jump to navigation

Cadre juridique pour les médias sociaux 16 octobre 2013

Posted by Sylvain Métille in Facebook, Google, Humeur, Informatique, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
1 comment so far

Le Conseil fédéral vient de publier son rapport intitulé «Cadre juridique pour les médias sociaux» qui fait suite au postulat «Donnons un cadre juridique aux médias sociaux» déposé il y a deux ans par la Conseillère nationale Viola Amherd.

Le rapport dresse un bon panorama du droit en vigueur en Suisse et à l’étranger. En revanche, il est plutôt décevant et laisse un peu le lecteur sur sa faim s’agissant des propositions d’amélioration et de l’évaluation pratique des moyens légaux disponibles. Il confirme certes que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Ceci est une évidence mais qu’il n’est pas inutile de rappeler.  Le choix du Conseil fédéral de ne pas faire une loi spéciale pour les réseaux sociaux doit aussi être saluée.

Des craintes sans réponses et surtout sans propositions
Le rapport indique à plusieurs reprises qu’il est à craindre que les dispositions légales ne puissent pas être appliquées (car le prestataire de services serait à l’étranger) ou qu’il y a des risques importants pour la sphère privée (même si la loi n’est pas violée), sans apporter de propositions pour améliorer la situation. On ressent un certain fatalisme alors que c’était peut-être le lieu idéal pour défendre les principes ancrés dans le droit suisse et s’assurer de leur application en suggérant de renforce ici et là les moyens à disposition des autorités et des utilisateurs pour faire appliquer le droit déjà en vigueur.

Ainsi selon le droit en vigueur, celui qui transporte des informations entre au moins deux autres parties au moyen de techniques de télécommunication fournit un service de télécommunication (art. 3 let. b LTC). Ce n’est en général pas le cas des exploitants de plateformes sociales, qui constituent plutôt l’une des parties entre lesquelles des informations sont transportées. Toutefois poursuit le Conseil fédéral, il existe des exceptions, où les exploitants de plateformes sont au moins co-responsables du transport d’informations entre des tiers, ce qui fait d’eux des fournisseurs de services de télécommunication au sens de la LTC. Le rapport donne en exemple le cas des messages envoyés par un membre de Facebook à un autre au moyen de Facebook-Messenger, avant de conclure qu’indépendamment du fait qu’il est difficile, avec les instruments actuels, de faire appliquer le droit national des télécommunications contre des exploitants de plateformes sans siège en Suisse et actifs au niveau mondial, de nombreuses dispositions du droit des télécommunications en vigueur ne sont de toute manière pas adaptées aux activités de ces derniers (p. 13)… Aucune proposition n’est toutefois formulée.

Le rapport mentionne qu’il y a aussi lieu de s’interroger sur la validité d’un contrat conclu entre les utilisateurs et les exploitants de plateformes et prévoyant expressément la conservation et l’utilisation non limitées dans le temps de tous les contenus publiés par les utilisateurs sur les réseaux sociaux et qu’il n’est pas exclu qu’un tel contrat puisse dans certains cas être qualifié de transaction juridique contraire au droit de la personnalité (art. 19 al. 2 et art. 20 al. 1 CO, art. 27 al. 2 CC), d’autant plus que les données publiées sur des réseaux sociaux et faisant ensuite l’objet de liens constituent souvent des données sensibles ou des profils de la personnalité et que la proportionnalité entre la prestation et sa contrepartie peut être mise en doute (offre d’une infrastructure de communications de la part de l’exploitant de la plateforme contre transfert très complet de droits d’utilisation des données personnelles de la part des utilisateurs) (pp 25-26). Les conséquences d’une telle illégalité et les mesures à prendre  (par l’Etat ou par l’utilisateur) pour l’éviter ne sont pas abordées non plus.

L’application du droit en vigueur
A plusieurs reprises, le rapport indique qu’il y a des moyens de défense en droit suisse (par exemple les dispositions sur les conditions générales abusives de la LCD ou le besoin de consentement au sens de la LPD). La mise en œuvre concrète de ces moyens aurait pu être analysée plus avant et des recommandations formulées pour en améliorer l’effet (augmentation des compétences et des ressources du préposé à la protection des données, possibilité de fixer des amendes, actions collectives, etc.).

