FTC et révision de la COPPA

On peut lire sur le site de la Federal Trade Commission (FTC) que la date limite pour envoyer des commentaires quant au projet de révision des règles d'application de la Children's Online Privacy Protection Act (COPPA) a été prolongée jusqu'au 24 septembre 2012. 

Il convient de rappeler que la COPPA est entrée en vigueur en 2000. En vertu de cette loi, tout site Web qui collecte des renseignements personnels auprès de jeunes de moins de 13 ans doit obtenir le consentement préalable des parents. 

La FTC veille à l'application de cette loi. En septembre 2011, elle a débuté ses travaux visant à réviser cette loi et ses règles d'application. À cette fin, elle a publié des études (billet) ou encore mis en place des consultations (billet 1 et 2). 

La consultation en cours concerne les règles d'application de cette loi, plus particulièrement les modifications présentées le 1er août 2012:  

"The proposed modifications to the definitions of "operator" and "website or online service directed to children" would allocate and clarify the responsibilities under COPPA when third parties such as advertising networks or downloadable software kits ("plug-ins") collect personal information from users through child-directed websites or services. The Commission proposes to state within the definition of "operator" that personal information is "collected or maintained on behalf of" an operator where it is collected in the interest of, as a representative of, or for the benefit of, the operator. This change would make clear that an operator of a child-directed site or service that chooses to integrate the services of others that collect personal information from its visitors should itself be considered a covered "operator" under the Rule.
The Commission also proposes to modify the definition of "website or online service directed to children" to:

1. Clarify that a plug-in or ad network is covered by the Rule when it knows or has reason to know that it is collecting personal information through a child-directed website or online service;
2. Address the reality that some websites that contain child-oriented content are appealing to both young children and others, including parents. Under the current Rule, these sites must treat all visitors as under 13 years of age. The proposed definition would allow these mixed audience websites to age-screen all visitors in order to provide COPPA's protections only to users under age 13; and,
3. Clarify that those child-directed sites or services that knowingly target children under 13 as their primary audience or whose overall content is likely to attract children under age 13 as their primary audience must still treat all users as children.

Finally, the Commission proposes to modify the Rule's definition of "personal information" to make clear that a persistent identifier will be considered personal information where it can be used to recognize a user over time, or across different sites or services, where it is used for purposes other than support for internal operations. In connection with this change, the Commission proposes to modify the definition of "support for internal operations" in order to explicitly state that activities such as: site maintenance and analysis, performing network communications, use of persistent identifiers for authenticating users, maintaining user preferences, serving contextual advertisements, and protecting against fraud and theft will not be considered collection of "personal information" as long as the information collected is not used or disclosed to contact a specific individual, including through the use of behaviorally-targeted advertising, or for any other purpose".

(Source: FTC, News, 01-08-2012)

À suivre donc ...

Pour aller plus loin, 

• FEDERAL TRADE COMMISSION, 
• "FTC Extends Deadline to Comment on Proposed Modifications to the Children's Online Privacy Protection Rule Until September 24, 2012", News Release, August 27, 2012.  
• "FTC Seeks Comments on Additional Proposed Revisions to Children's Online Privacy Protection Rule", News Release, August 1, 2012.
• "Children's Online Privacy Protection Rule - Additional Proposed Modifications", (2012) vol. 77 n° 151 Federal Register 46643
• "Children's Online Privacy Protection Rule - Proposed Rules", (2011) vol. 76 n° 187 Federal Register 59804.

Reconnaissance faciale ... dans la mire des autorités

Publié le 19-08-2012 - Ajout le 28-08-2012

La reconnaissance faciale, soit ce procédé qui permet d'identifier une personne physique à partir de l'analyse des caractéristiques de son visage, ne cesse de faire couler de l'encre ... surtout au regard des enjeux de vie privée et de protection des renseignements personnels. 

Ainsi, en Allemagne (i.e. Land de Hambourg) et en Norvège, les autorités de protection des données personnelles viennent de (re)lancer des enquêtes contre Facebook et son système de reconnaissance faciale. Ces enquêtes concernent notamment la relation entre expression du consentement et collecte/utilisation de données biométriques (i.e. les caractéristiques du visage). 

Cette référence au consentement n'est pas sans rappeler les recommandations émises, en mars dernier, par le Groupe de l'article 29 dans son avis sur la reconnaissance faciale dans le cadre des services en ligne et mobiles (billet) mettant l'accent, entre autres, sur le consentement, l'information préalable, la sécurité des données lors de transfert et du stockage, le droit d'accès des personnes concernées. 

Par ailleurs, suite à la consultation tenue en décembre 2011 (billet), la Federal Trade Commission poursuit ses travaux sur la reconnaissance faciale. Elle a indiqué, en juillet dernier, devant le "subcommittee on privacy, technology and the law" du Sénat qu'elle entend publier un rapport à ce sujet d'ici la fin de l'année 2012.

"The Commission intends to release a report this year laying recommended best pratices for the use of facial recognition technologies [...]. In developing the report, the Commission is considering the following questions.
First, the Commission is considering ways in which companies using facial recognition technologies can implement "privacy by desing" [...]
Second, the Commission is examining how companies that use these technologies can provide consumers with simplified choices about the collection and use of their data. [...]
Finally, the Commission is considering how companies using facial recognition can increase the transparence of their data practices. [...]"

