Cachons-nous, les voitures Google reviennent ! 7 mai 2013
Posted by Sylvain Métille in Google, Humeur, Localisation, Protection des données, Sphère privée, Suisse.add a comment
En Suisse, l’affaire Google Street View commence en 2009 avec une recommandation du Préposé fédéral à la protection des données et à la transparence (PFPDT) que Google conteste. Le Tribunal administratif fédéral (TAF) est saisi et va encore plus loin en exigeant que l’intégralité des visages et des plaques d’immatriculation soient rendues méconnaissables, au besoin par un travail manuel. Google recourt alors au Tribunal fédéral (TF) et menace de fermer le service Google Street View en Suisse si le jugement du TAF n’est pas annulé.
Probablement indifférent à ces menaces, le TF rend un arrêt le 31 mai 2012 dans lequel il donne raison au Préposé mais admet que l’on ne peut pas exiger de Google un traitement manuel en vue d’atteindre un floutage à 100% et qu’une marge d’erreur minime peut être admise si d’autres conditions strictes sont remplies. Il s’agit en particulier de mettre en place une procédure simple et rapide pour obtenir la suppression des images, de mieux prendre en compte certaines zones sensibles, de réduire la hauteur des caméras de 2.80 m à 2 m (pour éviter de filmer par-dessus les haies et clôtures), etc. De plus, Google doit informer largement la population avant la prise de nouvelles images. Cela devrait être fait ces jours, puisque dès mercredi 8 mai 2013, les voitures Google rouleront à nouveau sur les routes suisses. Le calendrier avec les heures et les localités de passages est publié comme l’a exigé le TF.
Durant la procédure, Google n’avait guère enregistré d’autres images que celles de curiosités touristiques ou de pistes de ski plus ou moins désertes. Les images qui seront enregistrées ces prochaines semaines dans des villes et villages de toute la Suisse devraient être disponibles d’ici quelques mois et vont permettre de combler le retard pris par rapport à d’autres pays.
Quant à l’enregistrement d’informations sur les réseaux wifi non protégés (courriers électroniques, mots de passe, photos, etc.), Google a été condamné dans plusieurs pays. En Suisse, une enquête avait été ouverte par le PFPDT en 2011 et close assez rapidement, suite aux engagements de Google de ne plus enregistrer de telles données.
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Un petit drone pour épier ses voisins? 13 mars 2013
Posted by Sylvain Métille in Divers, Humeur, Localisation, Protection des données, Renseignement, Sphère privée, Surveillance, Technique.3 comments
En Suisse, des drones de l’armée sont utilisés régulièrement depuis 2006 pour surveiller les zones frontières. Dans le cas d’un usage par une personne privée, les drones ne sont soumis à aucune autorisation tant qu’ils n’atteignent pas un poids de 30 kilos et que le pilote resté au sol maintient un contact visuel avec l’appareil. Non seulement ces machines volent discrètement, mais elles peuvent aussi embarquer un matériel de pointe capable de procéder à des enregistrements sonores, des prises de vues, des mesures de détection, etc.
La DARPA, une agence du Département américain de la défense, a présenté en début d’année une caméra dotée d’un capteur de 1,8 gigapixels. A 6’000 mètres d’altitude, cette caméra peut couvrir une surface de vingt-cinq kilomètres carrés et y repérer un objet au sol d’une taille de quinze centimètres. On trouve aussi des nanodrones, comme ceux utilisés par l’armée anglaise et qui pèsent quinze grammes (caméra comprise) pour une dizaine de centimètres d’envergure. Loin de ces performances technologiques, un amateur peut déjà trouver un matériel à un prix accessible et qui lui permettra d’obtenir des images de bonne qualité. La surveillance de ses voisins ou de ses concurrents par le ciel est devenue réalité.
La légalité d’une telle démarche ne change pas de celle qui prévaut en matière de vidéosurveillance classique. Les personnes filmées doivent y consentir (ce qui implique d’avoir été informé préalablement) et l’atteinte à la sphère privée des personnes filmées doit être proportionnée par rapport au but poursuivi. Dans certains cas précis, par exemple à des fins de sécurité, il sera possible de passer outre le consentement des personnes filmées en invoquant des intérêts prépondérants. N’empêche que souvent la surveillance sera illégale et restera inaperçue, donc impunie.
