santé. Nous estimons que cette pratique n'est pas en concordance avec la politique de confidentialité de Google, telle qu'elle est actuellement" [par. 26]. Partant, le CPVPC précise que "pour la collecte ou l'utilisation des renseignements personnels sensibles du plaignant sur son état de santé en vue de lui présenter des annonces personnalisées en fonction de son comportement en ligne, le consentement implicite n'est pas suffisant; il faut obtenir son consentement explicite. Comme Google n'a pas cherché à obtenir le consentement explicite dans les circonstances, nous croyons que, dans ce contexte, Google a dérogé aux principes 4.3  et 4.3.6 de la [de l'Annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques]" [par. 28 et 29].

Le CPVPC a fait parvenir son rapport d'enquête préliminaire à Google. Des discussions ont eu lieu notamment sur les différents services de publicités offerts par Google dont le marketing de relance; sur le fait que l'entreprise "exige de tous les annonceurs qui utilisent [ses plateformes] qu'ils se plient à certaines politiques interdisant toute forme de publicité axée sur les intérêts correspondant aux catégories sensibles, y compris l'utilisation de listes d'utilisateurs fondées sur des renseignements sur l'état de santé ou à caractère médical" [par. 36] ou encore sur la surveillance et la prévention de l'entreprise quant à "l'utilisation abusive de son système publicitaire" [par. 44]

À la suite de ces discussions, le CPVPC considère que "cet écosystème de publicité en ligne est complexe et semble difficile à régir étant donné que certains protagonistes sont malintentionnés et que la surveillance requise est d'une envergure démesurée (des milliards de publicités sont soumises à Google chaque année)" [par. 43]. Il est donc recommandé à Google de "concevoir un système plus officiel et plus rigoureux pour examiner les publicités et pour intervenir en cas de non-conformité" [par. 46]

Google s'étant engagé à prendre des mesures correctives d'ici juin 2014. Le CPVPC considère donc que "la plainte est fondée et conditionnellement résolue" [par. 48]
"Google s'est engagé à: 
- fournir davantage de renseignements aux annonceurs qui créent des campagnes de marketing de relance; 
- accroître ses efforts de surveillance des campagnes de marketing de relance afin de repérer toute atteinte potentielle à sa politique; 
- offrir une formation plus approfondie à son personnel sur la suite à donner aux atteintes potentielles à sa politique; et
- mettre à niveau son système d'examen automatisé"
(Source: CPVPC, Rapport 2014-001, par. 47 et Communiqué du 15 janvier 2014)
À suivre donc ...

Pour aller plus loin,

18 janvier 2014

Alberta: lettre de la commissaire Clayton suite à la déclaration d'invalidité de la Personnal Information Protection Act

Suite à la décision de la Cour suprême du Canada de déclarer la Personal Information Protection Act (PIPA) et son règlement d'application invalides (billet), la commissaire de l'Alberta, Jill Clayton, a fait parvenir une lettre aux ministres Denis et Griffits dans laquelle elle indique: 
"In my view, the legislative response that would most directly address the constitutional problem the Court stated would be to add authorizing provisions allowing the collection, use or disclosure of personal information by unions for expressive purposes without consent, in the context of picketing during a lawful strike
Other legislative options are available that would protect expressive activities of unions. For example, a somewhat broader exception could be enacted for expression by unions engaged in legitimate labour relations activities. However, this would go beyond the constitutional question stated by the Court. Even more broadly, union expression in the course of labour relations activities could be added to the exemption provisions that specify certain activities to which the Act does not apply. Finally, unions could conceivably be excluded from the Act altogether. However, in my view, neither of these latter mechanisms would permit the appropriate “balancing” called for by the Court. The result would be that expressive activities by unions that caused disproportionate harms, or were otherwise clearly unreasonable relative to the union’s purposes, could not be enjoined. As stated in its decision, the Court’s conclusion did not mean that it necessarily condoned all of the Union’s expressive activities [para. 38]. 
Further, these alternate solutions would remove the protections in PIPA that ensure that personal information that is collected for a union’s expressive labour relations purposes be appropriately secured, or destroyed when no longer needed. It would also remove the ability of individuals to request access to their own personal information collected by unions for such purposes. The legislative response 
I have proposed would strike the appropriate balance between a union’s freedom of expression during the course of a lawful strike and an individual’s informational privacy. PIPA already contains provisions which authorize collecting, using and disclosing personal information necessary to comply with a collective agreement (sections 14(c.1), 17(c.1) and 20(c.1)), so an amendment addressing an aspect of labour relations activities that can be relied on by unions is not without precedent." 
À suivre ... 

