Avertissement
À partir du 1er décembre 2014, ce blogue ne sera plus mis à jour.
Cynthia Chassigneux

16 novembre 2014

CNIL: données personnelles et mort numérique

Si vous vous intéressez aux enjeux inhérents à la protection des données personnelles après la mort, la Commission nationale de l'informatique et des libertés vient de publier les documents suivants: 

30 octobre 2014

Canada: déclaration sur les mesures de sécurité nationale et l'application des lois

Lors de l'assemblée annuelle des autorités fédérales, provinciales et territoriales qui s'est tenue à Ottawa (Ontario), les commissaires et ombudsmans ont adopté, le 29 octobre 2014, une déclaration relative aux mesures de sécurité nationale et à l'application des lois qui se lit comme suit: 
« Nous joignons notre voix à celle de milliers de Canadiens pour exprimer nos condoléances aux familles et aux amis éprouvés par le décès de ceux dont le devoir était de défendre nos droits et libertés.
Les jours, les semaines et les mois à venir seront cruciaux pour déterminer la ligne de conduite à adopter afin de s’assurer non seulement que le Canada demeure un pays sécuritaire, mais aussi que nos droits fondamentaux sont respectés. Des modifications législatives envisagées pourraient modifier les pouvoirs dévolus aux organismes de renseignement et d’application de la loi.
Nous reconnaissons que la sécurité est essentielle au maintien des droits démocratiques. Parallèlement, la réaction à ces événements doit être posée et proportionnelle, et conçue de manière à préserver nos valeurs démocratiques fondamentales.
À cette fin, les commissaires canadiens à l’information et à la protection de la vie privée exhortent le gouvernement fédéral :
- À adopter une démarche fondée sur des données factuelles quant au besoin de nouvelles mesures législatives qui accorderaient des pouvoirs supplémentaires aux organismes de renseignement et à ceux chargés de l’application de la loi;
- À engager un dialogue ouvert et transparent avec les Canadiens quant au besoin de nouvelles mesures, et, le cas échéant, quant à leur nature, leur portée et leur impact sur les droits et libertés;
- À s’assurer que toute loi accordant des pouvoirs additionnels à des organismes de renseignement ou chargés de l’application des lois soit assortie de mesures de contrôle efficaces.
Les Canadiens sont en droit de s’attendre à ce que leurs droits à la vie privée et à l’accès à l’information soient respectés au même titre que leur sécurité. Nous devons maintenir ces droits fondamentaux qui sont au coeur de la démocratie canadienne. »
(Source: Commission d'accès à l'information du Québec, la déclaration est également accessible sur les sites des commissaires et ombudsmans à l'information et à la protection des renseignements personnels)
 

27 octobre 2014

Maurice: résolutions adoptées lors de la 36° conférence internationale des commissaires à la protection des données et de la vie privée

Du 13 au 16 octobre 2014, les commissaires à la protection des données et de la vie privée se sont réunis à l'Ile Maurice pour la 36° Conférence internationale

Les résolutions adoptées par les commissaires portent notamment sur les big data, sur une entente mondiale de coopération transfrontière dans l'application des lois ou sur la vie privée à l'ère numérique. Ces résolutions sont accessibles sur le site de la Conférence.

12 octobre 2014

Google et le droit à l'oubli

En mai 2104, la Cour de justice de l'Union européenne (CJUE) a reconnu dans Google Spain SL et Google Inc c. Agencia Espanola de Proteccion de Datos (AEPD) et M. Costeja Gonzalez que "l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite". (Billet)

Depuis cette décision, les internautes européens peuvent demander que les informations les concernant apparaissant dans les résultats d'un moteur de recherche soient effacées. Pour ce faire, les internautes peuvent s'adresser soit directement au site d'origine, soit aux moteurs de recherche. 
Dans son rapport Demandes de suppression de contenus liés à la vie privée dans les résultats de recherche dans l'Union européenne, publié le 10 octobre 2014, Google mentionne avoir reçu un total de 146 357 demandes ayant conduit à l'examen de 498 737 URL et à la suppression de 41,8% de ceux-ci. Ce rapport précise également le nombre de demandes par pays, des exemples de demandes et les sites les plus affectés par ces demandes. 
Si la décision de la CJUE vise les internautes européens, il convient de mentionner qu'"un tribunal japonais a condamné [...] Google à supprimer des informations associant le nom du plaignant à un crime qu'il n'a pas commis" comme le rapporte un article publié dans La Presse. 
Toutefois, dans un autre article publié dans Droit & Nouvelles Technologies, il est précisé que "le droit à l'oubli, c'est pas automatique !" comme l'illustre un jugement néerlandais du 18 septembre 2014. 