Le droit civil et de la protection des données permettent de faire cesser une atteinte illicite et une plainte pénale peut être déposée pour violation du domaine privé au moyen d’un appareil de prise de vues. Voilà pour la théorie, mais dans la pratique le jouet se transforme rapidement en un espion discret, peu coûteux et peu capricieux, contre lequel il est difficile de lutter. Au moins tant et aussi longtemps que le législateur ne le soumettra pas à autorisation, autorisation qui devrait aussi porter sur le but de leur utilisation.
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Respecter la loi sur la protection des données ne suffit plus! 13 février 2013
Posted by Sylvain Métille in Droit pénal et procédure pénale, Google, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Technique, USA.2 comments
Le droit de la protection des données, comme n’importe quelle loi, s’applique principalement dans le pays dont il émane. Les normes légales en matière de protection des données vont généralement un peu plus loin en obligeant celui qui traite ou exporte des données dans un autre pays à assurer une protection minimale, en général au moins la même protection que celle qui est garantie dans le pays d’origine, pour les données qui ne sont plus dans le pays. Ainsi la Loi fédérale sur la protection des données exige de celui qui exporte des données dans un pays n’offrant pas le même niveau légal de protection que des garanties particulières soient apportées (par le biais d’un contrat) ou que la personne dont les données sont traitées en soit informé et donne son accord.
En revanche, le droit du pays A ne pourra jamais empêcher le droit du pays B de s’appliquer dans le pays B. Cela s’applique aussi en matière de protection des données : les données exportées depuis le pays A vers le pays B devront respecter le droit du pays A (essentiellement pour les protections qu’il apporte) et celui du pays B (en particulier les autres lois). Il peut s’agir par exemple de lois de procédure, de lois fiscales ou de lois sur les services de renseignement. Le Foreign Intelligence Surveillance Act américain (FISA) permet au Gouvernement américain d’obtenir facilement des informations concernant des personnes qui ne sont pas des résidents U.S. (ceux-ci étant exclus de la protection offerte par le 4e Amendement et ne bénéficiant pas de la possibilité de saisir une autorité judiciaire). Les pays membres de la Convention européenne des droits de l’Homme assurent en revanche une protection similaire aux ressortissants nationaux et aux étrangers.
Bien réfléchir où l’on héberge ses données
Alors que presque l’intégralité des données américaines sont hébergées aux USA ou par des sociétés américaines, seul un tiers des données européennes le sont en Europe ou par des sociétés européennes. L’explication est simple: la très grande majorité des fournisseurs de services d’hébergement sont américaines (comme Amazon, Apple, Google, Microsoft,…). Au regard de ce que nous avons écrit plus haut, cela signifie aussi que deux tiers des données européennes sont soumises à des règles étrangères (notamment en matière d’accès aux données), règles sur lesquelles le droit national du pays d’origine n’a aucune influence. La solution n’est guère différente en Suisse.
Il est essentiel de regarder plus loin que le simple respect de la conformité au droit. Une société ne sera guère heureuse de voir ses données transmises à une autorité étrangère ou une société concurrente, de même que le client final d’une société commerciale n’appréciera guère de voir ses données personnelles rendues accessibles à l’étranger, et cela même si la loi est respectée. De plus, une fois que les données ont été transmises ou enregistrées, la suppression des données originales ne supprimera pas les copies.
Personne n’aurait l’idée d’aller mettre une liasse de documents confidentiels dans le coffre-fort d’une société en faillite ou dont les affaires sont sujettes à caution, dans l’armoire sans clé d’un local ouvert au public et où le risque d’inondation est important, ou encore dans un pays politiquement et économiquement instable. Pourtant lorsqu’il s’agit d’héberger des données informatiques, le choix se porte souvent sur la solution la moins chère, sans se poser la question de savoir où et par qui les données seront traitées, à quelles conditions, si un sous-traitement est autorisé, etc. Il n’est guère moins inquiétant d’avoir des données sur une feuille imprimée dans un local ouvert que des données sur un serveur facilement accessible dans un pays inconnu. Des données sont également souvent hébergées à l’étranger sans que le responsable le sache ou en ait conscience (le fonctionnaire qui synchronise par exemple son agenda ou sa messagerie professionnelle avec son iPhone personnel qui utilise iCloud stocke ainsi des données aux USA, y compris des données étatiques qui ne devraient pas quitter le pays…).
