France (PayPal) et Canada (Bell): enquête sur des politiques de confidentialité

Les politiques de confidentialité sont un outil permettant aux organismes publics et aux entreprises d'informer les internautes de leurs engagements en matière de protection des renseignements personnels. Lorsque ces politiques sont modifiées, des questions peuvent se poser notamment quant au consentement, à la collecte de nouveaux renseignements, à la communication de ceux-ci à de nouveaux partenaires ou encore à leur utilisation projetée. Certaines modifications peuvent passer inaperçues, d'autres font l'objet d'enquête par les autorités de contrôles comme dans le cas de Google, de Facebook ou dernièrement de PayPal en France ou de Bell au Canada. 

En ce qui concerne PayPal, un service de paiement en ligne, on peut lire sur le site de la Commission nationale de l'informatique et des libertés que: 

"Les principales modifications du " règlement relatif à la vie privée ", qui s'adresse tant aux e-commerçants qu'aux utilisateurs particuliers, portent sur :

- la collecte par PAYPAL de nouvelles données (exemple : géolocalisation des points de ventes acceptant le paiement Paypal et des utilisateurs connectés, service " Paypal Here ") ;

- l'ajout de nouveaux destinataires des données : transmission de tout ou partie des données collectées à de nouveaux organismes ayant pour activité de lutter contre la fraude ou de procéder à des actions de marketing (publicité ciblée) ;

- la transmission d'un nombre plus important de données à certains destinataires tels que Facebook.

Dans le cas où les utilisateurs refuseraient ces modifications, ils sont invités par PAYPAL à fermer définitivement leur compte (cf. information sur le site internet de PAYPAL : "prochaines mises à jour des règlements"). 

La CNIL a décidé d'opérer un contrôle du service de paiement en ligne PAYPAL, actuellement en cours."

(Source: CNIL, "La CNIL alerte les détenteurs d'un compte PAYPAL sur les modifications de son règlement relatif à la vie privée", 23 octobre 2013)

En ce qui concerne Bell, une entreprise de télécommunications, on peut lire sur le site du Commissariat à la protection de la vie privée du Canada que: 

"Le Commissariat à la protection de la vie privée du Canada a reçu des plaintes concernant un avis communiqué par Bell Canada qui soulève des préoccupations relatives au profilage des utilisateurs, à la publicité comportementale en ligne et à la protection des renseignements personnels.  Nous ferons enquête.
L’enquête visera à déterminer si les changements prévus dans la façon dont l’organisation traite les renseignements personnels de ses clients sont conformes à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale qui régit la collecte, l’utilisation et la communication des renseignements personnels dans le cadre d’activités commerciales.
Puisque la commissaire à la protection de la vie privée enquête sur cette question au nom des Canadiens, les membres du public n’ont pas besoin de présenter des plaintes en vue d’une enquête complète.
La commissaire pourra décider de rendre publics les résultats de l’enquête, une fois que celle-ci sera achevée, si elle juge que cela est dans l’intérêt du public.
Le Parlement a conféré au Commissariat le mandat d’agir comme ombudsman et comme gardien du droit à la vie privée au Canada".

(Source: CPVPC, "La commissaire à la protection de la vie privée enquêtera sur les changements apportés à la politique de protection des renseignements personnels de Bell Canada", Communiqué, 23 octobre 2013)

À suivre donc ...

Californie: nouvelle protection pour les mineurs

Le 23 septembre 2013, le gouverneur de la Californie a sanctionné le projet de loi SB 568 adopté, fin août, à l'unanimité par le Parlement. La Division 8 du California Business and Professions Code contiendra désormais un Chapitre 22.1 intitulé "Privacy Rights for California Minors in the Digital World". 

Ce nouveau chapitre comprend deux sections

- la première (22580) vise à interdire aux opérateurs de services en ligne ou encore d'applications mobiles de diffuser certaines publicités auprès des mineurs, soit toute personne de moins de 18 ans. Ainsi selon la section 22580 (i), cette interdiction vise notamment les boissons alcoolisées, les armes à feu ou de poing, la peinture en aérosol susceptible de détériorer la propriété, le tabac, les cigarettes électroniques, les feux d'artifice ou encore les suppléments alimentaires.  

- la seconde (22581) vise à permettre aux mineurs de supprimer des images ou du texte qu'ils ont mis en ligne. Il convient toutefois de préciser que cette possibilité n'est pas absolue. Seules les informations postées par le mineur pourront être supprimées. Ainsi, si ces informations ont été publiées par un tiers ou reprises sur un autre site Web, elles ne pourront pas être effacées. Et, les images qui ne permettent pas d'identifier le mineur ou pour lesquelles il a reçu une compensation ne pourront pas être supprimées.   

Ce chapitre, comme mentionné à la section 22582 entrera en vigueur le 1er janvier 2015 ... à suivre donc.  

Pour aller plus loi: 

• Senate Bill n° 568 ("Privacy Rights for California Minors in the Digital World")

Canada: pour une modernisation des lois sur l'accès à l'information et sur la protection des renseignements personnels

Lors de l'assemblée annuelle des autorités fédérales, provinciales et territoriales qui s'est tenue à Vancouver (Colombie-Britannique), les commissaires et ombudsmans ont adopté, le 9 octobre 2013, une résolution appelant à la modernisation des lois sur l'accès à l'information et sur la protection des renseignements personnels. 

"Il conviendrait de moderniser les lois sur l’accès à l’information et la protection des renseignements personnels du Canada pour protéger ces droits de première importance compte tenu des bouleversements technologiques et des pressions exercées par les citoyens engagés, ont souligné les autorités chargées de la protection de l’accès à l’information et de la vie privée dans une résolution conjointe publiée aujourd’hui.

