jump to navigation

Publications: l’utilisation de Skype dans une étude d’avocats 16 avril 2013

Posted by Sylvain Métille in Divers, Informatique, Liens, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.
3 comments

Un bref article paru dans les éditions francophone et germanophone de la revue Plaidoyer s’intéresse à l’utilisation de Skype dans une étude d’avocats. Cela ne pose pas de problèmes particuliers si le client est au courant et accepte son utilisation. Il en irait différemment si l’avocat utilise un système de VoIP alors que le client croit utiliser un système de téléphonie classique, les risques n’étant pas les mêmes.

Des données biométriques pour contrôler l’accès aux installations sportives 21 janvier 2013

Posted by Sylvain Métille in Liens, Protection des données, Sphère privée, Suisse, Surveillance, Technique.
add a comment

Les questions liées à la protection des données dans le sport ont fait l’objet de diverses attentions. Le Tribunal administratif fédéral a notamment dû traiter de la légalité d’un système biométrique pour accéder à un centre sportif et a retenu que le stockage centralisé de données biométriques était disproportionné. D’autres solutions sont néanmoins acceptables.

Plusieurs systèmes peuvent être considérés comme conformes au droit suisse et en particulier à la Loi sur la protection des données. De nombreux détails figurent dans le «Guide relatif aux systèmes de reconnaissance biométrique» du Préposé fédéral à la protection des données et à la transparence. Trois systèmes sont décrits:

1. Les données biométriques sont stockées de manière décentralisée sur un support de données qui est en possession du client concerné. Cela garantit que cette personne garde le contrôle sur ses données biométriques et que ses données ne peuvent donc pas être utilisées sans une coopération consciente de sa part. Cette variante répond le mieux aux exigences de la protection des données et c’est donc celle-ci qu’il faut préférer.

2. Les données biométriques sont stockées de manière centralisée. Elles ne peuvent cependant être rattachées à d’autres données personnelles que moyennant un code d’attribution qui est enregistré sur une carte détenue seulement par la personne concernée. Ainsi, les données biométriques sortent de leur domaine de contrôle mais, comme les références à d’autres données de la personne concernée ne peuvent pas être établies sans sa collaboration consciente, le risque d’abus s’en trouve fortement limité.

3. Les données biométriques sont stockées de manière centralisée. La référence à d’autres données personnelles n’existe pas et ne peut pas non plus être établie ultérieurement. Dans ce cas, seules des caractéristiques biométriques qui ne laissent pas de traces peuvent être utilisées (par exemple la forme des doigts, le réseau veineux du doigt, la forme de la main, mais pas les empreintes digitales. On peut en effet retrouver des empreintes digitales sur un verre, une poignée de porte, etc.). Comme il n’y a pas de référence à d’autres données personnelles, le potentiel d’abus est fortement restreint. De plus, l’utilisation de caractéristiques biométriques ne laissant pas de traces garantit que les caractéristiques biométriques ne peuvent pas être recueillies et utilisées à l’insu des personnes concernées.

Indépendamment du système choisi, les personnes concernées doivent avoir donné leur consentement (après avoir été informées de manière adéquate sur le système) et elles doivent pouvoir choisir une alternative qui n’utilise pas de caractéristiques biométriques. Ce point est particulièrement important.

Les données biométriques intégrales ne seront en outre pas conservées mais seulement les gabarits (template) nécessaires aux systèmes de reconnaissance biométrique. Ils seront au surplus conservés sous forme chiffrée.

Mesurer la société de l’information, le rapport 2012 de l’UIT 6 novembre 2012

Posted by Sylvain Métille in Liens, Suisse, Téléphonie, Technique, USA.
add a comment

L’Union internationale des télécommunications (UIT, soit l’institution spécialisée des Nations Unies pour les technologies de l’information et de la communication) a publié le rapport 2012 «Mesurer la société de l’information».

