jump to navigation

C’est quoi des Big Data 25 août 2014

Posted by Sylvain Métille in Facebook, Google, Informatique, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.
add a comment

La notion de «Big Data» (données massives ou mégadonnées) se réfère à un ensemble de données tellement volumineux qu’il est difficile de le traiter avec les outils classiques. Il s’agit souvent de données provenant de sources diverses et qui sont enregistrées en vue de permettre leur exploitation et leur analyse sans but prédéterminé et sans limite de temps.

Deux éléments ont été déterminants dans l’apparition des Big Data. Il y a d’une part le développement d’Internet et l’augmentation du nombre d’objets connectés qui contribuent à la création de gros volumes de données et d’autre part le développement des capacités de stockage et de calcul qui permettent leur traitement à des coûts toujours plus réduits.

Les Big Data répondent en principe à quatre caractéristiques: volume, vitesse, variété et valeur.

  • Volume: les Big Data représentent de grosses quantités de données. On dit généralement que 90% des données disponibles aujourd’hui ont été créées ces deux dernières années.
  • Vitesse: les données sont générées, capturées et partagées à une vitesse toujours plus importante Les délais d’actualisation et d’analyse des données sont toujours plus courts et elles sont le plus souvent traitées en temps réel ou quasi réel.
  • Variété (ou hétérogénéité): les données analysées ne sont pas forcément structurées. Elles peuvent provenir de sources différentes (et avoir un format différent comme du texte, des images, du contenu multimédia, des traces numériques, etc.) et être combinées entre elles. Des données enregistrées dans un fichier clients interne peuvent être combinées avec des données externes provenant de réseaux sociaux, de moteurs de recherche, de feuilles d’avis officielles ou de portails de données ouvertes gérés par des autorités publiques.
  • Valeur: la dernière caractéristique est la plus-value que l’analyse des données représentent et les usages qu’il est possible d’en faire.

Quelques exemples
Les usages sont extrêmement variés. On peut citer par exemples l’analyse des mouvements de foule à l’aide des données de téléphones cellulaires pour faciliter la distribution de l’aide à la suite du tremblement de terre qui s’est produit en Haïti en 2010, l’adaptation du discours du Président Obama lors de la campagne 2012 en fonction des réactions publiées sur Twitter, ou encore l’identification de zones et d’heures dans une ville donnée où des délits seront le plus vraisemblablement commis afin de mieux affecter les ressources.

Un autre exemple célèbre est celui des magasins américains Target capables d’identifier les femmes qui attendent un enfant pour leur proposer des produits pour nourrisson. Pour cela, l’entreprise a analysé des millions de données provenant de cartes de fidélité de femmes ouvrant une liste de cadeaux de naissance. Ils ont par exemple observé qu’elles commençaient à acheter des crèmes sans parfum à environ trois mois de grossesse, et certains suppléments alimentaires à un autre stade de la grossesse. En appliquant ces critères (cumulés à d’autres) à toute sa clientèle, Target est capable d’identifier les femmes enceintes avec une efficacité redoutable.

Et la protection des données dans tout cela ?
Les Big Data posent un véritable défi à la protection des données car de nombreux principes de base sont mis en danger. Les exigences de la protection des données ne s’appliquent qu’au traitement de données personnelles, soit des données liées à une personne identifiée ou identifiable. Sont donc exclues les données anonymes. Le problème est ici que lorsque des données anonymes sont combinées à d’autres données, elles peuvent rapidement redevenir identifiables.

Des données ne peuvent être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint. Les Big Data reposent au contraire sur l’exploitation de données dans d’autres buts, voire dans la conservation de données pour une utilisation ultérieure éventuelle (et dans un but non encore déterminé).

La personne concernée doit consentir au traitement de ses données, y compris leur transmission à un tiers, ce qui implique une information claire et précise sur les modalités et les buts du traitement. Ces droits sont difficiles à respecter avec le traitement de Big Data. L’exactitude des données, ainsi que la garantie d’un droit d’accès peuvent aussi être problématiques.

Cela ne signifie pas pour autant que les normes de protection des données ne sont pas applicables ou qu’il faille les changer. Simplement celui qui procède à la collecte et l’analyse de Big Data doit faire preuve de bonne foi et de transparence. Il prendra également les mesures utiles pour garantir autant que possible l’anonymat des données et s’assurer de leur sécurité.

Pour aller plus loin
Préposé fédéral à la protection des données et à la transparence (Suisse), Explications relatives aux Big Data (données massives)

Commissariat général à la stratégie et à la prospective (France), Analyse des Big Data: quels usages, quels défis ?

Information Commissioner’s Office (Angleterre), Big Data and data protection

 

Certains termes sont couramment utilisés sans que l’on prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID et le skimming.

Publication de photos, drones, big data et droit à l’oubli: les dernières explications du Préposé 30 juin 2014

Posted by Sylvain Métille in Facebook, Google, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, Vidéosurveillance.
2 comments

Ces derniers jours, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié plusieurs nouvelles explications concernant la publication de photographies, les données massives (Big Data), les drones et le droit à l’oubli.

Publication de photographies
La publication de photographies n’est pas seulement limitée par le droit d’auteur, mais également par la loi fédérale sur la protection des données. Le principe est qu’une photo ne peut être publiée qu’avec l’accord des personnes identifiables. Cela concerne aussi les photos d’archives. Un refus ou un retrait de consentement doit être respecté. Un intérêt public ou privé prépondérant ne pourra être invoqué que dans des cas limités.

Pour les photos de groupe, il n’y a pas de nombre au-delà duquel les personnes reconnaissables n’auraient plus besoin de consentir. On admet toutefois qu’une information sur le but et le lieu de publication est suffisant. En revanche, s’agissant de la photo d’une personne en particulier, le PFPDT considère que la personne concernée doit pouvoir consulter la photo avant de consentir à la publication.

En ce qui concerne les prises de vue effectuées dans l’espace public, le PFPDT recommande une approche pragmatique: si les photos sont prises au su de toutes les personnes présentes et qu’elles ne constituent pas le sujet principal (même si elles demeurent reconnaissables), il est suffisant de supprimer la photo sur demande de la personne photographiée ou de renoncer à sa publication. Il n’y a pas lieu cependant de les aborder exprès pour les informer de leurs droits.

Big Data
Dans le cadre du traitement de données massives (Big Data), la protection des données trouve application essentiellement lorsque les données ne sont pas anonymisées ou pas suffisamment anonymisées (contrairement aux apparences, une ré-identification est possible).

Pour le PFPDT, l’accent doit être mis sur le recours à des techniques et à des procédures respectueuses de la protection des données déjà lors de la phase conceptuelle. Les données massives liées à des personnes entrent en contradiction avec des principes fondamentaux de la loi sur la protection des données (LPD). Il faut notamment respecter l’assignation d’un but précis, la retenue quant à la quantité de données collectées (proportionnalité), le consentement des personnes concernées et la transparence.

Drones
Nous avions déjà abordé la question des drones. Le PFPDT rappelle que pour qu’une vidéo-surveillance (ce qu’est l’usage d’un drone muni d’une caméra) soit légale, il faut un motif justificatif. Il prend une dizaine d’exemples et indique les conditions à respecter. Par exemples:
– lors de la surveillance d’un site archéologique, des images de personnes identifiables ne peuvent être captées que si elles ont donné leur consentement ou si l’utilisation des drones s’effectue à des fins ne se rapportant pas à des personnes et les résultats sont rendus anonymes lors de la publication;
– survoler un jardin privé ou longer un bâtiment doté de fenêtres n’est licite que si le propriétaire, le locataire et les personnes qui s’y trouvent ont été informés et ont donné leur consentement;
– lorsqu’un bâtiment fait l’objet d’une vidéo-surveillance à l’aide d’un drone, un pictogramme le précisera, ainsi qu’une adresse ou un numéro de téléphone du responsable du traitement des demandes d’accès.

De plus, les principes généraux de finalité (les clichés ne peuvent être utilisés que dans le but prévu initialement), proportionnalité (on préférera un moyen qui atteint le même but en portant moins atteinte à la personnalité), de sécurité et le droit d’accès doivent être respectés.

Droit à l’oubli
Nous avons également abordé cette question récemment suite à l’arrêt de la CJUE. A juste titre, le PFPDT souligne que le droit à l’oubli n’est pas un concept nouveau mais qu’il s’agit d’une application concrète du principe de proportionnalité (le traitement des données ne doit pas dépasser la durée nécessaire à son but) ainsi que du retrait du consentement préalablement donné. Le droit à l’oubli n’est cependant pas absolu et des intérêts de tiers ou le droit à l’information peuvent s’y opposer.

Le droit à l’oubli implique des solutions à plusieurs niveaux. Au niveau juridique, c’est principalement le droit d’opposition et de rectification ainsi que le droit de demander, au besoin à un juge, que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites. Au niveau technique, les principes de «privacy by design» (respect de la vie privée dès la conception) et de «privacy by default» (protection de la vie privée par défaut) devraient devenir la norme. Les administrateurs de sites Web ne devraient pas non plus indexer systématiquement et indéfiniment toutes les pages. Il importe finalement que chacun fasse des choix conscients et dans le cadre de sa participation à la vie sur le Web, arbitre entre son désir d’exposition/de visibilité et son besoin de confidentialité.

Un moteur de recherche est un responsable de traitement (maître de fichier) 20 mai 2014

Posted by Sylvain Métille in Google, Jurisprudence, Liens, Localisation, Protection des données, Sphère privée, Suisse, Technique, USA.
add a comment

Après avoir annulé la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) vient de rendre une nouvelle décision importante en matière de protection des données (arrêt de la Cour du 13 mai 2014 dans l’affaire C‑131/12, Google Spain SL et Google Inc. Contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González).

La Cour devait répondre à des questions soumises par une autorité judiciaire espagnole, qui elle-même avait à traiter de la demande d’un citoyen Espagnol qui exigeait qu’un journal local et Google retirent les liens vers deux pages sur lesquelles figurait une annonce, mentionnant son nom pour une vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale. Cette saisie était conforme à la réalité au moment de la parution de l’annonce en 1998, mais elle a maintenant été réglée.

Un moteur de recherche est un responsable de traitement
Pour la Cour, il convient de constater que, en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche collecte de telles données qu’il extrait, enregistre et organise par la suite dans le cadre de ses programmes d’indexation, conserve sur ses serveurs et, le cas échéant, communique à et met à disposition de ses utilisateurs sous forme de listes des résultats de leurs recherches. Il s’agit chaque fois d’un traitement de données au sens de la directive 95/46/CE. La CJUE avait d’ailleurs déjà retenu dans un arrêt Lindqvist (C‑101/01) que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un traitement de données. Que les données aient déjà fait l’objet d’une publication sur Internet et ne soint pas modifiées par le moteur de recherche n’y change rien. On a donc deux responsables de traitement (ou responsable de fichier pour reprendre la terminologie du droit suisse) étant donné qu’il y a deux traitements différentes: celui effectué dans le cadre de l’activité du moteur de recherche et celui effectué par l’éditeur du site web (où les données sont hébergées la première fois).

La CJUE a également insisté sur le rôle décisif des moteurs de recherche qui rendent accessibles aux internautes des données qu’ils n’auraient pas trouvées autrement. L’aperçu structuré des résultats constitue en outre un profil plus ou moins détaillé de la personne concernée.

Ce raisonnement doit être suivi car un moteur de recherche fait généralement bien plus que reprendre des liens sans aucune maîtrise sur leur contenu (comme cela a pourtant parfois pu être admis). Et quand bien même ce serait le cas, l’agrégation et la mise en structure de ces données constituent un traitement de données, puisque le simple affichage de données personnelles sur une page de résultats d’une recherche est déjà un traitement de telles données.

Le rattachement territorial
Le moteur de recherche est exploité par Google Inc. (USA), la société-mère du groupe. Le groupe Google a recours à sa filiale espagnole pour la promotion des ventes d’espaces publicitaires générés sur le site web www.google.com et elle a désigné auprès de l’AEPD cette filiale comme responsable du traitement de fichiers enregistrés par Google Inc.

Pour la CJUE, Google Spain se livre à l’exercice effectif et réel d’une activité au moyen d’un établissement stable en Espagne. Il n’est pas nécessaire que le traitement de données soit effectué par l’établissement concerné lui-même, mais uniquement qu’il le soit dans le cadre des activités de celui-ci. En l’espèce, le traitement de données est fait pour les besoins du moteur de recherche exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre. Il est donc effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par le moteur de recherche. Les activités de l’exploitant du moteur de recherche et celles de son établissement sont indissociablement liées. Cette approche n’est pas nouvelle et le Tribunal fédéral suisse avait déjà appliqué un raisonnement similaire dans l’affaire Google Street View.

Le droit à l’oubli
La Cour n’apporte pas vraiment de réponses sur la question du droit à l’oubli et ses limites. Elle rappelle que chacun peut obtenir du responsable du traitement, selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement viole la personnalité en raison du caractère incomplet ou inexact des données.

Même un traitement initialement licite de données exactes peut devenir, avec le temps, illicite lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé. Le traitement doit évidemment être licite durant toute la période pendant laquelle il est effectué.

Il n’y a toutefois pas de réponse absolue sur la portée du droit à l’oubli et même si en règle générale la protection des données doit prévaloir, il se peut que la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information puisse renverser la balance.

En Suisse, Le Tribunal administratif fédéral (TAF) avait retenu au contraire en 2008 (ATAF208/16) que la fonction du registre du commerce s’opposait au droit à l’oubli, au vu de l’intérêt public prépondérant à la publicité de ces informations, même longtemps après leur parution dans la Feuille officielle suisse du commerce. Le TAF avait également souligné que la limite de temps imposée aux recherches en ligne dans la Feuille officielle ne s’appliquait pas au sites privés. Cet intérêt presque perpétuel retenu par le TAF tranche singulièrement avec l’approche de la CJUE qui considère que des informations liées à une saisie 16 ans auparavant ne sont plus pertinentes au regard des finalités du traitement en cause réalisé par l’exploitant du moteur de recherche et doivent être effacées.

Les motifs justificatifs
Il faut procéder à une pesée d’intérêts entre l’intérêt de la personne à la suppression de ses données et un intérêt légitime du moteur de recherche à les traiter.

La CJUE souligne que l’atteinte se trouve démultipliée en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne (caractère ubiquitaire des informations contenues dans une liste de résultats) et que les données peuvent être répliquées facilement sur d’autres sites web (y compris dans des pays n’offrant pas les mêmes garanties légales). Les motifs justificatifs qui profitent à l’éditeur d’une page web ne sont pas forcément valables pour le moteur de recherche. L’inclusion dans la liste de résultats affichés à la suite d’une recherche effectuée à partir du nom d’une personne est susceptible de constituer une atteinte plus grande que la publication par l’éditeur de cette page web.

L’exploitant d’un moteur de recherche peut donc être obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web publiées par des tiers et contenant des informations relatives à cette personne, même si le nom ou ces informations ne sont pas effacés de ces pages web elle-même (y compris lorsque cette publication-là serait licite).

Les conséquences concrètes
La CJUE a affirmé le rôle de responsable de traitement (maître du fichier) du moteur de recherche et son obligation de respecter les normes de protection des données. Il ne peut plus prétendre à un statut d’hébergeur sans maîtrise du contenu, ce qui pourrait le disculper lors de l’application d’autres normes juridiques. Dans le même ordre d’idées, le Tribunal fédéral a rappelé que toute personne qui participe à l’atteinte peut être tenu de la faire cesser (en cessant sa participation), même s’il n’en est pas à l’origine ni n’a commis aucune faute.

Un moteur de recherche ne pourra désormais plus présumer qu’il effectue un traitement licite de données par ce que les données personnelles proviennent d’autres sites. Il devra aussi donner suite aux demandes qui lui sont adressées au-cas par cas et vérifier s’il y a des motifs suffisants pour justifier son traitement ou s’il doit supprimer le contenu.

Reste encore la question la plus intéressante (et celle à laquelle la CJUE n’a que peu répondu), qui est celle de savoir dans quelle mesure le droit à l’oubli peut permettre à chacun de demander la suppression d’informations  (et après combien de temps), voire  si celui qui traite des données doit en tenir compte spontanément et supprimer certaines données (lesquelles ?).

Mises à jour 30 mai et 24 juillet 2014
Google et Bing ont mis en ligne des formulaires de demande de suppression de résultat de recherche au titre de la législation européenne relative à la protection des données. A noter que la Suisse figure parmi les pays concernés.

Ce qu’une adresse IP peut révéler à votre sujet 11 décembre 2013

Posted by Sylvain Métille in Google, Informatique, Localisation, Protection des données, Renseignement, Sphère privée, Technique.
2 comments

La Direction de l’analyse des technologies du Commissariat à la protection de la vie privée du Canada a publié en mai 2013 un rapport intitulé «Ce qu’une adresse IP peut révéler à votre sujet». Ce rapport a fait suite à un projet de loi qui devait permettre de transmettre sans autorisation judiciaire des renseignements à un certain nombre d’entités administratives. Le rapport s’intéresse aux conséquences sur la vie privée que peuvent avoir les renseignements sur les abonnés ne figurant pas dans un annuaire téléphonique, soit l’adresse de courriel, le numéro de téléphone portable et l’adresse IP.

La méthode
Le Commissariat a tout d’abord utilisé l’adresse IP du serveur Web du Commissariat ainsi que l’adresse IP d’un contributeur actif de Wikipedia. A l’aide d’outils comme WHOIS, il a ensuite cherché le propriétaire de l’adresse IP, ainsi que toute personne ou organisation enregistrée à cette adresse puis effectué des recherches au moyen de l’adresse IP pour déterminer l’emplacement géographique du propriétaire de l’adresse IP et localiser le réseau utilisé. Il a encore utilisé l’adresse IP comme terme de recherche dans différents moteurs de recherche et examiné les pages Web affichées dans la liste des résultats afin de trouver des exemples d’activités sur Internet (p. ex. entrées dans les journaux du serveur Web, participation à des forums en ligne). La combinaison de ces résultats a permis d’établir le profil détaillé des personnes associées à une adresse IP.

Il est important de relever que la seule difficulté ici est d’avoir l’adresse IP, l’adresse de courriel ou le numéro de téléphone, car toutes les autres démarches ont été menées avec des services gratuits disponibles sur Internet.

Les résultats
Plus de 240 résultats ont été obtenus en utilisant l’adresse IP du serveur du Commissariat comme terme de recherche. Ces résultats ont indiqué que les personnes travaillant à partir de cette adresse IP avaient consulté des sites concernant par exemple la formation sur l’optimisation des moteurs de recherche, le monde de la publicité et du marketing au Canada, la gouvernance du Web, la gestion de l’identité, les questions de vie privée, les conseils juridiques sur le droit des assurances et les litiges pour lésions corporelles, un certain groupe religieux, le partage de photos en ligne, l’historique des révisions d’une page Wikipédia ou encore certains artistes, ce qui a permis de révéler un éventail de noms d’utilisateurs. La qualité des informations obtenues dépendra surtout de la manière dont les sites traitent les adresses IP (sont-elles ou non visibles aux moteurs de recherche).

La même démarche a été effectuée avec l’adresse IP d’un individu (et non plus d’un serveur) en prenant au hasard l’adresse laissée par un contributeur de Wikipedia. Le Commissariat a ainsi découvert que cette personne avait révisé des centaines de pages Wikipédia au sujet de certaines émissions de télévision (pour des questions de confidentialité plus de détails ne sont pas donnés) ainsi que des douzaines de pages sur des sujets liés à l’histoire. Cette personne avait aussi consulté un site consacré aux préférences sexuelles, puis effectué une recherche en ligne pour un type de personne particulier.

Le Commissariat décrit ensuite, en prenant l’exemple l’affaire Petraeus aux États-Unis, les renseignements qu’il est possible d’obtenir en se servant d’une adresse IP comme point de départ d’une enquête.

Le Commissariat arrive donc à la conclusion que contrairement aux simples données contenues dans un annuaire téléphonique, une adresse IP peut servir à dresser un profil très détaillé d’une personne, de même que révéler ses activités, ses goûts, ses penchants et son style de vie.

Nous verrons prochainement les conditions auxquelles une autorité pénale peut obtenir une adresse IP en Suisse

Cadre juridique pour les médias sociaux 16 octobre 2013

Posted by Sylvain Métille in Facebook, Google, Humeur, Informatique, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
1 comment so far

Le Conseil fédéral vient de publier son rapport intitulé «Cadre juridique pour les médias sociaux» qui fait suite au postulat «Donnons un cadre juridique aux médias sociaux» déposé il y a deux ans par la Conseillère nationale Viola Amherd.

Le rapport dresse un bon panorama du droit en vigueur en Suisse et à l’étranger. En revanche, il est plutôt décevant et laisse un peu le lecteur sur sa faim s’agissant des propositions d’amélioration et de l’évaluation pratique des moyens légaux disponibles. Il confirme certes que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Ceci est une évidence mais qu’il n’est pas inutile de rappeler.  Le choix du Conseil fédéral de ne pas faire une loi spéciale pour les réseaux sociaux doit aussi être saluée.

Des craintes sans réponses et surtout sans propositions
Le rapport indique à plusieurs reprises qu’il est à craindre que les dispositions légales ne puissent pas être appliquées (car le prestataire de services serait à l’étranger) ou qu’il y a des risques importants pour la sphère privée (même si la loi n’est pas violée), sans apporter de propositions pour améliorer la situation. On ressent un certain fatalisme alors que c’était peut-être le lieu idéal pour défendre les principes ancrés dans le droit suisse et s’assurer de leur application en suggérant de renforce ici et là les moyens à disposition des autorités et des utilisateurs pour faire appliquer le droit déjà en vigueur.

Ainsi selon le droit en vigueur, celui qui transporte des informations entre au moins deux autres parties au moyen de techniques de télécommunication fournit un service de télécommunication (art. 3 let. b LTC). Ce n’est en général pas le cas des exploitants de plateformes sociales, qui constituent plutôt l’une des parties entre lesquelles des informations sont transportées. Toutefois poursuit le Conseil fédéral, il existe des exceptions, où les exploitants de plateformes sont au moins co-responsables du transport d’informations entre des tiers, ce qui fait d’eux des fournisseurs de services de télécommunication au sens de la LTC. Le rapport donne en exemple le cas des messages envoyés par un membre de Facebook à un autre au moyen de Facebook-Messenger, avant de conclure qu’indépendamment du fait qu’il est difficile, avec les instruments actuels, de faire appliquer le droit national des télécommunications contre des exploitants de plateformes sans siège en Suisse et actifs au niveau mondial, de nombreuses dispositions du droit des télécommunications en vigueur ne sont de toute manière pas adaptées aux activités de ces derniers (p. 13)… Aucune proposition n’est toutefois formulée.

Le rapport mentionne qu’il y a aussi lieu de s’interroger sur la validité d’un contrat conclu entre les utilisateurs et les exploitants de plateformes et prévoyant expressément la conservation et l’utilisation non limitées dans le temps de tous les contenus publiés par les utilisateurs sur les réseaux sociaux et qu’il n’est pas exclu qu’un tel contrat puisse dans certains cas être qualifié de transaction juridique contraire au droit de la personnalité (art. 19 al. 2 et art. 20 al. 1 CO, art. 27 al. 2 CC), d’autant plus que les données publiées sur des réseaux sociaux et faisant ensuite l’objet de liens constituent souvent des données sensibles ou des profils de la personnalité et que la proportionnalité entre la prestation et sa contrepartie peut être mise en doute (offre d’une infrastructure de communications de la part de l’exploitant de la plateforme contre transfert très complet de droits d’utilisation des données personnelles de la part des utilisateurs) (pp 25-26). Les conséquences d’une telle illégalité et les mesures à prendre  (par l’Etat ou par l’utilisateur) pour l’éviter ne sont pas abordées non plus.

L’application du droit en vigueur
A plusieurs reprises, le rapport indique qu’il y a des moyens de défense en droit suisse (par exemple les dispositions sur les conditions générales abusives de la LCD ou le besoin de consentement au sens de la LPD). La mise en œuvre concrète de ces moyens aurait pu être analysée plus avant et des recommandations formulées pour en améliorer l’effet (augmentation des compétences et des ressources du préposé à la protection des données, possibilité de fixer des amendes, actions collectives, etc.).

En ce qui concerne le vol d’identité, le Conseil fédéral estime que le droit en vigueur couvre largement les délits liés à l’usurpation d’identité. Il n’est pas nécessaire d’ériger une infraction propre.

Responsabilité des intermédiaires
Le Conseil fédéral revient encore une fois sur la question de la responsabilité des fournisseurs de services qui permettent l’accès à un réseau et charge le Département fédéral de justice et police (DFJP) de voir s’il convient de légiférer sur la responsabilité civile des fournisseurs de services internet. La question de la responsabilité au niveau pénal ne devrait pas être réexaminée. S’agissant de savoir quelles règles du droit des télécommunications devront s’appliquer aux plateformes de médias sociaux, le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) traitera ces questions dans le cadre d’une prochaine révision de la loi sur les télécommunications (LTC). Cette question devrait toutefois aussi être prise en compte dans le cadre de la révision en cours de la LSCPT qui est déjà dans les mains du parlement…

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

Cachons-nous, les voitures Google reviennent ! 7 mai 2013

Posted by Sylvain Métille in Google, Humeur, Localisation, Protection des données, Sphère privée, Suisse.
add a comment

En Suisse, l’affaire Google Street View commence en 2009 avec une recommandation du Préposé fédéral à la protection des données et à la transparence (PFPDT) que Google conteste. Le Tribunal administratif fédéral (TAF) est saisi et va encore plus loin en exigeant que l’intégralité des visages et des plaques d’immatriculation soient rendues méconnaissables, au besoin par un travail manuel. Google recourt alors au Tribunal fédéral (TF) et menace de fermer le service Google Street View en Suisse si le jugement du TAF n’est pas annulé.

Probablement indifférent à ces menaces, le TF rend un arrêt le 31 mai 2012 dans lequel il donne raison au Préposé mais admet que l’on ne peut pas exiger de Google un traitement manuel en vue d’atteindre un floutage à 100% et qu’une marge d’erreur minime peut être admise si d’autres conditions strictes sont remplies. Il s’agit en particulier de mettre en place une procédure simple et rapide pour obtenir la suppression des images, de mieux prendre en compte certaines zones sensibles, de réduire la hauteur des caméras de 2.80 m à 2 m (pour éviter de filmer par-dessus les haies et clôtures), etc. De plus, Google doit informer largement la population avant la prise de nouvelles images. Cela devrait être fait ces jours, puisque dès mercredi 8 mai 2013, les voitures Google rouleront à nouveau sur les routes suisses. Le calendrier avec les heures et les localités de passages est publié comme l’a exigé le TF.

Durant la procédure, Google n’avait guère enregistré d’autres images que celles de curiosités touristiques ou de pistes de ski plus ou moins désertes. Les images qui seront enregistrées ces prochaines semaines dans des villes et villages de toute la Suisse devraient être disponibles d’ici quelques mois et vont permettre de combler le retard pris par rapport à d’autres pays.

Quant à l’enregistrement d’informations sur les réseaux wifi non protégés (courriers électroniques, mots de passe, photos, etc.), Google a été condamné dans plusieurs pays. En Suisse, une enquête avait été ouverte par le PFPDT en 2011 et close assez rapidement, suite aux engagements de Google de ne plus enregistrer de telles données.

Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».

Respecter la loi sur la protection des données ne suffit plus! 13 février 2013

Posted by Sylvain Métille in Droit pénal et procédure pénale, Google, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Technique, USA.
2 comments

Le droit de la protection des données, comme n’importe quelle loi, s’applique principalement dans le pays dont il émane. Les normes légales en matière de protection des données vont généralement un peu plus loin en obligeant celui qui traite ou exporte des données dans un autre pays à assurer une protection minimale, en général au moins la même protection que celle qui est garantie dans le pays d’origine, pour les données qui ne sont plus dans le pays. Ainsi la Loi fédérale sur la protection des données exige de celui qui exporte des données dans un pays n’offrant pas le même niveau légal de protection que des garanties particulières soient apportées (par le biais d’un contrat) ou que la personne dont les données sont traitées en soit informé et donne son accord.

En revanche, le droit du pays A ne pourra jamais empêcher le droit du pays B de s’appliquer dans le pays B. Cela s’applique aussi en matière de protection des données : les données exportées depuis le pays A vers le pays B devront respecter le droit du pays A (essentiellement pour les protections qu’il apporte) et celui du pays B (en particulier les autres lois). Il peut s’agir par exemple de lois de procédure, de lois fiscales ou de lois sur les services de renseignement. Le Foreign Intelligence Surveillance Act américain (FISA) permet au Gouvernement américain d’obtenir facilement des informations concernant des personnes qui ne sont pas des résidents U.S. (ceux-ci étant exclus de la protection offerte par le 4e Amendement et ne bénéficiant pas de la possibilité de saisir une autorité judiciaire). Les pays membres de la Convention européenne des droits de l’Homme assurent en revanche une protection similaire aux ressortissants nationaux et aux étrangers.

Bien réfléchir où l’on héberge ses données
Alors que presque l’intégralité des données américaines sont hébergées aux USA ou par des sociétés américaines, seul un tiers des données européennes le sont en Europe ou par des sociétés européennes. L’explication est simple: la très grande majorité des fournisseurs de services d’hébergement sont américaines (comme Amazon, Apple, Google, Microsoft,…). Au regard de ce que nous avons écrit plus haut, cela signifie aussi que deux tiers des données européennes sont soumises à des règles étrangères (notamment en matière d’accès aux données), règles sur lesquelles le droit national du pays d’origine n’a aucune influence. La solution n’est guère différente en Suisse.

Il est essentiel de regarder plus loin que le simple respect de la conformité au droit. Une société ne sera guère heureuse de voir ses données transmises à une autorité étrangère ou une société concurrente, de même que le client final d’une société commerciale n’appréciera guère de voir ses données personnelles rendues accessibles à l’étranger, et cela même si la loi est respectée. De plus, une fois que les données ont été transmises ou enregistrées, la suppression des données originales ne supprimera pas les copies.

Personne n’aurait l’idée d’aller mettre une liasse de documents confidentiels dans le coffre-fort d’une société en faillite ou dont les affaires sont sujettes à caution, dans l’armoire sans clé d’un local ouvert au public et où le risque d’inondation est important, ou encore dans un pays politiquement et économiquement instable. Pourtant lorsqu’il s’agit d’héberger des données informatiques, le choix se porte souvent sur la solution la moins chère, sans se poser la question de savoir où et par qui les données seront traitées, à quelles conditions, si un sous-traitement est autorisé, etc. Il n’est guère moins inquiétant d’avoir des données sur une feuille imprimée dans un local ouvert que des données sur un serveur facilement accessible dans un pays inconnu. Des données sont également souvent hébergées à l’étranger sans que le responsable le sache ou en ait conscience (le fonctionnaire qui synchronise par exemple son agenda ou sa messagerie professionnelle avec son iPhone personnel qui utilise iCloud stocke ainsi des données aux USA, y compris des données étatiques qui ne devraient pas quitter le pays…).

Le choix d’un sous-traitant (y compris un simple hébergeur de données) dépendra donc d’abord du type de données traitées. On prendra ensuite garde aux pays concernés, aux possibilités de déléguer le traitement, aux devoirs d’information du sous-traitant (en cas de faille de sécurité, de transmission de données, etc.), aux garanties apportées et aux possibilités d’indemnisation. Des moyens techniques sont également judicieux comme le cryptage des données ou la répartition des données chez différents sous-traitants,  de sorte que les données présentes chez un fournisseur ne puissent pas être lues sans l’autre partie.

Dans certains cas, la seule solution sera un hébergement dans le même pays (voire pour l’Etat sur ses propres serveurs) ou limité à quelques pays. La limitation s’applique tant à la «nationalité» de la société qui gère les données que du lieu où sont les données. C’est également une opportunité réelle pour les entreprises suisses (et européennes) que de proposer des services d’hébergement de qualité et avec une garantie du lieu où les données seront traitées.

Les préposés européens unis face à la nouvelle politique de confidentialité de Google 25 octobre 2012

Posted by Sylvain Métille in Google, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Le 1er mars 2012, Google a unifié les règles de confidentialité (Privacy Policy) de tous ses services, pour n’avoir plus qu’une seule et unique version. Cette modification permet désormais au géant de l’Internet de combiner les informations des différents services et de ne traiter le tout que comme un seul produit. Si la démarche est cohérente du point de vue de Google, il est moins sûr que les utilisateurs mesurent l’étendue de tous ces services et les conséquences de la mise en relation de ces données. On peut donc difficilement interpréter l’utilisation d’un service par un internaute (utilisation du moteur de recherche ou d’un téléphone Android, clic d’un «+1» ou visite d’un site utilisant Google analytics) comme un consentement global à la fusion des données entre tous les services proposés par Google. Quelques soient les intentions que l’on prête à ce dernier, il faut admettre que sa grandeur devient problématique.

La CNIL française (la Commission Nationale de l’Informatique et des Libertés, soit l’autorité nationale de protection des données) a été mandatée par ses homologues européennes (Groupe de travail Article 29) pour enquêter sur ces nouvelles règles. Le verdict vient de tomber: les préposés européens à la protection des données recommandent une information plus claire des personnes, demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les différents services et souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.

La CNIL regrette que Google lui ait fourni des réponses incomplètes ou approximatives, notamment concernant la description de tous les traitements de données personnelles opérés ou la liste précise des 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. La CNIL n’a pas pu s’assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles (proportionnalité, droit d’opposition, traitement du minimum de données nécessaires, respect de la finalité, etc.). La nouvelle politique de confidentialité ne mentionne pas de limite claire concernant le périmètre de la collecte des données et les usages potentiels. Les autorités européennes demandent à Google de s’engager publiquement sur le respect des principes contenus dans la directive. Reste à voir s’il s’agit d’une demande polie ou d’une menace de mesures judiciaires ultérieures.

L’absence d’information suffisante sur l’utilisation des données
Les règles actuelles ne permettent pas à l’utilisateur d’un service Google de déterminer quelles données personnelles sont utilisées pour ce service et les finalités exactes pour lesquelles elles sont traitées, en particulier dans quelles mesures et comment ces données peuvent être utilisées pour un autre service ou en lien avec des données provenant d’un autre service.

Un traitement différencié n’est pas non plus prévu entre le contenu anodin d’une recherche et l’utilisation du numéro de carte de crédit ou encore le contenu d’une conversation téléphonique.

De plus, Google a refusé de s’engager sur des durées de conservation pour les données personnelles traitées.

L’absence de contrôle de la combinaison des données
Le plus grand souci provient de la combinaison de données entre les nombreux services de Google (Search, Maps, Youtube, Gmail, Google Play, Docs, Google+, DoubleClick, Analytics, boutons «+1»).

Cette combinaison est extrêmement étendue en termes de périmètre et d’historique des données, et elle poursuit des finalités très différentes (fourniture du service demandé, développement de nouveaux produits, sécurité, publicité, création du compte, recherche académique, etc.).

Le traitement de données personnelles doit reposer sur un motif justificatif (en général la loi ou le consentement de la personne). Or les autorités européennes ont constaté qu’un tel motif faisait défaut lorsque les données sont combinées. Elles demandent donc à Google de renforcer le consentement des personnes pour la combinaison des données lorsqu’elles ont pour but l’amélioration de services, le développement de nouveaux services, de la publicité et l’analyse de fréquentation. Elles demandent ensuite à Google d’offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées. Elles demandent finalement à Google d’adapter les outils utilisés pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.

Une démarche unie des préposés européens
Ces recommandations ont été adressées à Google et signées par 27 Préposés européens. Le Préposé australien a soutenu cette démarche au nom des autorités de protection des données de l’Asie-Pacifique (APPA), et la Commissaire à la protection de la vie privée du Canada en a fait de même.

Le Préposé Suisse (PFPDT) n’a apparemment pas pris position publiquement ni n’a ouvert d’enquête, alors que la FTC américaine a clairement refusé de soutenir les conclusions des préposés européens.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 699 autres abonnés