À suivre donc ...

21 septembre 2014

Québec: la CAI, les entreprises et la protection des renseignements personnels

La Commission d'accès à l'information (CAI) du Québec vient de publier une affiche intitulée Votre entreprise et les renseignements personnels: les bonnes questions à se poser !

Cette affiche vise à fournir "les réponses aux 10 questions que toute personne qui exploite une entreprise doit se poser pour satisfaire aux exigences de la [Loi sur la protection des renseignements personnels dans le secteur privé]. On y traite notamment de l’information qu’il convient de donner aux personnes concernées au moment de constituer un dossier sur elles, de l’utilisation qui peut être faite des renseignements personnels ou encore des précautions à prendre lors du partage et de la conservation de ces renseignements personnels". [Source: CAI, Nouvelles récentes, 10/09/2014]

(Source: Commission d'accès à l'information du Québec)

13 septembre 2014

GPEN: résultats de l'action commune visant les politiques de confidentialité (2014)

[Publié le 13/09/2014 - Mis à jour le 16/09/2014]

En mai dernier, plusieurs autorités de protection des données personnelles ont participé à la deuxième édition du ratissage d'internet visant à examiner les politiques de confidentialité de plusieurs applications mobiles. 

Plusieurs autorités participantes viennent de publier leurs résultats: 
Rappelons que ce ratissage est une initiative du Global Privacy Enforcement Network (GPEN) qui "a pour objet d’inciter les organisations à se conformer aux lois en matière de protection de la vie privée et à accroître la collaboration entre les autorités chargées de l’application de ces lois. Ce n’était pas une enquête et elle ne visait pas non plus à cerner de façon concluante des problèmes de conformité ou des infractions à la loi. Les préoccupations soulevées lors du ratissage donneront lieu à des mesures de suivi, comme une sensibilisation des organisations, une analyse approfondie des dispositions de protection des renseignements personnels associées aux applications et des mesures d’exécution de la loi" (Source: CPVPC, Communiqué du 10/09/2014).

6 septembre 2014

CPVPC, Apple et la publicité ciblée

Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier son rapport d'enquête sur l'utilisation par Apple d'identifiant unique d'appareil (UDID) à des fins de publicités ciblées. 

Même si le CPVPC conclut que la plainte est résolue car Apple a modifié ses pratiques durant l'enquête (par. 50 et 57), le CPVPC rappelle néanmoins que: 
  • "des renseignements qui, à eux seuls, peuvent ne pas être considérés comme personnels peuvent être considérés comme personnels lorsqu'une organisation a la capacité d'établir un lien entre ces renseignements et un individu identifiable" (par. 34). Dès lors même si les identifiants utilisés par Apple, "en eux-même et indépendamment de tout autre renseignement disponible, ne permettent pas nécessairement d'identifier un individu, [Apple a néanmoins] la capacité de faire le rapprochement entre ces identifiants et des individus [notamment "en cas de fraude, aux fins du soutien à la clientèle ou pour se conformer à un ordre de la Cour" (par. 11)]" (par. 35). Par conséquent, "étant donné qu'Apple peut associer ses [identifiants] à des détenteurs de comptes personnels Apple, [le CPVPC] est d'avis que les identifiants [utilisés par Apple] constituent des renseignements personnels au sens de la [Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDÉ]" (par. 35);
  • en vertu de la LPRPDÉ, le consentement peut prendre une forme différente en fonction "de la nature et de la sensibilité des renseignements et des attentes raisonnables de l'individu" (par. 36) tout en précisant que les avis expliquant les raisons de la collecte et les utilisations qui seront faites des renseignements personnels doivent être "suffisamment clair[s] et compréhensible[s] pour servir de fondement à un consentement valable des utilisateurs à l'utilisation [des identifiants] aux fins de la publicité comportementale en ligne" (par. 40). Comme Apple a modifié ses pratiques en cours d'enquête, le CPVPC considère que les avis sont suffisants (par. 40);
  • Apple, comme elle "contrôle le fonctionnement de son système d'exploitation iOS, puisque c'est elle qui l'a conçu" (par. 43) doit "s'assurer que l'utilisateur donne un consentement valable à la communication de [ses] renseignements personnels" (par. 44) aux développeurs d'applications. Comme les pratiques d'Apple ont été modifiés en cours d'enquête (i.e. réglage de l'appareil et Apple ne donne plus accès aux identifiants en cause aux développeurs d'application depuis le 1er mai 2013), le CPVPC considère que le consentement est "valable à ce qu'Apple communique [l'identifiant] à des développeurs d'applications à des fins publicitaires" (par. 47).