Le choix d’un sous-traitant (y compris un simple hébergeur de données) dépendra donc d’abord du type de données traitées. On prendra ensuite garde aux pays concernés, aux possibilités de déléguer le traitement, aux devoirs d’information du sous-traitant (en cas de faille de sécurité, de transmission de données, etc.), aux garanties apportées et aux possibilités d’indemnisation. Des moyens techniques sont également judicieux comme le cryptage des données ou la répartition des données chez différents sous-traitants, de sorte que les données présentes chez un fournisseur ne puissent pas être lues sans l’autre partie.
Dans certains cas, la seule solution sera un hébergement dans le même pays (voire pour l’Etat sur ses propres serveurs) ou limité à quelques pays. La limitation s’applique tant à la «nationalité» de la société qui gère les données que du lieu où sont les données. C’est également une opportunité réelle pour les entreprises suisses (et européennes) que de proposer des services d’hébergement de qualité et avec une garantie du lieu où les données seront traitées.
6e conférence «Computers, Privacy and Data Protection» à Bruxelles 28 janvier 2013
Posted by Sylvain Métille in Divers, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Technique, USA.add a comment
Lors de la 6e conférence «Computers, Privacy and Data Protection» à laquelle j’ai participé la semaine dernière à Bruxelles, le cœur des discussions s’est porté sur la révision du droit européen de la protection des données. Présenté il y a une année, le projet de la Commission européenne prévoit un Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) et une Directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes. Le droit suisse sera également révisé, de même que la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108). Cette convention sera particulièrement importante car elle n’est pas limitée aux pays européens. Vu le nombre de données qui traversent quotidiennement les frontières virtuelles de l’Europe et de la Suisse, il est essentiel que la Convention 108 reprenne les éléments principaux du nouveau règlement européen pour aligner le niveau de protection dans les autres pays.
Les discussions (officielles et officieuses, de même que le lobbying) sont intenses en Europe et aux USA, en particulier où le droit à l’oubli fait très peur (alors qu’il ne s’agit guère plus que d’un droit à l’effacement). La situation n’est guère différente de celle qui prévalait avant l’adoption de la Directive 95/46/CE il y a presque 20 ans et où certains prédisaient la mort de nombreuses entreprises. Le commerce ne semble pourtant pas avoir souffert de cette législation.
Un des problèmes, que le nouveau règlement ne résoudra pas, est l’accès aux données hébergées à l’étranger par les autorités étrangères, en particulier américaines. Une solution viendra peut-être d’un accord politique entre UE et USA, un peu à la manière dont le Safe Harbor avait été conclu (sphère de sécurité permettant de transférer les données, similaire à la sphère de sécurité Suisse-USA). Un accord par lequel les USA s’interdiraient d’accéder aux données d’Européens paraît peu probable. Lors de son adoption, le Safe Harbor avait subi de nombreuses critiques des Européens (protection insuffisante, déficit démocratique lié à son mode d’adoption, absence de contrôle et d’exécution judiciaire) et des Américains (application extraterritoriale des valeurs européennes, trop grande prise en compte des principes européens). Avec le recul ce texte de compromis a néanmoins permis de sauver les intérêts économiques de toutes les parties. Il a aussi permis à la Commission fédérale américaine du Commerce (FTC) de prononcer plusieurs sanctions. La FTC ne pouvant que sanctionner un comportement contraire à ce qui a été promis, le Safe Harbor a joué indirectement un rôle essentiel puisqu’il a conduit de très nombreuses entreprises à s’engager à respecter la protection des données de leurs clients. La FTC a ensuite pu agir lorsque ces promesses (qu’elles soient liées ou non au Safe Harbor) n’ont pas été tenues.
Drones et start-ups
Parmi les nombreux autres sujets abordés (Big Data, Cloud, protection du consommateur), j’ai choisi de revenir sur celui de l’usage des drones par les autorités policières et les particuliers ainsi que le rapport des start-ups à la protection des données. Alors que les USA n’ont pas de loi limitant l’usage des drones, leur utilisation dans le cadre d’enquêtes pénales est soumis à des restrictions dans plusieurs pays. En Suisse, les conditions à remplir par la police sont similaires à celles qui régissent le recours à des caméras de surveillance ou des balises GPS. La situation est plus délicate lorsqu’une personne privée utilise un drone et des règles de protection de la vie privée pourraient trouver leur place dans les normes plus générales qui règlent l’usage de ces appareils (bruit, autorisation de vol, etc.)