Les principaux chiffres confirment que les technologies de l’information et de la communication (TIC) continuent de progresser partout dans le monde, bénéficiant de la baisse continue des prix de la téléphonie et des services Internet large bande.

Selon ce classement, la République de Corée est le pays du monde le plus avancé dans le domaine des TIC, suivie par la Suède, le Danemark, l’Islande et la Finlande. La Suisse pointe à la 10e place. A noter que sur les dix pays en tête du classement, huit sont des pays européens et deux asiatiques (le Japon est huitième). Les trente premiers pays sont des pays à revenus élevés.

L’UIT a classé 155 pays en se basant sur un indice qu’elle a mis au point en tenant compte du niveau d’accès aux TIC, de l’utilisation des TIC et des compétences dans ce domaine. Ces données sont ensuites comparées aux résultats de 2010 et de 2011.

Un fort développement de la téléphonie mobile dans les pays en développement
Les pays qui ont vu les plus forts développements en général sont le Bahreïn, le Brésil, le Ghana, le Kenya, le Rwanda et l’Arabie saoudite. Les pays en développement ont également montré une très forte croissance du marché de la téléphonie mobile.

La croissance de l’Internet à large bande est toujours aussi importante (40% à l’échelle mondiale et 78% dans les pays en développement). Il y a désormais dans le monde autant d’abonnements à l’Internet à large bande mobiles que fixes.

Au niveau mondial, les prix moyens ont baissé entre 2008 et 2011 de 30% (téléphonie fixe, services mobiles et services Internet large bande fixe). Des inégalités importantes subsistent entre pays: alors qu’un forfait mensuel de base pour l’accès à Internet à haut débit représentait à fin 2011 1,7% du revenu national brut par habitant dans les pays développés, il coûtait plus de 40% de ce même revenu dans les pays en développement.

En Suisse
En 2011, 90% des foyers Suisse possèdent un ordinateur et 89% un accès à Internet. La Suisse est un des pays ayant le plus fort taux de pénétration au monde en ce qui concerne la téléphonie fixe et l’accès à Internet fixe.

Les préposés européens unis face à la nouvelle politique de confidentialité de Google 25 octobre 2012

Posted by Sylvain Métille in Google, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Le 1er mars 2012, Google a unifié les règles de confidentialité (Privacy Policy) de tous ses services, pour n’avoir plus qu’une seule et unique version. Cette modification permet désormais au géant de l’Internet de combiner les informations des différents services et de ne traiter le tout que comme un seul produit. Si la démarche est cohérente du point de vue de Google, il est moins sûr que les utilisateurs mesurent l’étendue de tous ces services et les conséquences de la mise en relation de ces données. On peut donc difficilement interpréter l’utilisation d’un service par un internaute (utilisation du moteur de recherche ou d’un téléphone Android, clic d’un «+1» ou visite d’un site utilisant Google analytics) comme un consentement global à la fusion des données entre tous les services proposés par Google. Quelques soient les intentions que l’on prête à ce dernier, il faut admettre que sa grandeur devient problématique.

La CNIL française (la Commission Nationale de l’Informatique et des Libertés, soit l’autorité nationale de protection des données) a été mandatée par ses homologues européennes (Groupe de travail Article 29) pour enquêter sur ces nouvelles règles. Le verdict vient de tomber: les préposés européens à la protection des données recommandent une information plus claire des personnes, demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les différents services et souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.

La CNIL regrette que Google lui ait fourni des réponses incomplètes ou approximatives, notamment concernant la description de tous les traitements de données personnelles opérés ou la liste précise des 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. La CNIL n’a pas pu s’assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles (proportionnalité, droit d’opposition, traitement du minimum de données nécessaires, respect de la finalité, etc.). La nouvelle politique de confidentialité ne mentionne pas de limite claire concernant le périmètre de la collecte des données et les usages potentiels. Les autorités européennes demandent à Google de s’engager publiquement sur le respect des principes contenus dans la directive. Reste à voir s’il s’agit d’une demande polie ou d’une menace de mesures judiciaires ultérieures.