Pour aller plus loin, 

24 août 2014

CPVPC: rapport annuel 2013 (transparence et confiance)

Le Commissariat à la protection de la vie privée du Canada (CPVPC) vient de publier son rapport annuel 2013 portant sur la mise en œuvre de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ). 

Dans ce rapport, le CPVPC insiste sur "la nécessité de tenir un débat constructif sur une transparence et une responsabilisation accrue de la part de tous les intervenants" (p. 2) pour faire face, non seulement, aux défis "liés aux nouvelles technologies et aux technologies naissantes, par exemple les logiciels de reconnaissance facile, les accessoires intelligents, l'infonuagique, la publicité comportementale en ligne, les téléphones intelligents toujours allumés, la technologie géospatiale, l'analytique avancées, les véhicules aériens sans pilote (ou drones) et le profilage génétique" (p. 2), mais aussi, au fait que "de plus en plus, on constate que les renseignements personnels recueillis à l'origine par le secteur privé peuvent également se retrouver entre les mains d'organismes du secteur public chargées de l'application de la loi et de la sécurité nationale" (p. 2)

Plusieurs éléments illustrent le fait que "la transparence [est] essentielle pour obtenir la confiance des consommateurs en ligne" (p. 23), dont notamment le fait que les entreprises doivent adopter des politiques de confidentialité qui "doivent être affichées bien en évidence et être accessibles, claires et utiles" (p. 24 + résultat ratissage d'Internet mené avec le GPEN (p. 25 et s.) (billet) + mon guide)

Cet effort de transparence "responsabilise davantage l'entreprise à l'égard de ses clients" étant entendu que "les clients commenceront aussi à favoriser les entreprises auxquelles ils ont le plus confiance" et "si les gens ne sont pas convaincus que leurs renseignements personnels sont protégés et respectés comme il se doit, ils transporteront tout simplement leurs pénates dans une autre entreprise du vaste univers en ligne" (p. 29 + un de mes articles).

Par ailleurs, le CPVPC revient sur différentes actions menées en 2013, par exemple les enquêtes auprès de Google (p. 12) et d'Apple (p. 14 et 24); les publications mettant en lumière les enjeux inhérents à la reconnaissance faciale, aux accessoires intelligents, aux adresses IP (p. 10 et s.); les collaborations avec différents partenaires (p. 15 et s.).

Et, le CPVPC rappelle aussi l'importance de moderniser la LPRPDÉ afin que celle-ci contienne "des mesures incitatives propres à encourager les organisations à se conformer à la loi. Par exemple, de telles mesures encourageraient plus d'organisation à intégrer d'emblée des protections de la vie privée dans leurs produits et services, au lieu d'attendre que des problèmes se manifestent plus tard, soit une fois ces produits et services sur le marché. Des exigences plus rigoureuses en matière de reddition de comptes et de transparence, appuyés par un régime adéquat d'application de la loi, feraient en sorte que les renseignements personnels des Canadiennes et des Canadiens soient dûment protégés dans l'environnement mondialisé d'aujourd'hui. [Et faire en sorte de] rendre obligatoire le signalement des atteintes à la sécurité des données [et doter les] autorités chargées de protéger la vie privée, les outils de gouvernance, les ressources et l'expertise technique dont elles ont besoin pour exercer leurs pouvoirs avec efficacité" (p. 21 et s.).