Quant aux start-ups, il était frappant de voir à quel point la protection des données ne faisait pas partie de leurs préoccupations premières. Qu’une entreprise en création ne se pose pas la question de toutes les lois qu’elle doit respecter ne me surprend pas beaucoup (il n’y a a ce stade pas de service juridique, les moyens sont limités et l’énergie est concentrée vers la partie centrale du projet). En revanche, il est dommage que, indépendamment des exigences légales, la plupart des entrepreneurs ne soient pas sensibles à la protection des données en tant que valeur. Dès le début, il est essentiel de penser au message et à l’image que l’entrepreneur veut transmettre et le respect de la sphère privée en fait partie.
Un bracelet pour remplacer les portiques d’entrée et les porte-monnaie 11 janvier 2013
Posted by Sylvain Métille in Localisation, Logiciel, Protection des données, Sphère privée, Technique, USA.2 comments
Disney devrait proposer dans les prochains mois un nouveau système de contrôle des entrées et de paiement dans son parc Disney World en Floride (USA).
Fini les files d’attente, un message vous préviendra sur votre portable lorsque vous pouvez prendre place sur une attraction, car vous aurez préalablement fait votre choix via Internet. Le bracelet permettra aussi de payer. En remettant à ses utilisateurs un bracelet avec une puce RFID, Disney souhaite leur rendre une visite plus agréable et plus personnelle, mais aussi obtenir plus d’informations.
A moins que le visiteur ne désactive certaines fonctions, Disney saura qui est où et à quel moment, qui achète quoi, mange quoi, pendant combien de temps et dans quel ordre, etc. Mais cela permettra aussi de rendre la visite plus personnelle et plus interactive, puisque Mickey pourra vous saluer par votre nom et même vous souhaiter spontanément un bon anniversaire !
Disney sera en mesure de collecter une quantité impressionnante de données, y compris concernant les enfants. Des options devraient être prévues pour permettre à chacun de décider ce qu’il est d’accord de partager, mais l’on peut déjà douter que le visiteur prenne le temps de modifier la configuration de son bracelet plutôt que de profiter de la visite.
L’introduction de ces bracelets risque de changer notablement l’expérience des visiteurs, mais elle va aussi offrir à Disney des profils complets, à moins que le législateur américain ne juge prioritaire de protéger les enfants et de limiter la collecte de données les concernant, ce qui n’est pas exclu.
Le Patriot Act américain permet-il d’obtenir des données en Europe ? 19 décembre 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Localisation, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Technique, USA.add a comment
A lire un article publié récemment par CBS News la réponse serait clairement positive. Il convient toutefois de préciser le propos, un tel raccourci étant trompeur. Des chercheurs de l’Université de Amsterdam ont publié un rapport intitulé «Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act» qui a inspiré CBS.
Comme je l’avais déjà évoqué dans l’article concernant Evernote, le lieu où sont traitées des données conduit inévitablement à l’application du droit local impératif, qu’il s’agisse de normes liées à la protection des données, à la production de documents lors de procédures judiciaires ou à des demandes étatiques.
Le Patriot Act n’est pas responsable de tous les maux
Bien que très régulièrement cité, le USA Patriot Act (abréviation de Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, soit la loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) n’est pas la loi qui met en danger les droits des européens. Le Patriot Act n’est pas une loi en tant que telle mais uniquement une série de modifications de lois existant déjà avant son adoption en 2001 (Electronic Communications Privacy Act, Computer Fraud and Abuse Act, Foreign Intelligence Surveillance Act, Family Educational Rights and Privacy Act, Money Laundering Control Act, Bank Secrecy Act, Right to Financial Privacy Act, Fair Credit Reporting Act, Immigration and Nationality Act, Victims of Crime Act of 1984, Telemarketing and Consumer Fraud and Abuse Prevention Act). Pour les non-résidents U.S., c’est en particulier le Foreign Intelligence Surveillance Act (FISA, la loi de surveillance d’intelligence étrangère) qui est le plus important.
Ce n’est donc pas tant le USA Patriot Act mais d’autres lois américaines qui peuvent permettre, cas échéant, d’accéder aux données européennes.
Des données qui ne sont pas exclusivement européennes
L’élément déterminant est que les données présentées comme européennes ne le sont pas tant que cela. Plus précisément, même si les données concernent des résidents européens (et sont soumises au droit européen), le fait de les faire héberger dans le cloud par une entreprise américaine (comme Amazon, Apple, Google, Microsoft,…) ou sur des serveurs situés aux USA crée un rattachement au droit américain.