Pour aller plus loin,

15 janvier 2014

Google: recours en annulation et en référé devant le Conseil d'État contre la décision de la CNIL (politique de confidentialité)

On peut lire dans la presse que Google a saisi le Conseil d'état, soit le plus haut tribunal de l'ordre administratif français, afin d'annuler la décision 2013-420 de la Commission nationale de l'informatique et des libertés relative à la politique de confidentialité de l'entreprise entrée en vigueur le 1er mars 2012 (billet). 

Par cette décision, la CNIL prononce 
"à l'encontre de la société Google Inc. une sanction pécuniaire de 150 000 € (cent cinquante mille euros)" 
et ordonne à la société de 
"publier à sa charge sur son service de communication au public en ligne accessible à l'adresse https://www.google.fr, le texte suivant: 
"Communiqué: la formation restreinte de la Commission nationale de l'informatique et des libertés a condamné la société Google a 150 000 euros d'amende pour manquements aux règles de protection des données personnelles consacrées par la loi "informatique et libertés". Décision accessible à l'adresse suivante: http://www.cnil.fr/linstitution/missions/sanctionner/Google/"."
(Source: Décision 2013-420, p. 28)
On apprend également que le recours de Google s'accompagne d'un référé-suspension qui 
"permet d’obtenir la suspension de l’exécution d’une décision administrative (par exemple un permis de construire, un refus de titre de séjour…). La mesure de suspension prononcée par le juge des référés est provisoire. Elle cesse de produire son effet dès que le juge s’est prononcé sur la demande d’annulation. Le juge des référés se prononce dans un délai variant de 48 heures à un mois ou plus en fonction de l’urgence."
À suivre donc ...

Pour aller plus loin, 

11 janvier 2014

CNIL: amende de 150 000 euros à l'encontre de Google en ce qui concerne sa politique de confidentialité

[Publié le 11/01/2014 - Modifié le 13/01/2014] 

À l'instar des autorités néerlandaise et espagnole (billet), la Commission nationale de l'informatique et des libertés (CNIL) vient de prononcer une sanction pécuniaire à l'encontre de la société Google pour contravention à la Loi Informatique et Libertés en ce qui concerne la politique de confidentialité de l'entreprise entrée en vigueur le 1er mars 2012. 

Google n'ayant pas donné suite à la mise en demeure qui lui avait été notifiée au mois de juin 2013 (billet), la CNIL a alors désigné un rapporteur aux fins d'engager une procédure formelle de sanction en septembre 2013 (billet)
Et c'est "au vu du rapport et des éléments de l'instruction, des écritures de la société et des observations orales ayant été formulées à l'audience [tenue le 19 décembre 2013 que] la formation restreinte a adopté [la délibération n°2013-420 prononçant une sanction pécuniaire à l'encontre de Google]" le 3 janvier 2014. (Source: CNIL, Délibération n°2013-420, p. 4)