En ce qui concerne le vol d’identité, le Conseil fédéral estime que le droit en vigueur couvre largement les délits liés à l’usurpation d’identité. Il n’est pas nécessaire d’ériger une infraction propre.

Responsabilité des intermédiaires
Le Conseil fédéral revient encore une fois sur la question de la responsabilité des fournisseurs de services qui permettent l’accès à un réseau et charge le Département fédéral de justice et police (DFJP) de voir s’il convient de légiférer sur la responsabilité civile des fournisseurs de services internet. La question de la responsabilité au niveau pénal ne devrait pas être réexaminée. S’agissant de savoir quelles règles du droit des télécommunications devront s’appliquer aux plateformes de médias sociaux, le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) traitera ces questions dans le cadre d’une prochaine révision de la loi sur les télécommunications (LTC). Cette question devrait toutefois aussi être prise en compte dans le cadre de la révision en cours de la LSCPT qui est déjà dans les mains du parlement…

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

LinkedIn : une politique de confidentialité lisible 16 mai 2013

Posted by Sylvain Métille in Facebook, Protection des données, Sphère privée.
1 comment so far

LinkedIn vient de réviser sa politique de confidentialité. C’est l’occasion de se pencher sur le rôle joué par ce document et les différentes possibilités de le rendre accessible. Il devrait être clair et concis pour que l’utilisateur s’y retrouve, tout en étant complet car cela reste un document juridique.

Une politique de confidentialité, c’est quoi ?
Une politique de confidentialité (Privacy Policy) est le document par lequel le maître du fichier informe la personne concernée du traitement de ses données. C’est le moyen utilisé, notamment par les sites Internet, pour remplir leur obligation d’information, voire obtenir les consentements nécessaires. La politique de confidentialité est souvent un élément des conditions générales.

Lorsque des données personnelles sont traitées, le traitement de ces données (ce qui inclut la collecte, la conservation, l’utilisation, la communication, etc.) doit être au moins reconnaissable. Si les données traitées sont des données sensibles ou des profils de la personnalité, le doit suisse exige une information. On doit notamment pouvoir reconnaître (ou être informé de) quelles données sont traitées, par qui, dans quel(s) but(s) et si elles sont transmises à des tiers.

La personne dont les données sont traitées doit consentir à ce traitement. Ce consentement peut avoir lieu par acte concluant (en transmettant des données, en acceptant des conditions générales, etc.), mais il doit être éclairé. Cela signifie que pour donner son accord au traitement des données, il faut disposer d’informations claires et compréhensibles sur le sort réservé à ses données.

Un document multicouche
La nouvelle politique de LinkedIn se compose de trois couches. La première est une vidéo qui explique ce que contient la politique de confidentialité et dans les grandes lignes quelles données sont traitées.

Le texte du document principal est divisé en deux colonnes qui représentent les deux dernières couches. Alors que la colonne de droite correspond au format classique et complet, la colonne de gauche résume en une phrase chaque paragraphe.

Cette politique se lit facilement et l’utilisateur peut sans difficulté approfondir un point puisque le paragraphe correspondant est toujours au même niveau. Le texte contient également de nombreux liens directs qui permettent de refuser certains traitements de données. Comme ces «options» sont peu visibles et que le paramétrage du compte n’est pas très intuitif, ces liens sont très utiles. Ils permettent par exemple de:

La forme et le contenu
Si la forme est séduisante, le contenu ne réserve pas d’aussi bonnes surprises. Comme c’est le cas pour la plupart des fournisseurs de services, LinkedIn se donne un maximum de droits, par exemple de celui de transmettre les données à des tiers «dans le but de conserver les fonctions et fonctionnalités de LinkedIn», à des sociétés affiliées ou en cas de cession des actifs de la société. La collecte d’informations lors de la synchronisation avec un appareil portable, un calendrier ou une autre application est aussi large.

Ce n’est donc pas parce qu’une politique de confidentialité est compréhensible que son contenu est favorable à l’utilisateur, mais c’est en toute connaissance de cause que le consommateur pourra choisir d’utiliser ou non ces services.

Sur le même sujet
Pourquoi ne pas s’inspirer des étiquettes alimentaires pour protéger la sphère privée?