En droit américain, le 4e amendement (que l’on peut considérer comme la norme constitutionnelle protégeant la sphère privée contre les demandes étatiques) ne s’applique qu’aux résidents U.S. Les étrangers ne peuvent pas l’invoquer et la loi FISA donne des pouvoirs assez larges d’enquête aux autorités. De manière générale, les exigences procédurales à respecter par la police ou les services de renseignement pour obtenir des informations ne sont pas très élevées.
Une situation logique aux conséquences désagréables
Je doute que l’on puisse blâmer un pays de vouloir appliquer son droit national à l’activité qui a lieu sur son territoire et aux entreprises qui ont leur siège dans son pays. Un pays européen ne peut pas à la fois reprocher aux Etats-Unis de vouloir que Google transmette des données en application du droit américain et simultanément vouloir que Google respecte le droit dudit pays européen en matière de traitement des données pour les services qu’il y propose.
Il ne fait en revanche aucun doute qu’il en résulte un sérieux problème que des données devant être protégées au regard du droit européen puisse ne plus l’être au regard du droit américain. Il s’agit là de la responsabilité de celui qui traite les données (maître du fichier ou data controller) d’évaluer les risques et de s’assurer qu’il utilise une infrastructure qui ne mette pas en péril les données traitées.
Lorsque le traitement de données est effectué par une entreprise privée, le contrat qui la lie au sujet des données prévoit que ce dernier autorise un traitement à l’étranger avec les conséquences qui en découle. La question est surtout de déterminer si le sujet qui y a consenti était réellement en mesure d’en comprendre les conséquences et de donner valablement son consentement.
Lorsqu’il s’agit de données traitées par une entité publique (école, administration, etc.), le rapport entre le sujet des données et l’entité en question découle généralement de la loi et il est plutôt rare qu’elle autorise ladite entité à « exposer » les données aux conditions d’un droit étranger. C’est pourtant ce qui arrive si des fournisseurs de services étrangers sont utilisés. Il faut toutefois traiter différemment des données qui ne sont pas des données personnelles (par exemple le catalogue d’une bibliothèque) des données personnelles (liste des utilisateurs de la bibliothèque ou données des passeports biométriques, etc.). Plus les données sont sensibles, plus le confort de l’utilisation d’une solution de type cloud doit être examinée sérieusement. Des solutions sur mesure existent (avec des limitations géographiques, etc.) mais le coût ou le confort d’utilisation peuvent être très différents.
Indépendamment du risque que peut représenter le gouvernement américain, il n’est pas inutile de se demander aussi si il est vraiment raisonnable de concentrer le stockage de données en mains d’une ou deux entreprises (qui ont, si pas légalement, au moins matériellement, accès à toutes les données de très nombreux utilisateurs autour du globe).
Evernote se soumet au droit suisse, et alors ? 4 décembre 2012
Posted by Sylvain Métille in Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Téléchargement, Technique, USA.1 comment so far
Comme le relevait récemment François Charlet sur son blog, Evernote a choisi de diviser dès aujourd’hui ses services entre le marché nord-américain et le reste du monde. Pour les USA et le Canada, le site Internet est proposé par Evernote Corporation à Redwood City (Californie) et est soumis aux droits américain et californien, alors que pour le reste du monde c’est Evernote GmbH à Zurich qui propose le service soumis au droit suisse.
L’argument marketing d’Evernote est de proposer un cadre juridique et un interlocuteur plus proche du consommateur (en tous cas pour les utilisateurs européens…).
Qu’est-ce qui change pour les utilisateurs suisses ?
Probablement pas grand-chose. Le choix d’un droit applicable dans la relation entre les parties n’exclut pas pour autant l’application d’autres dispositions dites de droit impératif, qu’il s’agisse du droit américain où sont les serveurs ou de droit suisse où se trouve l’utilisateur (et maintenant le prestataire de service). Ainsi déjà avant cette modification, des normes de droit suisse pouvaient être applicables et après cette modification des normes de droit américain continueront à s’appliquer. Il n’est pas possible de cloisonner complètement un service proposé de manière internationale via Internet.