L’absence d’information suffisante sur l’utilisation des données
Les règles actuelles ne permettent pas à l’utilisateur d’un service Google de déterminer quelles données personnelles sont utilisées pour ce service et les finalités exactes pour lesquelles elles sont traitées, en particulier dans quelles mesures et comment ces données peuvent être utilisées pour un autre service ou en lien avec des données provenant d’un autre service.

Un traitement différencié n’est pas non plus prévu entre le contenu anodin d’une recherche et l’utilisation du numéro de carte de crédit ou encore le contenu d’une conversation téléphonique.

De plus, Google a refusé de s’engager sur des durées de conservation pour les données personnelles traitées.

L’absence de contrôle de la combinaison des données
Le plus grand souci provient de la combinaison de données entre les nombreux services de Google (Search, Maps, Youtube, Gmail, Google Play, Docs, Google+, DoubleClick, Analytics, boutons «+1»).

Cette combinaison est extrêmement étendue en termes de périmètre et d’historique des données, et elle poursuit des finalités très différentes (fourniture du service demandé, développement de nouveaux produits, sécurité, publicité, création du compte, recherche académique, etc.).

Le traitement de données personnelles doit reposer sur un motif justificatif (en général la loi ou le consentement de la personne). Or les autorités européennes ont constaté qu’un tel motif faisait défaut lorsque les données sont combinées. Elles demandent donc à Google de renforcer le consentement des personnes pour la combinaison des données lorsqu’elles ont pour but l’amélioration de services, le développement de nouveaux services, de la publicité et l’analyse de fréquentation. Elles demandent ensuite à Google d’offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées. Elles demandent finalement à Google d’adapter les outils utilisés pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.

Une démarche unie des préposés européens
Ces recommandations ont été adressées à Google et signées par 27 Préposés européens. Le Préposé australien a soutenu cette démarche au nom des autorités de protection des données de l’Asie-Pacifique (APPA), et la Commissaire à la protection de la vie privée du Canada en a fait de même.

Le Préposé Suisse (PFPDT) n’a apparemment pas pris position publiquement ni n’a ouvert d’enquête, alors que la FTC américaine a clairement refusé de soutenir les conclusions des préposés européens.

Facebook: enfin une suppression définitive 12 octobre 2012

Posted by Sylvain Métille in Facebook, Liens, Protection des données, Sphère privée, Technique, USA.
1 comment so far

C’était un reproche récurrent depuis des années, lorsqu’un utilisateur supprime des photos voire son compte Facebook, le réseau social conservait les informations et ne supprimait que les liens. La justification donnée tenait du confort de l’utilisateur qui changerait d’avis (pour lui donner la possibilité de récupérer ses informations) et d’aspects techniques (les informations sont réparties sur plusieurs serveurs qui ne peuvent pas être effacés simultanément de manière certaine).

Supprimer définitivement son compte
La situation s’est progressivement améliorée puisqu’il est possible de supprimer définitivement son compte à condition de s’avoir comment procéder. Facebook propose en effet de désactiver son compte (et pas de le supprimer): sous l’onglet sécurité de la page paramètres du compte se trouve un lien « désactiver votre compte » en bas de page. Le compte sera seulement désactivé et réapparaîtra lors de la nouvelle connexion au compte Facebook. Cela n’est utile que si vous souhaitez disparaitre momentanément.

L’utilisateur ne peut pas supprimer seul son compte de manière définitive mais il peut demander au réseau social de le faire pour lui en suivant ce lien: www.facebook.com/help/delete_account. Auparavant, il ne sera peut-être pas inutile de télécharger ses données .