Les préposés européens unis face à la nouvelle politique de confidentialité de Google

Evernote se soumet au droit suisse, et alors ?

Facebook: enfin une suppression définitive 12 octobre 2012

Posted by Sylvain Métille in Facebook, Liens, Protection des données, Sphère privée, Technique, USA.
1 comment so far

C’était un reproche récurrent depuis des années, lorsqu’un utilisateur supprime des photos voire son compte Facebook, le réseau social conservait les informations et ne supprimait que les liens. La justification donnée tenait du confort de l’utilisateur qui changerait d’avis (pour lui donner la possibilité de récupérer ses informations) et d’aspects techniques (les informations sont réparties sur plusieurs serveurs qui ne peuvent pas être effacés simultanément de manière certaine).

Supprimer définitivement son compte
La situation s’est progressivement améliorée puisqu’il est possible de supprimer définitivement son compte à condition de s’avoir comment procéder. Facebook propose en effet de désactiver son compte (et pas de le supprimer): sous l’onglet sécurité de la page paramètres du compte se trouve un lien « désactiver votre compte » en bas de page. Le compte sera seulement désactivé et réapparaîtra lors de la nouvelle connexion au compte Facebook. Cela n’est utile que si vous souhaitez disparaitre momentanément.

L’utilisateur ne peut pas supprimer seul son compte de manière définitive mais il peut demander au réseau social de le faire pour lui en suivant ce lien: www.facebook.com/help/delete_account. Auparavant, il ne sera peut-être pas inutile de télécharger ses données .

Supprimer les photos supprimées
On sait depuis 2009 que les photos supprimées ne l’étaient pas toujours mais qu’elles disparaissaient parfois seulement de la vue des utilisateurs. Elles subsistaient sur les serveurs de la société et il était parfois possible de les voir en utilisant le lien direct (le lien qui apparaît sous la photo que l’on a enregistrée sur le réseau social).

Depuis quelques mois ce n’est heureusement plus le cas et le réseau social promet que les photos disparaîtront au plus tard définitivement après 30 jours. C’est apparemment le temps nécessaire à Facebook pour supprimer tous les liens vers ses différents serveurs.

Ces adresses email @facebook.com dont plus personne ne veut 3 juillet 2012

Posted by Sylvain Métille in Facebook, Protection des données, Sphère privée, Technique.
add a comment

A l’automne 2010, les internautes se pressaient pour obtenir leur adresse email du réseau social Facebook (par exemple prenom.nom@facebook.com).

Facebook avait eu la bonne idée de permettre à ses membres de regrouper dans une même «boîte aux lettres» les messages instantanés et différés du réseau social, les messages vidéos et surtout les messages électroniques envoyés par des personnes externes au réseau social. Malheureusement, l’idée n’a pas eu l’écho escompté et très rares sont les personnes qui donnent leur adresse email facebook au lieu de leur adresse de messagerie classique.

Tous les utilisateurs ont une adresse de courrier électronique, qui correspond à leur nom d’utilisateur, à moins qu’ils n’aient fait une demande particulière. L’adresse principale et le nom d’utilisateur peuvent être modifiés via les paramètres généraux.

Depuis quelques jours, les membres attentifs ont pu constater que toutes leurs adresses email avaient été remplacées par leur adresse Facebook, sans qu’ils en soient avertis. Vous pouvez vérifier cela sur votre timeline sous coordonnées. Vous pouvez également modifier ces informations et notamment remettre votre vraie adresse électronique, ainsi que régler les droit d’accès à vos différentes adresses (privée, professionnelle, etc.) en modifiant les paramètres.

Des messages perdus et des adresses supprimées
Ce changement imposé n’a guère été apprécié par les utilisateurs. Mais en plus il y eu des effets collatéraux désagréables pour ceux qui synchronisent leurs carnets d’adresses avec les contacts de leur téléphone mobile en utilisant l’application Facebook. Logiquement, les adresses email de leurs amis ont été mises à jour et automatiquement remplacées par les adresses @facebook.com, même si leurs amis ne les utilisent jamais voire ignorent l’existence de cette nouvelle adresse. De nombreux utilisateurs ont perdu des messages  et la fiabilité de l’adresse @facebook semble sujette à caution. Plusieurs envois ne sont jamais parvenus à leur destinataires ou avec des délais anormalement longs.