Pour les utilisateurs suisses, la loi suisse sur la protection des données s’appliquait déjà avant cette modification car il y avait un traitement de données en Suisse (collecte et accès aux données, etc.). La notion de traitement de données (qui fonde l’application de la loi suisse) est en effet très large et inclut déjà la simple consultation ou l’enregistrement de données. Autrement dit, stocker ses données dans un pays tiers et les consulter depuis la Suisse implique le respect du droit de ces deux pays.
La principale nouveauté est certainement que dans le cas d’un litige entre Evernote et un utilisateur, le for est désormais prévu à Zurich (seulement après l’échec d’une procédure d’arbitrage…). Cela concerne uniquement les procédures civiles (et pour autant qu’une loi particulière ne donne pas un choix supplémentaire à l’utilisateur). Une plainte pénale peut en principe toujours être déposée au lieu où l’infraction est commise (indépendamment de la volonté de parties).
Qu’est-ce qui change pour les autres utilisateurs ?
La nouveauté est en revanche pour les ressortissants d’autres pays car la loi suisse protège également les données des entreprises (comme l’Italie, le Liechtenstein et l’Autriche). En ce sens il s’agit d’une vraie garantie supplémentaire introduite par Evernote.
Evernote doit désormais respecter cette protection des données d’entreprise car la loi suisse sur la protection des données lui impose de prendre les mesures adéquates pour assurer le respect du niveau de protection suisse à l’étranger lors qu’elle y exporte des données (ou avoir un consentement explicite de l’utilisateur, ce qui n’est apparemment pas le cas). Evernote a adhéré au Safe Harbor (accord américano-suisse au regard duquel les entreprises américaines peuvent s’engager à respecter certaines principes fondamentaux de protection des données), mais cela ne couvre pas les données d’entreprises. Evernote doit donc intégrer dans ses règles internes des garanties que le niveau légal de protection suisse sera assuré aussi aux USA.
Sauf si le droit national prévoit autre chose, les utilisateurs devraient agir en justice à Zurich et appliquer le droit suisse. De manière générale, les utilisateurs qui ne sont ni en Suisse, ni aux USA, ni au Canada verront s’appliquer leur droit national (lorsqu’il prévoit des dispositions impératives par exemple en matière de protection des données ou de protection des consommateurs), le droit suisse (comme convenu entre les parties) et le droit du lieu où les données sont traitées (principalement en Californie).
Qu’est-ce qui ne change pas ?
Quel que soit le droit choisi entre les parties, le lieu où des données sont stockées joue un rôle déterminant car c’est le droit de ce lieu qui sera appliqué si l’Etat (voire dans certains cas un tiers) demande à accéder aux données. En l’occurrence ce sera principalement les droits californien et américain qui fixeront les conditions auxquelles une autorité pourra accéder aux données. Le choix du droit suisse ne pourra pas l’empêcher. Si Evernote voulait répondre aux craintes des Européens que le Gouvernement américain n’utilise le Patriot Act pour accéder aux données, c’est raté. Ceci dit, il y a également beaucoup d’autres lois que le Patriot Act qui permettent à une autorité d’obtenir des données…
Si on lit la politique de confidentialité, on voit que l’utilisateur autorise de toute façon Evernote à transmettre des informations lorsque la société pense (sic) qu’il est nécessaire d’enquêter, de prévenir ou de prendre des mesures concernant des activités illégales ou pour se conformer aux lois applicables, y compris les mandats, ordonnances des tribunaux ou autres procédures judiciaires. Conformément au droit suisse, l’utilisateur donne son consentement pour certains cas de transmission de ses données, même si les cas visés sont larges (trop?). Quoiqu’il en soit la présence sur sol américain des serveurs donne le droit aux autorités locales accéder aux données hébergées si le droit local le prévoit.
En résumé, on peut saluer le fait que le service soit proposé par une entité suisse et que les tribunaux et le droit suisse soient retenus. En revanche, et indépendamment de la volonté de la société et de l’utilisateur, il n’est pas possible d’isoler juridiquement en Suisse un service proposé depuis et à l’étranger.