Supprimer les photos supprimées
On sait depuis 2009 que les photos supprimées ne l’étaient pas toujours mais qu’elles disparaissaient parfois seulement de la vue des utilisateurs. Elles subsistaient sur les serveurs de la société et il était parfois possible de les voir en utilisant le lien direct (le lien qui apparaît sous la photo que l’on a enregistrée sur le réseau social).

Depuis quelques mois ce n’est heureusement plus le cas et le réseau social promet que les photos disparaîtront au plus tard définitivement après 30 jours. C’est apparemment le temps nécessaire à Facebook pour supprimer tous les liens vers ses différents serveurs.

Google Street View: l’arrêt du Tribunal fédéral qui satisfait toutes les parties 1C_230/2011 2 octobre 2012

Posted by Sylvain Métille in ATF, Google, Jurisprudence, Liens, Localisation, Protection des données, Sphère privée, Suisse, Technique, USA, Vidéosurveillance.
add a comment

L’Affaire Google Street View a commencé en 2009 avec une recommandation du Préposé fédéral à la protection des données et à la transparence (PFPDT) contestée par Google. Le PFPDT avait alors dû porter l’affaire devant le Tribunal administratif fédéral (TAF) contre les sociétés Google Inc. (Mountain View, USA) et Google Switzerland Sàrl (Zurich). Par arrêt du 30 mars 2011, le Tribunal administratif fédéral (TAF), avait enjoint Google de rendre l’intégralité des visages et plaques de d’immatriculation méconnaissables avant la publication des images sur Internet, au moyen d’un contrôle manuel si nécessaire. Google a recouru au Tribunal fédéral (TF) et avait même menacé de fermer le service Google Street View en Suisse (commentaire de l’arrêt du TAF ).

Le Tribunal fédéral a rendu un arrêt le 31 mai 2012 (1C_230/2011), mettant un terme définitif à cette affaire et réussissant au passage à satisfaire les deux parties. En bref, le TF donne raison au Préposé mais admet que l’on ne peut pas exiger de Google un traitement manuel en vue d’atteindre un floutage à 100%. La Haute Cour admet une marge d’erreur de 1% si d’autres conditions strictes sont remplies.

Il ne s’agit donc pas d’une victoire claire de Google comme on cela pu être écrit puisque la majorité des arguments du Préposé ont été confirmés comme devant l’instance précédente, mais c’est néanmoins la possibilité pour Google de confirmer à offrir son service. C’est également la reconnaissance par le Tribunal fédéral que l’on ne peut pas exiger, même d’un géant de l’informatique une marge d’erreur égale à zéro mais qu’il convient plutôt de dreser une liste de conditions particulières à respecter pour réduire les conséquences que ces erreurs inévitables pourraient avoir.

Google Street View est soumis à la loi sur la protection des données
De manière logique le TF confirme l’application de la Loi fédérale sur la protection des données. Que les données soient traitées aux USA n’y change rien, car elles ont été enregistrées en Suisse, contiennent des informations sur des personnes et des lieux en Suisse et sont publiées de manière à être accessibles de Suisse. Le TF a ensuite confirmé Google Sàrl pouvait répondre devant un Tribunal des conséquences de Google Street View.

Sur le fonds, Google reprend d’abord l’argument qu’elle ne traitait pas de données personnelles. Les données personnelles sont les données qui permettent d’identifier précisément une personne, soit directement avec ces données, soit en les combinant avec des informations issues du contexte ou d’autres informations. Le TAF avait admis, à bon droit dit le TF, que les données d’enregistrement brutes étaient reconnaissables et devaient être considérées comme des données personnelles. Il en est de même après le traitement automatique des données puisque la procédure a démontré qu’il existait des visages ou des plaques d’immatriculation qui n’étaient pas floutés, de même que des lieux ou des personnes reconnaissables en fonction du contexte. La notion de données personnelles doit être admise également pour les signes distinctifs des voitures, les maisons, cours et jardins, qui peuvent avoir facilement un caractère personnel. Les données étant mises gratuitement à disposition du public dans toute la Suisse, une erreur de système de Google Street View est susceptible de porter atteinte à la personnalité d’un nombre important de personnes et justifie l’intervention du Préposé.

La finalité du traitement, qui doit être reconnaissable dès la collecte des données, ne peut pas être comprise par la seule vue des caméras sur une voiture ou une annonce sur une page Internet publiée une semaine à l’avance.

Le droit à l’image
Le TF rappelle que le droit de la protection des données complète et concrétise la protection de la sphère privée découlant de la Constitution et des articles 28ss du Code civil. Le droit à l’image est le droit à l’auto-détermination qui protège contre la représentation sans droit de sa propre image. C’est le droit de chacun de décider de la diffusion de sa propre photo, en particulier dans un but économique ou politique, mais également celui de s’opposer à la diffusion de photos et vidéos qui permettent d’identifier une personne. La maîtrise de ses données personnelles est garantie par le droit à l’auto-détermination informationnelle, et cela qu’il s’agisse de données sensibles ou non.

La simple prise de photos dans la rue viole déjà le droit à l’image, car des personnes peuvent être photographiées et leur image diffusée (durablement) sur Internet sans même qu’elles en aient conscience. Les possibilités techniques actuelles (zoom par exemple) font qu’une personne apparaissant comme un élément accessoire de l’image peut également être reconnaissable. La publication à grande échelle d’images de personnes ou de véhicules dans des lieux sensibles ou dans des situations désagréables peut aussi créer une représentation négative. Une différence doit d’autre part être faite entre le simple regard que pourrait jeter un passant dans une cour ou un jardin privé et la diffusion durable d’images sur Internet.

Le floutage automatique ne suffit pas à éviter une atteinte à la personnalité
La plupart des atteintes à la personnalité peuvent être évitées par la technologie de floutage automatique des visages et plaques d’immatriculation. Une amélioration de cette technologie ne suffit toutefois pas à diminuer le risque d’atteinte d’un grand nombre de personnes vu le nombre important d’images publiées. Considérant que 20 millions d’images environ sont actuellement diffusées pour la Suisse, un taux d’erreur réduit à 0.5% représente néanmoins 100 000 images insuffisamment anonymisées. L’atteinte est renforcée par le fait que la même personne peut se retrouver sur plusieurs images et que même en cas de floutage automatique une identification demeure parfois possible (ce qui constitue donc une atteinte). Google doit donc rendre les images de visages ou numéros de plaques non-reconnaissables.

Pour le TF (comme précédemment le TAF), le fait que Google Street View soit offert gratuitement ou que des mesures de respect de la sphère privée auraient un coût supplémentaire pour l’entreprise ne peut pas être retenu comme un intérêt public ou privé prépondérant.

Le floutage manuel sur demande
La diffusion de photos de visages représente une atteinte à la personnalité, en l’absence de l’accord de la personne concernée ou d’un motif justificatif. Google doit alors donner la possibilité à chacun de demander à ce que son image soit anonymisée, ce qui permet de compenser les lacunes du système automatique. Ce système doit être facilement accessible et Google doit y donner suite rapidement, sans formalité et gratuitement. Ce droit devra être rappelé régulièrement dans les médias (au minimum tous les trois ans), de même que de futures prises de vues doivent être largement annoncées.

Protéger manuellement les lieux sensibles
En plus des mesures décrites précédemment, des mesures particulières doivent être prises à proximité des lieux sensibles : un floutage manuel est requis et il ne doit pas seulement viser le visage ou le numéro de plaques mais s’étend à tout élément reconnaissable (couleur de peau, habits, moyens auxiliaires des handicapés, etc.). Le floutage devra être fait de manière à ce qu’il ne soit pas possible d’en déduire d’informations, en particulier pourquoi et à la demande de qui il a été effectuée.

Si ce travail devait être trop difficile pour Google, le Tribunal fédéral souligne que la société a toujours la possibilité d’anonymiser entièrement les bâtiments sensibles et les environs, ce qui ne mettrait pas pour autant le contenu informatif de Google Street View en péril.

Quoiqu’il en soit un visage qui ne serait pas flouté automatiquement demeure une atteinte à la personnalité que la personne concernée peut faire valoir en justice et il en découle un intérêt important pour Google à améliorer continuellement son logiciel de floutage automatique.

Soigner l’information et respecter les espaces privés
Il faut encore ajouter le respect des espaces privés clôturés qui ne sont pas visibles par les passants (garages, cours, balcons, etc.). Google dispose d’un délai transitoire de trois ans pour retirer ces images, à moins évidement qu’une personne ne demande le retrait dans un cas particulier. A l’avenir, les images devront être prises depuis une hauteur de 2 mètres maximum (au lieu de 2.80 actuellement).

Le TF a encore confirmé l’obligation faite à Google d’annoncer dans les médias de futurs enregistrement, considérant que l’on ne pouvant pas attendre de chacun qu’il aille régulièrement consulter le site internet de Google pour savoir s’il y aurait, et cas échéant quand, des prises de vues dans sa région.

Il ressort d’une pesée d’intérêts, qu’en cas de respect strict des exigences mentionnées auparavant (floutage complet des zones sensibles, information, suppression rapide, gratuite et sans formalité en cas de demande, amélioration du logiciel, etc), un taux d’erreur inférieur à 1% est acceptable.

Moins de 1% d’erreur acceptable, si…
En conclusion, une marge d’erreur de 1% lors du floutage automatiques est admissible si les conditions suivantes sont remplies:

  • le floutage automatique doit être adapté régulièrement selon l’état de la technique ;
  • à proximité des établissements sensibles, notamment les écoles, hôpitaux, maisons de retraite, foyers d’accueil pour femmes, ainsi que les tribunaux et les prisons, une anonymisation complète des personnes et des signes distinctifs doit être effectuée avant la publication sur Internet ;
  • les images d’espaces privés (cours clôturées, jardins, etc.) qui sont à l’abri des regards des passants habituels, prises avec des appareils à plus de 2 m de hauteur ne doivent pas être publiées sur Google Street View, sauf accord des personnes concernées. Les images actuellement visibles doivent être supprimées immédiatement en cas de requête et dans tous les cas automatiquement dans les 3 ans ;
  • Google doit exécuter manuellement, efficacement et sans formalité, les demandes ultérieures d’anonymisation. Un lien clair doit figurer sur Google Street View ainsi qu’une adresse postale. Une information régulière et suffisante sur les possibilités d’opposition, doit être donnée dans les médias et sur Internet, au moins tous les 3 ans.

C’est quoi le skimming? 23 août 2012

Posted by Sylvain Métille in Droit pénal et procédure pénale, Liens, Logiciel, Sphère privée, Suisse, Surveillance, Technique.
add a comment

Certains termes sont couramment utilisés sans que l’on prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas et de Privacy by design/protection intégrée de la vie privée.

Le terme anglais «skimming» signifie «effleurer» en anglais et est utilisé pour désigner un type d’escroquerie à la carte de paiement (crédit, débit, prépayée, etc.).

Comment cela fonctionne
L’opération consiste d’abord à effectuer une copie de la bande magnétique de la carte à l’aide d’un dispositif spécial sans que le possesseur de la carte ne le remarque. Ces données seront ensuite reportées sur une carte vierge qui sera finalement utilisée par les escrocs. Parallèlement, ils récupèrent le mot de passe, par exemple à l’aide d’une caméra cachée ou d’un dispositif placé sur ou sous le clavier.

Une fois en possession de la carte falsifiée et du code, rien ne les empêche d’utiliser la carte voire d’accéder au compte de la victime. Et comme l’utilisateur n’a rien remarqué et qu’il est toujours en possession de la carte d’origine, ce n’est qu’au moment de consulter le solde de son compte qu’il remarquera qu’il est victime d’escroquerie.

D’après le dernier rapport de l’Office fédéral de la police, le skimming a causé en 2011 des pertes à hauteur de 15 millions de francs pour les banques suisses et le nombre de bancomats manipulés s’est presque multiplié par cinq l’année passée.

Les auteurs des opérations de skimming seraient, selon le rapport, presque exclusivement des bandes venues d’Europe du sud-est, principalement de Bulgarie et de Roumanie. Ils viennent en Suisse avec leur équipement puis quittent rapidement le pays afin d’utiliser les cartes copiées dans un autre pays, les bancomats suisses exigeant une puce, beaucoup plus difficile à copier qu’une bande magnétique.

Les banques ayant réagi et investi dans la sécurité de leurs appareils, les attaques de skimming se sont déplacées vers les distributeurs de tickets et les dispositifs de paiement des supermarchés, plus vulnérables.

Une campagne de prévention a été lancée
Suite à cette hausse, les autorités policières ont lancé en 2012 la campagne nationale de prévention «Stop Skimming», qui bénéficie du soutien de la Prévention suisse de la criminalité et de l’Association suisse des banquiers.

La campagne rappelle notamment les principes élémentaires pour se protéger du skimming: garder son code confidentiel, saisir le code à l’abri des regards, ne pas se laisser aider ou distraire, ne pas donner sa carte, contrôler ses comptes,…

Google accepte une amende de USD 22.5 mios pour avoir trompé les utilisateurs de Safari 10 août 2012

Posted by Sylvain Métille in Apple, Google, Jurisprudence, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Technique, USA.
add a comment

Google devra payer une amende de 22.5 millions de dollars US  pour mettre un terme aux poursuites liées à la surveillance des utilisateurs du navigateur internet Safari (Apple). Si ce n’est pas la première fois que la Commission fédérale américaine du Commerce (FTC) vise Google, c’est néanmoins l’amende la plus élevée prononcée jusqu’à ce jour par cette autorité. Ce montant doit toutefois être rapporté aux liquidités de la société qui s’élevaient à 44,6 milliards de dollars US au 31 décembre 2011.

On se souvient du lancement malheureux de Google Buzz qui publiait la liste des contacts les plus fréquents de l’utilisateur sans son accord. Cela avait conduit à une décision historique obligeant Google à verser 8.5 millions de dollars US, à demander aux utilisateurs leur consentement explicite avant tout changement affectant le partage de leurs informations personnelles et soumettant l’entreprise à un audit indépendant de ses pratiques en matière de confidentialité chaque deux ans pendant vingt 20 ans.

A la recherche d’une pratique trompeuse
La FTC n’est pas un préposé à la protection des données comme on en connaît en Europe mais un bureau qui doit assurer le respect du droit de la concurrence sur le marché américain (contrôle des fusions d’entreprises et des pratiques anti-concurrentielles) et la protection du consommateur (prévention de la fraude et des pratiques commerciales trompeuses et déloyales). Dans sa recherche de pratiques trompeuses et déloyales, la FTC inclut les engagements et promesses de respecter la sphère privée qui ne sont pas tenus.

Ainsi la FTC ne reproche pas tant à Google une violation de la sphère privée en tant que telle, mais surtout d’avoir pris des engagements ou fait des promesses qui n’ont pas été respectés. Dans le cas de Google Buzz, la FTC avait retenu notamment que Google n’avait pas tenu ses promesse découlant de son engagement à respecter les accords Safe Harbor conclus entre les USA et l’UE, respectivement la Suisse. Il en découlait une pratique trompeuse pour le consommateur.

Pour ce qui est de la dernière affaire, Google avait indiqué que les utilisateurs de Safari bénéficiaient de la même protection que s’ils refusaient spécifiquement les cookies publicitaires de Google (opt-out), tant qu’ils ne modifiaient pas cette configuration de leur navigateur (étant donné qu’il est configuré ainsi par défaut). Ultérieurement, Google avait ouvert une brèche dans le système do not track  du navigateur Safari, et collectait des cookies à l’insu des utilisateurs de Safari.

D’autres condamnations
La Commission nationale française de l’informatique et des libertés (CNIL) avait prononcé une amende de 100 000 euros suite à l’enregistrement par Google de données transitant par les réseaux sans fil Wi-Fi de particuliers au moyen des véhicules déployés sur le territoire français dans le cadre de la cartographie pour Google Street View, et ce à l’insu des personnes concernées. La Commission fédérale des communications américaine (FCC) a quant à elle récemment condamné Google au paiement d’une amende de 25000 dollars US pour avoir collecté des données personnelles mais surtout pour avoir refusé de coopérer dans le cadre d’une enquête sur ces pratiques sur sol américain.

Google avait informé la CNIL en juin 2011 qu’elle procédait à la destruction des données collectées illégalement et proposait aux internautes de modifier le nom de leur réseau pour éviter qu’il soit enregistré. Or, cet été Google vient d’informer la CNIL, et d’autres autorités européennes de protection des données, qu’elle venait de constater être encore en possession d’une partie des données récoltées illégalement et qu’elle souhaitait désormais les détruire. La CNIL, comme d’autres autorités de protection des données, a exigé que ces données soit mises à leur disposition et conservées de manière sécurisée le temps de pouvoir mener les investigations nécessaires. L’affaire n’est donc pas terminée.

Rapport annuel du Préposé fédéral à la protection des données et à la transparence 17 juillet 2012

Posted by Sylvain Métille in Liens, Protection des données, Sphère privée, Suisse, Technique.
add a comment

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) vient de publier son dernier rapport d’activités (19ème rapport d’activités 2011/2012).

Ces douze derniers mois, le Préposé et ses collaborateurs (trente personnes environ) ont publié des informations concernant l’informatique en nuage (cloud computing), une version révisée du «Guide relatif aux mesures techniques et organisationnelles de la protection des données», une version révisée du feuillet concernant la vidéosurveillance et un nouveau feuillet sur la vidéosurveillance de l’espace public et du matériel d’enseignement sur les principes de base de la sécurité des données pour les jeunes adultes. Actuellement uniquement disponible en allemand, ce matériel devrait être traduit en français d’ici l’automne.

Le PFPDT a  également publié des «Explications sur la protection des données dans les bibliothèques». Ce document rappelle les points essentiels que les bibliothèques (publics et privées) doivent observer au regard de la législation sur la protection des données. Il traite notamment des données des utilisateurs, mais aussi des données personnelles provenant ordinateurs à disposition du public connectés à Internet, ainsi que les particularités relatives aux réseaux des bibliothèques.

Publications: Les mesures techniques de surveillance: des risques évités et des risques créés 10 avril 2012

Posted by Sylvain Métille in Divers, Droit pénal et procédure pénale, Liens, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Technique.
add a comment

L’article paru dans le livre Risque(s) et droit édité par Philippe Meier et Alain Papaux est désormais disponible : «Les mesures techniques de surveillance: des risques évités et des risques créés».

Cette contribution scientifique rédigée dans le cadre du séminaire de 3e cycle de la CUSO aborde les risques que les mesures de surveillance tendent à réduire et ceux qui sont la conséquence de l’utilisation de mesures de surveillances. Une attention particulière est portée sur l’atteinte à la sphère privée, l’utilisation de données à l’insu de la personne concernée, l’impossibilité de corriger des données inconnues et finalement la sécurité des données, les fuites et la transmission des données. Les moyens juridiques et techniques pour limiter ces risques sont brièvement évoqués.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 694 autres abonnés