Pour plus de détails: 

10 août 2014

Max Schrems, Facebook et la protection des renseignements personnels

Max Schrems, cet étudiant autrichien qui avait saisi le Data Protection Commissioner d'Irlande relativement aux pratiques de Facebook après avoir eu accès aux données que le réseau social avait archivé alors qu'il croyait les avoir supprimées, "a décidé de porter plainte [contre Facebook], vendredi 1er août [2014], devant la cour de commerce de Vienne et a demandé à toutes les personnes majeures de se joindre à lui pour donner plus de poids à son action" (Source: Le Monde, 8 août 2014).

À suivre donc ...

Pour aller plus loin: 
et voir aussi les différents billets publiés sur ce blog sur l'action de Max Schrems devant l'autorité de protection irlandaise: Facebook et la mémoire (6)(5)(4)(3)(2)(1).

20 juillet 2014

Les accessoires intelligents en question

Si vous vous intéressez aux enjeux inhérents aux accessoires intelligents, 
soit "un ordinateur miniature que l'on porte sur soi ou un capteur que l'on fixe sur ou sous un vêtement ou qui y est intégré"
et que l'on peut diviser de la façon suivante: "applications en lien avec la condition physique, le bien-être et le suivi vital (p. ex. vêtement intelligent, lunettes de sport intelligentes, moniteur d'activité ou capteur de sommeil) susceptibles de plaire à des consommateurs qui ont tendance à suivre de près de nombreux aspects de leur vie; - applications d'infoloisirs (p. ex. montre intelligente, casque de réalité virtuelle ou lunettes intelligentes); applications sanitaires et médicales (p. ex. glucomètre permanent ou ensemble timbre et biocapteur); applications industrielles, policières et militaires (p. ex. terminal à porter sur la main, caméra à porter sur soi, casque de réalité virtuelle)".
(Source: CPVPC, Les accessoires intelligents, p. 2)
voir l'étude publiée par le Commissariat à la protection de la vie privée du Canada (CPVPC) intitulée Les accessoires intelligents: Défis et possibilités pour la protection de la vie privée ou encore l'article de Damien Leloup faisant état de "[sa] semaine avec des GoogleGlass" (Le Monde, 19 juillet 2014).

18 juillet 2014

CNIL: le BYOD en question

Si vous vous intéressez aux enjeux inhérents au Bring Your Own Device (BYOD), voir la dernière Lettre Innovation et Prospective de la Commission nationale de l'informatique et des libertés (CNIL) dans laquelle est notamment envisagé "le brouillage des frontières entre vie personnelle et vie professionnelle", "la différence de temporalité entre les marchés sur lesquels se fournissent les individus et les processus d'achat au sein des organisations", "des solutions mobilisées par les organisations pour gérer le BYOD" ou encore "l'équilibre [à trouver] entre protection des données des salariés et de l'entreprise dans le BYOD". 

28 juin 2014

Europe: avis du G29 sur la Loi québécoise sur la protection des renseignements personnels dans le secteur privé


Même si les dispositions de la loi québécoise renferment les principes énoncés par la Directive 95/46/CE, le G29 est d'avis qu’avant de pouvoir se prononcer sur l’adéquation de cette loi il convient de clarifier la question inhérente au partage des compétences entre le gouvernement fédéral et le Québec.
"Firstly, the Working Party stresses that the territorial scope of the Quebec Act in relation to the PIPEDA should be clearly defined before any decision on its adequacy is taken by the European Commission". 
(Source: Avis 7/2014, p. 17, voir également p. 4-5)
Le G29 considère également que la loi québécoise devrait entre autres  : 

