GPEN: action commune visant les politiques de confidentialité

En vertu des lois visant à encadrer la protection des renseignements personnels, une entreprise - ou encore un organisme public - qui entend collecter, utiliser ou communiquer des renseignements personnels doit informer préalablement la personne concernée sur certains points. Ainsi, devront entre autres être précisé quels sont les renseignements qui seront collectés, quel est l'usage qui en sera fait, qui y aura accès, quelles sont les mesures de sécurité prises pour en assurer la confidentialité, comment la personne concernée pourra exercer son droit d'accès ou de rectification et, le cas échéant porter plainte en cas de manquement.

Dans les environnements électroniques, cette information sera le plus souvent contenue dans les politiques de confidentialité qui indiquent les engagements des entreprises - et des organismes publics - quant à la collecte, à l'utilisation ou encore à la sécurité des renseignements personnels. 

Ces politiques sont souvent décriées en ce qui concerne leur accessibilité, leur clarté et leur compréhension. Plusieurs appellent ou envisagent des mécanismes visant à leur simplification ... comme, par exemple, les Commissaires à la protection des données et de la vie privée dans la Résolution de Sydney de 2003, le Groupe de l'article 29 dans l'avis 10/2004, la Commission d'accès à l'information du Québec dans son Rapport quinquennal de 2011, la Federal Trade Commission dans un rapport de mars 2012 ou encore un groupe d'étudiants de l'Université de Yale (Privacy Simplified). 

Dans cette optique de simplification et, "afin de sensibiliser les acteurs d'internet sur l'importance des mentions d'information qui doivent être présentes sur leurs sites web et les internautes sur le respect de leurs droits en ligne" (Source: CNIL, 6 mai 2013), plusieurs autorités de protection des renseignements personnels, membres du Global Privacy Enforcement Network (GPEN), ont participé à une action commune. 

"Une vingtaine d'autorités vont, simultanément, analyser les mentions d'information présentes sur les principaux sites web à l'occasion de l'Internet Sweep Day. [...]

Cette année, les autorités membres ont décidé de mettre en place, le même jour, une opération conjointe, appelée l'Internet Sweep Day. Cette opération est destinée à apprécier, sur une large échelle, l'information des internautes proposée par les principaux sites internet. 

Le 6 mai 2013, la CNIL examine 250 sites internet parmi les plus importants afin de vérifier si les internautes sont correctement informés des points suivants :

- quelles données les concernant sont collectées ?

- pour quoi faire ?

- leurs données sont-elles transmises à des tiers ?

- peuvent-ils s'opposer à cette transmission à des tiers ?

La CNIL regardera également si les mentions d'information sont claires et compréhensibles." 

(Source: CNIL, 6 mai 2013) 

"Au cours de la semaine [du 6 au 12 mai], les autorités participantes désigneront des personnes au sein de leur organisation qui ratisseront Internet dans un effort coordonné pour évaluer les enjeux liés à la protection de la vie privée relativement à un thème commun.

Le thème retenu pour le premier ratissage d’Internet pour la protection de la vie privée est la transparence des pratiques en matière de confidentialité. [...]

Voici certaines des questions dont le Commissariat à la protection de la vie privée du Canada tiendra compte lorsqu’il examinera quelques centaines de sites Web dans le cadre du ratissage d’Internet pour la protection de la vie privée :
- Est-ce qu’une politique de confidentialité figure sur le site?
- Est-il difficile de trouver de l’information sur les pratiques de l’entité en matière de confidentialité?
- Les coordonnées d’une personne-ressource à qui poser des questions et faire part de préoccupations concernant la protection des renseignements personnels sont-elles faciles à trouver?
- Les renseignements concernant les pratiques en matière de confidentialité sont-ils faciles à comprendre?" 

(Source: CPVPC, 6 mai 2013)

Les résultats de cette action commune seront publiés dans quelques mois, à suivre donc ...

Pour aller plus loin, voir notamment le site de certaines autorités de protection: 

• COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Journée d'audit en ligne à la CNIL : les 250 principaux sites informent-ils suffisamment les internautes ?", Actualité, 6 mai 2013.  
• COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, "Des autorités chargées de l'application des lois en matière de protection de la vie privée lancent le tout premier ratissage international d'Internet", Communiqué, 6 mai 2013. 
• OFFICE OF THE AUSTRALIAN INFORMATION COMMISSIONER, "Do your favourite websites pass the privacy test?", Media Release, May 8, 2013. 
• OFFICE OF THE PRIVACY COMMISSIONER FOR PERSONAL DATA OF HONG KONG, "The PCPD Commences to Study Privacy Policy of Local Smartphone Apps", Media Statement, May 7, 2013. 

-----

NB: Dans le cadre d'une recherche sur les mécanismes de production de la confiance dans les environnements électroniques, je me suis intéressée aux politiques de confidentialité et ai publié un Guide pour l'élaboration d'une politique de confidentialité.