(Source: FTC Testimony, p. 11-12)

Reste donc à connaître les conclusions des enquêtes des autorités de protection et du rapport du FTC ... à suivre donc.

[Ajout du 28-08-2012] En attendant il est possible de lire le billet,  de la Commission nationale pour la protection des données du Grand-Duché du Luxembourg, sur les enquêtes menées en Allemagne et en Norvège, intitulé "Reconnaissance faciale sur Facebook: enquêtes en Allemagne et en Norvège". 

États-Unis: vers une révision du Privacy Act of 1974 ?

La collecte, l'utilisation et la communication de renseignements personnels par les organismes publics fédéraux sont encadrées, aux États-Unis, par le Privacy Act of 1974:

"The Privacy Act of 1974, 5 U.S.C. § 552a, establishes a code of fair information practices that governs the collection, maintenance, use, and dissemination of information about individuals that is maintained in systems of records by federal agencies. A system of records is a group of records under the control of an agency from which information is retrieved by the name of the individual or by some identifier assigned to the individual.

The Privacy Act requires that agencies give the public notice of their systems of records by publication in the Federal Register. [...] The Privacy Act prohibits the disclosure of a record about an individual from a system of records absent the written consent of the individual, unless the disclosure is pursuant to one of twelve statutory exceptions. The Act also provides individuals with a means by which to seek access to and amendment of their records, and sets forth various agency record-keeping requirements."

(Source: US Department of Justice)

Cette loi fait, depuis quelque temps, l'objet de discussions pour l'adapter aux changements technologiques. 

Par exemple, le sénateur Akaka a déposé, en octobre 2011, un projet de loi intitulé Privacy Act Modernization for the Information Age Act of 2011 - S. 1732. 

Le sous-comité "Oversight of Government Management" du comité "Homeland Security and Government Affairs" du Sénat a tenu une audience, le 31 juillet 2012, sur ce projet de loi. 

Lors de cette audience, le sénateur Akaka a présenté son projet et, par la suite ont notamment été entendu des représentants du U.S. Department of Homeland Security (rapport), du Federal Retirement Thrift Investment Board (rapport), du U.S. Government Accountability Office (rapport), de l'Ohio State University (rapport), de l'American Civil Liberties Union (rapport) et de The Heritage Foundation (rapport).

Lors de cette audience plusieurs sujets ont été abordés, notamment les enjeux du Web 2.0, de l'infonuagique, des violations de données (data breaches), de l'évaluation des facteurs relatifs à la vie privée (privacy impact assessments ou PIA). 

Reste à savoir quelles seront les suites de cette audience ... à suivre donc.

Australie: Google, WiFi et vie privée

Le 6 août 2012, l'Office of the Australian Information Commissionner a répondu à la lettre que Google a fait parvenir, le 27 juillet 2012, aux autorités de contrôle au sujet des données dites "de contenu". On peut y lire: 

"I [i.e. Timothy Pilgrim, Privacy Commissioner] do not require Google to retain the additional payload data and, unless there is a lawful purpose for its retention, Google should immediately destroy the data. Once this has occurred I would like confirmation from an independent third party that the data has been destroyed.  Further, I would also request that Google undertakes an audit to ensure that no other disks containing this data exist, and to advise me once this audit is completed."

(Source: OAIC, Lettre du 6 août 2012)

Et, le 9 août, l'entreprise a fait savoir que les disques contenants lesdites données ont été détruit (+ lettre de confirmation du tiers indépendant). 

• OFFICE OF THE AUSTRALIAN INFORMATION COMMISSIONNER, 
• "Google Street View Wi-Fi Collection - update", Media Statement, August 10, 2012. 
• "Google Street View Wi-Fi Collection", Media Statement, August 7, 2012. 
• "Google Street View Wi-Fi Collection - letter to OAIC", July 27, 2012. 

N.B: L'Information Commissioner’s Office (ICO) du Royaume-Uni (billet) et la Commission nationale de l'informatique et des libertés en France (billet) ont répondu différemment à l'annonce de Google. 

FTC: Google et Facebook

Début août, la Federal Trade Commission a annoncé que Google a accepté de payer une amende de 22,5 millions de dollars pour mettre fin à des poursuites relatives à la surveillance des utilisateurs de Safari, le navigateur d'Apple, par le biais de cookies.

• FEDERAL TRADE COMMISSION, "Google Will Pay $22.5 Million to Settle FTC Charges it Misrepresented Privacy Assurances to Users of Apple's Safari Internet Browser", News Release, August 9, 2012.

La FTC a également finalisé l'accord conclu avec Facebook en novembre dernier (billet). Selon cet accord, l'entreprise doit prendre les mesures nécessaires pour obtenir le consentement explicite des utilisateurs avant d'échanger leurs renseignements personnels pour des finalités autres que celles inscrites dans leurs préférences. Elle accepte également de se soumettre à des audits indépendants tous les deux ans pendant les 20 prochaines années.

• FEDERAL TRADE COMMISSION, "FTC Approves Final Settlement With Facebook", News Release, August 10, 2012.