- préciser la notion de responsable de la protection des renseignements personnels. 
Il est à noter que la Commission d'accès à l'information (CAI) du Québec, soit l'autorité chargée de surveiller l'application de cette loi, a fait une recommandation en ce sens dans son Rapport quinquennal de 2011 et qui se lit comme suit: 
"La Commission recommande que la Loi sur la protection des renseignements personnels dans le secteur privé prévoit la création de la fonction de responsable de l'accès et de la protection des renseignements personnels"
(Source: CAI, Rapport quinquennal 2011, p. 47) 
- préciser la notion de renseignements sensibles afin que la sensibilité des données ne soit pas seulement considérée au regard des mesures de sécurité qu’une entreprise doit mettre en œuvre. 
"Fourthly, the Working Party considers necessary any initiative, such as a legislation change or a Court ruling, offering a clear definition of the notion of “sensitive information”. In addition, the Working Party would welcome the systematic use of a highest level of protection when sensitive data is processed and encouraged the Quebec authorities and the CAI to work towards this goal. This higher level of protection should not be limited to security measures and could include adequate safeguards, such as the requirement of the explicit consent of the data subject for the processing". 
(Source: Avis 7/2014, p. 17, voir également p. 10)
- préciser les mécanismes permettant de s’assurer que la communication à l’extérieur du Québec des renseignements personnels répond aux exigences de la loi québécoise, en rendant par exemple obligatoire la conclusion d’un contrat entre les deux entités.
"Fifthly, the Working Party considers that the onward transfer principle needs to be clarified in Quebec’s law. In fact, any onward transfer should require the use of contractual or other binding provisions in order to provide a comparable level of protection with the protection awarded by EU law. A comparable level of protection refers to all data protection principles, and is not limited to the purposes of processing and the requirement of consent for further communication of the personal data. Consent should not be promoted as the general legal basis for onward transfers as the recipient then does not commit to take any action to ensure an adequate level of protection; this situation should thus remain an exception.
Sixthly, the Working Party would welcome the addition of a transfers section on the CAI Website which could provide more details concerning rules and practices for transfers and onward transfers outside Quebec".
(Source: Avis 7/2014, p. 17, voir également p. 9)
À suivre donc ...

Pour aller plus loin: 

18 juin 2014

Canada (CSC): anonymat et Internet

Le 13 juin dernier, dans l'arrêt R. c. Spencer (2014 CSC 43) la Cour Suprême du Canada (CSC) s'est prononcée sur une affaire dans laquelle la police, après avoir découvert, "l'adresse de protocole Internet (adresse IP) de l'ordinateur qu'une personne avait utilisé pour accéder à de la pornographie juvénile et pour la stocker à l'aide d'un programme de partage de fichiers, [...] a obtenu auprès du fournisseur de services Internet (FSI), sans autorisation judiciaire préalable, les renseignements relatifs à l'abonné à qui appartenait cette adresse IP" [par. 2].

Avant de présenter certains éléments d'analyse de la CSC, il convient de mentionner que même si elle considère que l'obtention de ces renseignements constitue une fouille [par. 6-67] abusive [par. 68-74], au regard de l'article 8 de la Charte canadienne des droits et des libertés, la CSC est d'avis que la preuve ainsi obtenu ne doit pas pour autant être écartée:
"Les infractions reprochées en l'espèce sont graves et sont punissables de peines minimales d'emprisonnement. La société a un intérêt manifeste à la fois à ce que l'affaire soit jugée et à ce que le fonctionnement du système de justice demeure irréprochable au regard des individus accusé de ces infractions graves. [...]
[J]'estime que c'est l'exclusion de la preuve, et non son admission, qui serait susceptible de déconsidérer l'administration de la justice et je suis d'avis de confirmer l'admission de cette preuve" [par. 80 et 81].
Dans cet arrêt, il convient notamment de souligner que la CSC rappelle que: 
- il existe "trois grandes catégories de droits en matière de vie privée, qui regroupent notamment les aspects qui ont trait aux lieux, à la personne et à l'information, et qui, malgré leur chevauchement fréquent, ont permis de préciser la nature des droits en matière de vie privée en jeu dans des situations particulières" [par. 35];
- le droit à la vie privée en ce qui a trait aux renseignements personnels "englobe au moins trois facettes qui se chevauchent, mais qui se distinguent sur le plan conceptuel. Il s'agit de la confidentialité, du contrôle et de l'anonymat" [par. 38]. "Le caractère privé des renseignements personnels est souvent assimilé à la confidentialité" [par. 39]. "Or, le droit à la vie privée comprend également la notion complexe, mais plus large, de contrôle sur l'accès à l'information et sur l'utilisation des renseignements" [par. 40]. "Il existe aussi une troisième conception de l'aspect informationnel du droit à la vie privée qui revêt une importance particulière dans le contexte de l'utilisation d'Internet. Il s'agit de l'anonymat" [par. 41].