Facebook a admis avoir imposé l’affichage de l’adresse de son réseau, mais conteste avoir voulu supprimer toutes les autres adresses dans les téléphones mobiles, précisant qu’il s’agit d’un bug en cours de correction.

Vérifier la confidentialité de son profil et celui de ses enfants sur Facebook 5 juin 2012

Posted by Sylvain Métille in Facebook, Logiciel, Protection des données, Sphère privée, Surveillance.
4 comments

Secure.me  est une application web disponible gratuitement et en français sur Internet, développée par myON-ID Media une société répartie entre Munich et San Francisco. Son but initial est de permettre aux parents de contrôler les informations partagées par leurs enfants sur le réseau social Facebook et les risques qui en découlent, sans avoir besoin d’être présents sur ledit réseau social et encore moins de faire partie des « amis » de leur enfant.

Secure.me permet aussi évidemment de surveiller son propre compte, soit lors d’une analyse, soit en temps réel et automatiquement (on reçoit alors régulièrement un rapport d’analyse dans sa boîte électronique).

Profil, photos, contributions de tiers, etc.
L’application analyse notamment le profil en effectuant des recherches sémantiques (il est possible d’ajouter ses propres mots-clés à surveiller). Se basant sur la reconnaissance faciale, secure.me peut aussi identifier les photos où l’utilisateur n’est pas taggé. Les résultats sont ensuite présentés de manière claire avec une évaluation du degré de confidentialité ou du risque pour votre sphère privée.

La force de l’application est non seulement d’analyser le contenu mis à disposition par l’utilisateur, mais également les contributions de tiers en lien avec l’utilisateur (photos, commentaires sur le mur, interactions, applications tierces, pages « aimées », etc.). Le contenu sensible et les liens potentiellement dangereux sont ensuite signalés et l’impression générale du profil évaluée. » Pendant que secure.me procède à l’analyse, l’utilisateur peut voir défiler éléments examinés. Le volume d’informations accessibles est tout simplement impressionnant!

Facebook condamné par le Landgericht de Berlin 20 avril 2012

Posted by Sylvain Métille in Facebook, Jurisprudence, Protection des données, Sphère privée.
2 comments

L’association allemande de consommateurs «Verbraucherzentrale Bundesverbandes» (vzbv) a obtenu le 6 mars 2012 une victoire contre le réseaux social Facebook (représenté par la société irlandaise Facebook Ltd). Le Landgericht de Berlin a constaté (Jugement 16 O 551/10) que l’outil de recherche d’amis (friendsfinder) incite l’utilisateur à importer les noms et coordonnées électroniques de personnes qui ne font pas partie du réseau social Facebook et que ceux-ci reçoivent ensuite une invitation sans avoir donné leur accord. L’utilisateur n’était, selon les constatations de la cour, pas clairement informé que l’ensemble de son carnet d’adresse sera importé par Facebook et utilisé dans le but d’inviter des amis. Facebook a depuis apporté quelques légères modifications, mais probablement de manière insuffisante : le fait que l’intégralité du carnet d’adresse soit enregistrée n’est pas clairement mentionné.

Des reproches en matière protection des données et de droit d’auteur
Le Tribunal allemand a encore reproché d’autres éléments figurant dans les conditions générales d’utilisation du réseau social, parmi lesquels le droit d’utilisation global et gratuit que s’arroge Facebook sur le contenu de l’utilisateur (alors qu’un accord expresse serait nécessaire pour la musique et les photos composées personnellement), le fait que Facebook ne s’assure pas que l’utilisateur soit informé immédiatement de modification des conditions sur la base desquelles l’utilisateur a donné son accord pour utiliser ses données personnes dans un but publicitaire.

Ce jugement ordonne à Facebook de remédier à ces manquements et s’assurer du respect du droit européen de la protection des donnes avant d’introduire de nouveau services. L’association vzbv a déjà annoncé qu’elle s’assurerait de la mise en œuvre de ce jugement dès qu’il serait définitif (Facebook a encore la possibilité de déposer un recours).