Dans leur résolution, les commissaires et ombudsmans à l’information et à la protection de la vie privée de toutes les régions du pays encouragent vivement les gouvernements fédéral, provinciaux et territoriaux à mettre à jour leurs lois respectives.

Ils font observer que les révélations récentes concernant les programmes de surveillance du gouvernement ont avivé les préoccupations des Canadiens à l’égard de l’érosion de leur droit à la vie privée et ont suscité des appels en faveur d’une plus grande transparence et d’une supervision accrue.

Ailleurs dans le monde, les lois sur l’accès à l’information et la protection de la vie privée ont été renforcées en fonction des réalités du XXIe siècle, et le Canada ne doit pas être en reste, ont-ils ajouté. [...]

La résolution présente un certain nombre de réformes à examiner, notamment :

- déterminer le moment où les personnes doivent être prévenues lorsque leurs renseignements personnels ont été perdus, volés ou consultés sans autorisation et établir la façon dont cet avis sera formulé;

- instaurer l’obligation prescrite par la loi de documenter les débats, les actions et les décisions des organismes publics pour promouvoir la transparence et la responsabilisation;

- doter les organismes de réglementation de puissants pouvoirs de surveillance et d’application de la loi, notamment la possibilité de prendre des ordonnances exécutoires et des sanctions en cas de non-conformité.

La résolution a été adoptée lors de l’assemblée annuelle des commissaires et des ombudsmans à l’information et à la protection de la vie privée des gouvernements fédéral, provinciaux et territoriaux de tout le Canada."

(Source: Commissariat à l'information du Canada, Communiqué de presse du 9 octobre 2013)

La résolution (lien pointant vers le site du Commissariat à la protection de la vie privée du Canada) est accessible sur les différents sites des commissaires et ombudsmans à l'information et à la protection des renseignements personnels.

Manitoba: adoption (et sanction) du projet de loi 211 sur la protection des renseignements personnels et la prévention du vol d'identité

Le Projet de loi 211 - Loi sur la protection des renseignements personnels et la prévention du vol d'identité, adopté par l'Assemblée législative du Manitoba, a reçu la sanction royale le 13 septembre 2013. Toutefois cette Loi n'est pas encore en vigueur (ajout).

Il a pour objet "de régir la collecte, l'utilisation et la communication de renseignements personnels par les organisations d'une manière qui tienne compte à la fois du droit des particuliers à la protection de leurs renseignements personnels et du besoin des organisations de recueillir, d'utiliser et de communiquer de tels renseignements à des fins raisonnables" (art. 3). 

Ainsi, il est notamment prévu qu'une organisation 

• "est responsable des renseignements personnels qui relèvent de son autorité" (art. 5(1)), 
• "désigne un ou plusieurs particuliers qu'elle charge de veiller au respect de la [loi]" (art. 5(3)), 
• "établit et applique des politiques et pratiques raisonnables pour s'acquitter des obligations qui lui incombent" (art. 6(a)), 
• doit, sauf disposition contraire, obtenir le consentement des personnes concernées avant de recueillir, utiliser et communiquer leurs renseignements personnels (art. 7 et s.), 
• ne peut recueillir (art. 11 et s.), utiliser (art. 16 et s.) et communiquer (art. 19 et s.) des renseignements personnels qu'à des fins raisonnables, 
• doit reconnaître aux personnes concernées un droit d'accès à leurs renseignements personnels, et le cas échéant de correction (art. 23 et s.), 
• doit déployer "des efforts raisonnables pour faire en sorte que les renseignements personnels recueillis, utilisés ou communiqués par elle ou pour son compte sont exacts et complets (art. 33), 
• doit prendre "des mesures de sécurité raisonnables contre les risques tels l'accès, la collecte, l'utilisation, la communication, la reproduction, la modification, l'aliénation ou la destruction non autorisés" (art. 34). 

En plus de retrouver les principes de protection des renseignements personnels énoncés dans plusieurs autres lois, ce texte contient également une dérogation concernant les opérations commerciales (art. 22 et s.) et l'obligation pour une organisation "d'aviser [dès que possible] un particulier si des renseignements personnels le concernant [...] sont volés ou perdus ou si ces renseignements font l'objet d'un accès non autorisé" (art. 34(2)). 

Par cette dernière disposition, l'Assemblée législative du Manitoba fait écho à une tendance marquée, ici et ailleurs, vers les déclarations obligatoires des incidents de sécurité impliquant des renseignements personnels. À ce sujet, ne serait-ce qu'au Canada, voir notamment l'article 34.1 du Personal Information Protection Act de l'Alberta, les projets de loi C-12 et C-475 déposés à la Chambre des communes lors de la 1ère session de la 41° législature du Parlement du Canada ou encore les recommandations 7 à 9 du Rapport quinquennal 2011 de la Commission d'accès à l'information du Québec. 

Et, avec cette loi, le Manitoba rejoint l'Alberta, la Colombie-Britannique et le Québec qui ont adopté des lois régissant la protection des renseignements personnels dans le secteur privé. Ces trois lois provinciales ont été reconnues comme offrant un niveau de protection essentiellement similaire à la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ). 

Il faudra donc surveiller la réaction du gouverneur en conseil face à l'adoption de cette loi, étant entendu qu'il peut, par décret, "s'il est convaincu qu'une loi provinciale [est] essentiellement similaire à la [LPRPDÉ], exclure l'organisation [...] de l'application de la [LPRPDÉ] à l'égard de la collecte, de l'utilisation ou de la communication de renseignements personnels qui s'effectue à l'intérieur de la province en cause" (art. 26(2)b) LPRPDÉ).

À suivre donc ...