Sur cette question de l'anonymat, la CSC indique que "le simple fait qu'une personne quitte l'intimité de sa résidence et pénètre dans un lieu public ne signifie pas qu'elle renonce à tous ses droits en matière de vie privée, même si, en pratique, il se peut qu'elle ne soit pas en mesure d'exercer un contrôle à l'égard des personnes qui l'observent en public. Par conséquent, pour protéger les droits en matière de vie privée dans certains contextes, il nous faut reconnaître l'anonymat comme une des conceptions de la vie privée" [par. 44]. Et, "s'agissant de l'utilisation d'Internet, [il lui] semble particulièrement important de reconnaître que l'anonymat s'inscrit parmi les conceptions de l'aspect informationnel du droit à la vie privée" [par. 45 - notre soulignement].
 
À ce sujet, elle retient le fait que "Internet a augmenté de façon exponentielle la qualité et la quantité des renseignements stockés concernant les internautes. L'historique de navigation, par exemple, permet d'obtenir des renseignements détaillés sur les intérêts et les préoccupations des utilisateurs. Les moteurs de recherche peuvent recueillir des renseignements sur les termes recherchés par les utilisateurs. Les annonceurs peuvent suivre les utilisateurs à travers les réseaux de sites Web et obtenir un aperçu de leurs intérêts et de leurs préoccupations. Les fichiers témoins peuvent être utilisés pour suivre les habitudes de consommation et peuvent fournir des renseignements sur les options sélectionnées dans un site Web, sur les pages Web consultées avant et après avoir visité le site d'accueil et tout autre renseignement personnel fourni. [...] L''utilisateur n'est pas en mesure d'exercer un contrôle total à l'égard de la personne qui peut observer le profil de ses activités en ligne et il n'est pas toujours informé de l'identité de celle-ci. Or, sous le couvert de l'anonymat - en protégeant le lien entre l'information et l'identité de la personne qu'elle concerne - l'utilisateur peut en grande partie être assuré que ses activités demeurent confidentielles " [par. 46]. Elle est d'avis qu'"il faut reconnaître que l'identité d'une personne liée à son utilisation d'Internet donne naissance à un intérêt en matière de vie privée qui a une portée plus grande que celui inhérent à son nom, à son adresse et à son numéro de téléphone qui figurent parmi les renseignements relatifs à l'abonné" [par. 47 - notre soulignement]. Elle ajoute que "la reconnaissance de la possibilité qu'il existe un intérêt en matière de vie privée à l'égard de l'anonymat, selon les circonstances, ne suffit pas pour reconnaître le "droit" à l'anonymat et n'a pas pour effet de menacer l'efficacité des autorités d'application de la loi relativement aux infractions commises sur Internet" [par. 49]
 
Partant, la CSC considère que "la demande de la police dans le but d'établir un lien entre une adresse IP donnée et les renseignements relatifs à l'abonnée visait en fait à établir un lien entre une personne précise [...] et des activités en ligne précise. Ce genre de demande porte sur l'aspect informationnel du droit à la vie privée relatif à l'anonymat en cherchant à établir un lien entre le suspect et des activités entreprises en ligne, sous le couvert de l'anonymat, activités qui, comme la Cour l'a reconnu dans d'autres circonstances, mettent en jeu d'importants droits en matière de vie privée" [par. 50].  
 
Dans cet arrêt, la CSC analyse également les cadres contractuel et réglementaire [par. 55 et suiv.], les pouvoirs en matières de fouilles, de perquisitions ou de saisies de la police [par. 68 et suiv.], la possible déconsidération de l'administration de la justice [par. 75 et suiv.] ou encore l'élément de faute de l'infraction de "rendre accessible" [par. 82 et suiv.].

11 juin 2014

9 juin 2014

Canada: nouveau commissaire au CPVPC

Le 5 juin dernier, Me Daniel Therrien a été nommé pour agir à titre de commissaire à la protection de la vie privée du Canada.