En plus de ces éléments, cette décision confirme aussi que Facebook doit s’adapter sur le continent européen aux normes légales en vigueur et que sa succursale irlandaise peut en être tenue pour responsable.

Facebook rachète Instagram (et vos données) pour un milliard de dollars 10 avril 2012

Posted by Sylvain Métille in Facebook, Protection des données, Sphère privée, Suisse, Technique, USA.
2 comments

Facebook a annoncé hier le rachat pour un milliard de dollars US du service de partage de photos Instagram. Mark Zuckerberg a promis que la possibilité de poster sur d’autres réseaux sociaux serait conservée, de même que celle de ne pas partager ses images Instagram sur Facebook ou encore de conserver séparément ses contacts Instagram et Facebook. Mais aucune garantie n’a en revanche été donnée sur la protection des données des utilisateurs.

La politique de confidentialité d’Instagram, comme souvent, ne prévoit rien en cas de rachat d’entreprise. Même si les utilisateurs pourront continuer à utiliser leurs compte séparément, rien n’indique pour le moment que Facebook ne va pas simplement cumuler les données concernant les utilisateurs en provenance des deux réseaux afin d’obtenir encore plus d’informations. La tentation pour Facebook de relier automatiquement les données des utilisateurs sera grande, même si illégale dans la plupart des cas.

Pas de fusion des données sans consentement
Un tel mélange des données serait contraire à la loi dans de nombreux pays car lors de leur inscription au service Instagram, les utilisateurs ont donné leur consentement pour un service particulier de partage de photos et non pour un réseau social ou un profil de personnalité étendu. Ce consentement demeure valable (y compris avec ses limites) tant que l’utilisateur ne le modifie pas.

Pour être en conformité avec la loi, Facebook devrait informer clairement les utilisateurs de ses intentions et leur donner la possibilité de retirer définitivement toutes leurs données d’Instagram avant utilisation par Facebook. Idéalement une possibilité d’utiliser d’Instagram de manière complètement indépendante devrait être proposée.

A noter encore que même si la majorité des utilisateurs ne protègent pas leurs photos, celles-ci étant par défaut publiques, le fait d’accepter une publication via Instagram ne permet toutefois pas d’en déduire le droit pour Facebook de les republier sur son réseaux social.

Peut-on demander à celui qui postule pour un emploi le mot de passe de son compte à un site Internet? 27 mars 2012

Posted by Sylvain Métille in Facebook, Protection des données, Sphère privée, Suisse, USA.
3 comments

Le blog juridique du World Street Journal se demandait récemment si l’on pouvait demander le mot de passe d’un compte Facebook à celui qui postule pour un emploi ? (« Can Job Applicants Be Asked For Facebook Passwords? ») La réponse est évidemment négative et la question surprend. Pourtant il semble que le cas ne soit pas si improbable que cela. L’Union américaine pour les libertés civiles (ACLU) relatait récemment le cas d’un agent de détention du Maryland sommé de donner ses identifiant et mot de passe lors d’un entretien de renouvellement de son accréditation. D’autres exemples sont également rapportés par l’agence de presse Associated Press.

Premièrement, cela serait contraire aux conditions générales du site Facebook. Mais surtout c’est une atteinte inadmissible à la sphère privée. On peut admettre que l’employeur consulte les profils publics, comme il pourrait avoir accès à n’importe qu’elle autre information publique, mais la création de faux profils pour glaner des informations n’est pas tolérable. La partie privée d’un site Internet (qu’il s’agisse d’un réseau social ou d’un autre site) appartient à la sphère privée d’un candidat, comme l’est également sa messagerie.

La vie privée reste privée
En droit suisse, la récolte de données est en principe exclue lorsqu’elles concernent les relations familiales, les convictions philosophiques ou religieuse, la santé (sauf si cela a un lien direct avec l’emploi) et la vie privée en général du candidat. Le candidat a le droit de refuser de répondre et l’on admet même qu’il a le droit de mentir à une question illégitime si c’est pour lui le seul moyen de bénéficier concrètement du droit de ne pas répondre.

Ainsi non seulement le candidat n’a pas à donner son mot de passe, mais en plus le futur employeur n’a pas le droit de le demander.

Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 648 followers