Considérant que la politique de confidentialité ne répondait pas aux exigences de la Loi Informatique et libertés en matière 
- d'information préalable: art. 32-I Loi. [complément ajouté le 13/01] Sur ce point, la CNIL considère que: 
"la validité du choix de la société quant à la fourniture d'une information par "strate", c'est-à-dire dans un texte global auquel sont rattachées des informations supplémentaires, plus détaillées, délivrées sur des supports tiers, n'est pas contestable. 
Cependant (...) la délivrance de cette information par "strate" doit dissocier deux niveaux d'information: d'une part, les informations de premier niveau, qui sont les plus importantes à connaître pour les personnes; d'autre part, des informations qui ne présentent vraisemblablement d'intérêt qu'en seconde intention. Ces informations doivent être formulées en un langage simple, direct et sans ambiguïté. 
Parmi les informations essentielles de premier niveau figurent, outre l'identité du responsable de traitement, les finalités du traitement et toute information supplémentaire nécessaire afin de garantir un traitement loyal de l'information vis-à-vis des personnes concernées. (...) 
La précision et la clarté de l'information communiquée aux personne concernées sont essentielles pour leur permettre de comprendre les conditions dans lesquelles leurs données sont collectées et traitées, ainsi que, le cas échéant, d'exercer effectivement les droits qui leur sont reconnus par la loi: droit d'opposition (article 38), droit d'accès (article 39), droit de rectification ou d'effacement (article 40) (...). 
[En l'espèce, l'information de premier niveau est générale et] ne permet pas à l'utilisateur, authentifié ou non, de prendre conscience des finalités réelles, et par conséquent de l'ampleur de la collecte des données le concernant. Par conséquent, elle ne lui permet pas davantage de mesurer l'intérêt que peut revêtir, pour lui, tant la recherche d'informations complémentaires quant à la manière dont ses données sont traitées et/ou combinées que l'exercice de ses droits, afin de maîtriser l'usage de ses données. 
Ainsi, faute de définir des finalités déterminées et explicites pour l'ensemble des traitements qu'elle met en œuvre au sens de l'article 6-1°, la société ne respecte pas l'obligation qui lui incombe d'informer ses utilisateurs des finalités des traitements opérés sur leurs données.
En outre, au delà de ce déficit substantiel de l'information de "premier niveau", il s'avère difficile pour l'utilisateur de comprendre l'utilisation qui sera faite de ses données dans le cadre d'un service précis et d'ajuster ses choix en conséquence. 
Au contraire, pour parvenir jusqu'à ce niveau d'information, l'utilisateur devra consulter des rubriques diverses, dont les intitulés ne permettent pas une navigation fluide. (...) 
La société ne s'est donc pas conformée aux termes de la mise en demeure sur ce point."
(Source: Délibération n°2013-420, pp. 12-15) 
- de consentement, notamment en ce qui concerne le dépôt et la lecture de cookies: art. 32-II Loi et Délibération n°2013-420, pp. 15-20
- de durée de conservation: art. 6-5°) Loi et Délibération n°2013-420, pp. 20-22 
- de combinaison des données: art. 7 Loi et Délibération n°2013-420, pp. 22-27, 
la formation restreinte de la CNIL a, conformément à l'art. 45-I de la Loi, prononcé 
"à l'encontre de la société Google Inc. une sanction pécuniaire de 150 000 (cent cinquante mille euros).
Elle décide également de rendre cette décision publique sur le site de la CNIL. 
Elle ordonne par ailleurs à la société de publier à sa charge sur son service de communication au public en ligne accessible à l'adresse https://www.google.fr, le texte suivant: 
"Communiqué: la formation restreinte de la Commission nationale de l'informatique et des libertés a condamné la société Google a 150 000 euros d'amende pour manquements aux règles de protection des données personnelles consacrées par la loi "informatique et libertés". Décision accessible à l'adresse suivante: http://www.cnil.fr/linstitution/missions/sanctionner/Google/"."
(Source: CNIL, Délibération n°2013-420, p. 28)
Il est à noter que Google a deux mois pour contester la décision de la CNIL. 

À suivre donc ...  

Pour aller plus loin, voir notamment: