jump to navigation

Publications: L’informatique en nuage au sein d’une étude d’avocats 15 janvier 2014

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Liens, Logiciel, Protection des données, Publications, Skype, Sphère privée, Suisse, Technique.
1 comment so far

J’ai publié dans la revue Plaidoyer du mois d’octobre 2013 un article intitulé « L’informatique en nuage au sein d’une étude d’avocats». Cet article analyse quelques mythes en matière de cloud computing, puis présente le cadre législatif à respecter pour une étude d’avocats.

Il s’agit en particulier des dispositions de la loi sur la protection des données et des normes pénales protégeant le secret professionnel, en plus des règles déontologiques. Quelques points importants dans le choix d’une solution en nuage sont encore soulignés, même s’il ne s’agit pas d’obligations légales.

Nouvelles recommandations sur l’utilisation des cookies 22 novembre 2013

Posted by Sylvain Métille in Informatique, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Technique.
2 comments

Le groupe de travail article 29 a publié en octobre 2013 un document de travail sur la manière d’obtenir le consentement lors de l’utilisation des cookies. Ce document se base sur la Directive européenne 95/46/CE qui exige en principe un consentement de l’utilisateur. Ces recommandations s’appliquent évidemment non seulement aux cookies, mais également à tous les systèmes de traçage similaires. En droit suisse il suffit que l’utilisation des cookies soit reconnaissable, à moins qu’ils ne constituent un profil de personnalité. Ce sera souvent le cas et, il faut bien l’admettre, s’il l’on se doute qu’un site utilise des cookies ou d’autres méthodes de traçage il est bien difficile de savoir qui collecte quoi et dans quel but (d’autant qu’il y a souvent des cookies de tiers). Les cookies ne seront donc que rarement reconnaissables et une information devra être fournie à l’utilisateur, qui consentira alors expressément ou implicitement à leur utilisation.

Pour simplifier le travail des éditeurs ou propriétaires de sites, le groupe de travail  article 29 a retenu les exigences les plus strictes en Europe, divisées en quatre éléments. On ne peut que recommander l’application de ces règles en Suisse également au titre de bonnes pratiques.

Une information spécifique
Pour que le consentement soit valable, il faut qu’il repose sur une information claire, compréhensive et facilement accessible. L’information précisera le type de cookies utilisés, leur date d’expiration, les informations techniques, la présence de cookies tiers, etc. l’information ne doit pas disparaître tant que l’utilisateur n’a pas accepté.

Le moment
Le consentement doit évidemment être donné avant l’utilisation des cookies et la collecte de données. Cela implique que le site doit pouvoir être d’abord visité dans une version sans cookie, au moins jusqu’à ce que la personne a consenti. Si les cookies sont essentiels au fonctionnement du site, il faudra prévoir une page d’accueil spéciale sans cookies. Cet élément est considéré comme nouveau, même s’il est logique de ne pas laisser la possibilité au propriétaire de site de récolter des informations contre la volonté de l’internaute (y compris durant une durée limitée).

Un comportement actif
Le consentement de l’utilisateur doit être exprimé de manière active, par exemple en cliquant sur un lien ou un bouton, en cochant une case ou encore en fermant une fenêtre présentant les informations.

Un consentement libre
Le consentement doit être libre pour être valide, ce qui implique de pouvoir choisir dès la première page l’option d’accepter tous les cookies, seulement certains ou aucun. L’internaute doit pouvoir aussi modifier son choix ultérieurement. En principe, l’utilisateur devrait pouvoir également visiter un site sans accepter aucun cookie et sans être sanctionné de ce fait (par exemple en lui refusant sans raison l’accès à certaines pages).

Voir également sur le site de la Commission Nationale de l’Informatique et des Libertés
Cookies & traceurs : outils et codes sources (La mesure d’audience, les boutons sociaux et la publicité)

Voir également sur le site du Préposé fédéral à la protection des données
Explications concernant le webtracking

Applications mobiles, profilage, mise en œuvre coordonnée, transparence et «webtracking» 3 octobre 2013

Posted by Sylvain Métille in Informatique, Liens, Protection des données, Sphère privée, Suisse, Surveillance, Technique, USA.
1 comment so far

La 35e Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée s’est tenue à Varsovie (Pologne) du 23 au 26 septembre 2013. En plus de la traditionnelle partie réservée aux commissaires (préposés) nationaux à la protection des données, il y avait une partie publique ouverte à tous les professionnels du domaine. Cette année, les principaux thèmes abordés étaient «les réformes dans le monde entier: l’interopérabilité entre les régions», «protections des données et technologie» et «les principaux acteurs: perspectives, rôles, intérêts».

A l’issue de la partie réservée aux gouvernements, plusieurs résolutions ont été acceptées, notamment:

  • une résolution sur les applications mobiles: les commissaires ont souligné l’importance pour les consommateurs de rester maîtres de leurs données et leur intention de faire de ce sujet une priorité pour l’année à venir. La résolution insiste également sur l’information qui doit être fournie à l’utilisateur avant que la collecte des données ne commence, la possibilité de ne partager que certaines informations, l’absence de fonctions cachées, le rôle et la responsabilité des fournisseurs de plateformes.
  • Une résolution sur le profilage: les commissaires demandent que le profilage soit limité dans son principe, dans la quantité de données utilisées et les buts visés, que les algorithmes utilisés soient continuellement vérifiées et améliorés, que les droits d’accès et de correction soient assurés et en particulier qu’un contrôle humain existent lorsque le profilage a ensuite des effets sur les êtres humains et qu’une surveillance appropriée soit mise en place.
  • Une résolution sur la coordination internationale des enquêtes et sanctions. Cela doit aboutir à un accord cadre pour la prochaine conférence, ainsi que la mise en place d’une plateforme sécurisée permettant aux différentes autorités d’échanger des informations. Dans l’intervalle, les commissaires encouragent déjà la coopération dans des cas concrets.
  • Une résolution sur l’inscription de la protection des données et de la protection de la sphère privée dans le droit international : les commissaires demandent aux gouvernements de soutenir l’adoption d’un protocole additionnel à l’art. 17 de la convention sur les droits civils et politiques dans le but d’avoir un standard applicable globalement qui reposerait sur le principe de la base légale. (La FTC américaine s’est abstenue de voter cette résolution.)
  • Une résolution sur la transparence qui insiste sur l’importance de donner les buts dans lesquelles les données sont utilisées, l’identité et les moyens de contacter le responsable, et le fait que ces informations et les politiques de confidentialités doivent être rédigés dans un langage clair et compréhensible, dans un format accessible. Les commissaires encouragent également les organisations privées comme les gouvernements à faire preuve de transparence sur les pratiques de collection et d’utilisation de données, ainsi qu’à recourir à des certifications. (La FTC américaine s’est abstenue de voter cette résolution en tant qu’elle concerne le secteur public pour lequel elle n’a pas de compétence.)
  • Une résolution sur le traçage sur le web: les commissaires encouragent les sociétés concernées à ne pas utiliser les données dans un but autre que celui annoncé, informer de manière transparente et donner le contrôle à l’utilisateur des éléments de traçage, n’utiliser des éléments invisibles et empreintes que pour des questions de sécurité et détection des fraudes, ne pas tracer les enfants et les sites qui leurs sont destinés, utiliser le principe de privacy by design, anonymiser / pseudonimiser les données et promouvoir des standards techniques tel que Do-Not-Track. (Les autorités slovène et française se sont abstenue de voter cette résolution.)

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

Publications: Confier ses données à une société étrangère n’est pas sans risque 17 juin 2013

Posted by Sylvain Métille in Apple, Divers, Facebook, Google, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique, USA.
add a comment

Publié sous la rubrique «en point de mire» de la revue suisse de droit des médias Medialex, ce bref article intitulé «confier ses données à une société étrangère n’est pas sans risque» attirait l’attention sur l’application du Foreign Intelligence Act Américain et «le risque réel que des données de ressortissants suisses ou européens puissent être obtenus par les autorités américaines».

Si cela ne surprend plus grand monde aujourd’hui, il est important de souligner que cet article, comme plusieurs autres, a été écrit quelques mois avant que le Guardian ne publie la décision secrète de la FISC ordonnant à l’opérateur téléphonique américain Verizon de remettre au Gouvernement américain toutes les données accessoires des appels effectués aux Etats-Unis (ainsi que depuis ou à destination de ce pays), et quelques mois aussi avant que le Washington Post ne révèle le programme PRISM (Planning Tool for Resource Integration, Synchronization, and Management) et ne publie les schémas transmis par Edward Snowden.

Publications: l’utilisation de Skype dans une étude d’avocats 16 avril 2013

Posted by Sylvain Métille in Divers, Informatique, Liens, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
3 comments

Un bref article paru dans les éditions francophone et germanophone de la revue Plaidoyer s’intéresse à l’utilisation de Skype dans une étude d’avocats. Cela ne pose pas de problèmes particuliers si le client est au courant et accepte son utilisation. Il en irait différemment si l’avocat utilise un système de VoIP alors que le client croit utiliser un système de téléphonie classique, les risques n’étant pas les mêmes.

Des données biométriques pour contrôler l’accès aux installations sportives 21 janvier 2013

Posted by Sylvain Métille in Liens, Protection des données, Sphère privée, Suisse, Surveillance, Technique.
add a comment

Les questions liées à la protection des données dans le sport ont fait l’objet de diverses attentions. Le Tribunal administratif fédéral a notamment dû traiter de la légalité d’un système biométrique pour accéder à un centre sportif et a retenu que le stockage centralisé de données biométriques était disproportionné. D’autres solutions sont néanmoins acceptables.

Plusieurs systèmes peuvent être considérés comme conformes au droit suisse et en particulier à la Loi sur la protection des données. De nombreux détails figurent dans le «Guide relatif aux systèmes de reconnaissance biométrique» du Préposé fédéral à la protection des données et à la transparence. Trois systèmes sont décrits:

1. Les données biométriques sont stockées de manière décentralisée sur un support de données qui est en possession du client concerné. Cela garantit que cette personne garde le contrôle sur ses données biométriques et que ses données ne peuvent donc pas être utilisées sans une coopération consciente de sa part. Cette variante répond le mieux aux exigences de la protection des données et c’est donc celle-ci qu’il faut préférer.

2. Les données biométriques sont stockées de manière centralisée. Elles ne peuvent cependant être rattachées à d’autres données personnelles que moyennant un code d’attribution qui est enregistré sur une carte détenue seulement par la personne concernée. Ainsi, les données biométriques sortent de leur domaine de contrôle mais, comme les références à d’autres données de la personne concernée ne peuvent pas être établies sans sa collaboration consciente, le risque d’abus s’en trouve fortement limité.

3. Les données biométriques sont stockées de manière centralisée. La référence à d’autres données personnelles n’existe pas et ne peut pas non plus être établie ultérieurement. Dans ce cas, seules des caractéristiques biométriques qui ne laissent pas de traces peuvent être utilisées (par exemple la forme des doigts, le réseau veineux du doigt, la forme de la main, mais pas les empreintes digitales. On peut en effet retrouver des empreintes digitales sur un verre, une poignée de porte, etc.). Comme il n’y a pas de référence à d’autres données personnelles, le potentiel d’abus est fortement restreint. De plus, l’utilisation de caractéristiques biométriques ne laissant pas de traces garantit que les caractéristiques biométriques ne peuvent pas être recueillies et utilisées à l’insu des personnes concernées.

Indépendamment du système choisi, les personnes concernées doivent avoir donné leur consentement (après avoir été informées de manière adéquate sur le système) et elles doivent pouvoir choisir une alternative qui n’utilise pas de caractéristiques biométriques. Ce point est particulièrement important.

Les données biométriques intégrales ne seront en outre pas conservées mais seulement les gabarits (template) nécessaires aux systèmes de reconnaissance biométrique. Ils seront au surplus conservés sous forme chiffrée.

Mesurer la société de l’information, le rapport 2012 de l’UIT 6 novembre 2012

Posted by Sylvain Métille in Liens, Suisse, Téléphonie, Technique, USA.
add a comment

L’Union internationale des télécommunications (UIT, soit l’institution spécialisée des Nations Unies pour les technologies de l’information et de la communication) a publié le rapport 2012 «Mesurer la société de l’information».

Les principaux chiffres confirment que les technologies de l’information et de la communication (TIC) continuent de progresser partout dans le monde, bénéficiant de la baisse continue des prix de la téléphonie et des services Internet large bande.

Selon ce classement, la République de Corée est le pays du monde le plus avancé dans le domaine des TIC, suivie par la Suède, le Danemark, l’Islande et la Finlande. La Suisse pointe à la 10e place. A noter que sur les dix pays en tête du classement, huit sont des pays européens et deux asiatiques (le Japon est huitième). Les trente premiers pays sont des pays à revenus élevés.

L’UIT a classé 155 pays en se basant sur un indice qu’elle a mis au point en tenant compte du niveau d’accès aux TIC, de l’utilisation des TIC et des compétences dans ce domaine. Ces données sont ensuites comparées aux résultats de 2010 et de 2011.

Un fort développement de la téléphonie mobile dans les pays en développement
Les pays qui ont vu les plus forts développements en général sont le Bahreïn, le Brésil, le Ghana, le Kenya, le Rwanda et l’Arabie saoudite. Les pays en développement ont également montré une très forte croissance du marché de la téléphonie mobile.

La croissance de l’Internet à large bande est toujours aussi importante (40% à l’échelle mondiale et 78% dans les pays en développement). Il y a désormais dans le monde autant d’abonnements à l’Internet à large bande mobiles que fixes.

Au niveau mondial, les prix moyens ont baissé entre 2008 et 2011 de 30% (téléphonie fixe, services mobiles et services Internet large bande fixe). Des inégalités importantes subsistent entre pays: alors qu’un forfait mensuel de base pour l’accès à Internet à haut débit représentait à fin 2011 1,7% du revenu national brut par habitant dans les pays développés, il coûtait plus de 40% de ce même revenu dans les pays en développement.

En Suisse
En 2011, 90% des foyers Suisse possèdent un ordinateur et 89% un accès à Internet. La Suisse est un des pays ayant le plus fort taux de pénétration au monde en ce qui concerne la téléphonie fixe et l’accès à Internet fixe.

Les préposés européens unis face à la nouvelle politique de confidentialité de Google 25 octobre 2012

Posted by Sylvain Métille in Google, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Le 1er mars 2012, Google a unifié les règles de confidentialité (Privacy Policy) de tous ses services, pour n’avoir plus qu’une seule et unique version. Cette modification permet désormais au géant de l’Internet de combiner les informations des différents services et de ne traiter le tout que comme un seul produit. Si la démarche est cohérente du point de vue de Google, il est moins sûr que les utilisateurs mesurent l’étendue de tous ces services et les conséquences de la mise en relation de ces données. On peut donc difficilement interpréter l’utilisation d’un service par un internaute (utilisation du moteur de recherche ou d’un téléphone Android, clic d’un «+1» ou visite d’un site utilisant Google analytics) comme un consentement global à la fusion des données entre tous les services proposés par Google. Quelques soient les intentions que l’on prête à ce dernier, il faut admettre que sa grandeur devient problématique.

La CNIL française (la Commission Nationale de l’Informatique et des Libertés, soit l’autorité nationale de protection des données) a été mandatée par ses homologues européennes (Groupe de travail Article 29) pour enquêter sur ces nouvelles règles. Le verdict vient de tomber: les préposés européens à la protection des données recommandent une information plus claire des personnes, demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les différents services et souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.

La CNIL regrette que Google lui ait fourni des réponses incomplètes ou approximatives, notamment concernant la description de tous les traitements de données personnelles opérés ou la liste précise des 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. La CNIL n’a pas pu s’assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles (proportionnalité, droit d’opposition, traitement du minimum de données nécessaires, respect de la finalité, etc.). La nouvelle politique de confidentialité ne mentionne pas de limite claire concernant le périmètre de la collecte des données et les usages potentiels. Les autorités européennes demandent à Google de s’engager publiquement sur le respect des principes contenus dans la directive. Reste à voir s’il s’agit d’une demande polie ou d’une menace de mesures judiciaires ultérieures.

L’absence d’information suffisante sur l’utilisation des données
Les règles actuelles ne permettent pas à l’utilisateur d’un service Google de déterminer quelles données personnelles sont utilisées pour ce service et les finalités exactes pour lesquelles elles sont traitées, en particulier dans quelles mesures et comment ces données peuvent être utilisées pour un autre service ou en lien avec des données provenant d’un autre service.

Un traitement différencié n’est pas non plus prévu entre le contenu anodin d’une recherche et l’utilisation du numéro de carte de crédit ou encore le contenu d’une conversation téléphonique.

De plus, Google a refusé de s’engager sur des durées de conservation pour les données personnelles traitées.

L’absence de contrôle de la combinaison des données
Le plus grand souci provient de la combinaison de données entre les nombreux services de Google (Search, Maps, Youtube, Gmail, Google Play, Docs, Google+, DoubleClick, Analytics, boutons «+1»).

Cette combinaison est extrêmement étendue en termes de périmètre et d’historique des données, et elle poursuit des finalités très différentes (fourniture du service demandé, développement de nouveaux produits, sécurité, publicité, création du compte, recherche académique, etc.).

Le traitement de données personnelles doit reposer sur un motif justificatif (en général la loi ou le consentement de la personne). Or les autorités européennes ont constaté qu’un tel motif faisait défaut lorsque les données sont combinées. Elles demandent donc à Google de renforcer le consentement des personnes pour la combinaison des données lorsqu’elles ont pour but l’amélioration de services, le développement de nouveaux services, de la publicité et l’analyse de fréquentation. Elles demandent ensuite à Google d’offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées. Elles demandent finalement à Google d’adapter les outils utilisés pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.

Une démarche unie des préposés européens
Ces recommandations ont été adressées à Google et signées par 27 Préposés européens. Le Préposé australien a soutenu cette démarche au nom des autorités de protection des données de l’Asie-Pacifique (APPA), et la Commissaire à la protection de la vie privée du Canada en a fait de même.

Le Préposé Suisse (PFPDT) n’a apparemment pas pris position publiquement ni n’a ouvert d’enquête, alors que la FTC américaine a clairement refusé de soutenir les conclusions des préposés européens.

Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 648 followers