Les préposés européens unis face à la nouvelle politique de confidentialité de Google 25 octobre 2012
Posted by Sylvain Métille in Google, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.add a comment
Le 1er mars 2012, Google a unifié les règles de confidentialité (Privacy Policy) de tous ses services, pour n’avoir plus qu’une seule et unique version. Cette modification permet désormais au géant de l’Internet de combiner les informations des différents services et de ne traiter le tout que comme un seul produit. Si la démarche est cohérente du point de vue de Google, il est moins sûr que les utilisateurs mesurent l’étendue de tous ces services et les conséquences de la mise en relation de ces données. On peut donc difficilement interpréter l’utilisation d’un service par un internaute (utilisation du moteur de recherche ou d’un téléphone Android, clic d’un «+1» ou visite d’un site utilisant Google analytics) comme un consentement global à la fusion des données entre tous les services proposés par Google. Quelques soient les intentions que l’on prête à ce dernier, il faut admettre que sa grandeur devient problématique.
La CNIL française (la Commission Nationale de l’Informatique et des Libertés, soit l’autorité nationale de protection des données) a été mandatée par ses homologues européennes (Groupe de travail Article 29) pour enquêter sur ces nouvelles règles. Le verdict vient de tomber: les préposés européens à la protection des données recommandent une information plus claire des personnes, demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les différents services et souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.
La CNIL regrette que Google lui ait fourni des réponses incomplètes ou approximatives, notamment concernant la description de tous les traitements de données personnelles opérés ou la liste précise des 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. La CNIL n’a pas pu s’assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles (proportionnalité, droit d’opposition, traitement du minimum de données nécessaires, respect de la finalité, etc.). La nouvelle politique de confidentialité ne mentionne pas de limite claire concernant le périmètre de la collecte des données et les usages potentiels. Les autorités européennes demandent à Google de s’engager publiquement sur le respect des principes contenus dans la directive. Reste à voir s’il s’agit d’une demande polie ou d’une menace de mesures judiciaires ultérieures.
L’absence d’information suffisante sur l’utilisation des données
Les règles actuelles ne permettent pas à l’utilisateur d’un service Google de déterminer quelles données personnelles sont utilisées pour ce service et les finalités exactes pour lesquelles elles sont traitées, en particulier dans quelles mesures et comment ces données peuvent être utilisées pour un autre service ou en lien avec des données provenant d’un autre service.
Un traitement différencié n’est pas non plus prévu entre le contenu anodin d’une recherche et l’utilisation du numéro de carte de crédit ou encore le contenu d’une conversation téléphonique.
De plus, Google a refusé de s’engager sur des durées de conservation pour les données personnelles traitées.
L’absence de contrôle de la combinaison des données
Le plus grand souci provient de la combinaison de données entre les nombreux services de Google (Search, Maps, Youtube, Gmail, Google Play, Docs, Google+, DoubleClick, Analytics, boutons «+1»).
Cette combinaison est extrêmement étendue en termes de périmètre et d’historique des données, et elle poursuit des finalités très différentes (fourniture du service demandé, développement de nouveaux produits, sécurité, publicité, création du compte, recherche académique, etc.).
Le traitement de données personnelles doit reposer sur un motif justificatif (en général la loi ou le consentement de la personne). Or les autorités européennes ont constaté qu’un tel motif faisait défaut lorsque les données sont combinées. Elles demandent donc à Google de renforcer le consentement des personnes pour la combinaison des données lorsqu’elles ont pour but l’amélioration de services, le développement de nouveaux services, de la publicité et l’analyse de fréquentation. Elles demandent ensuite à Google d’offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées. Elles demandent finalement à Google d’adapter les outils utilisés pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.
Une démarche unie des préposés européens
Ces recommandations ont été adressées à Google et signées par 27 Préposés européens. Le Préposé australien a soutenu cette démarche au nom des autorités de protection des données de l’Asie-Pacifique (APPA), et la Commissaire à la protection de la vie privée du Canada en a fait de même.
Le Préposé Suisse (PFPDT) n’a apparemment pas pris position publiquement ni n’a ouvert d’enquête, alors que la FTC américaine a clairement refusé de soutenir les conclusions des préposés européens.
Google Street View: l’arrêt du Tribunal fédéral qui satisfait toutes les parties 1C_230/2011 2 octobre 2012
Posted by Sylvain Métille in ATF, Google, Jurisprudence, Liens, Localisation, Protection des données, Sphère privée, Suisse, Technique, USA, Vidéosurveillance.add a comment
L’Affaire Google Street View a commencé en 2009 avec une recommandation du Préposé fédéral à la protection des données et à la transparence (PFPDT) contestée par Google. Le PFPDT avait alors dû porter l’affaire devant le Tribunal administratif fédéral (TAF) contre les sociétés Google Inc. (Mountain View, USA) et Google Switzerland Sàrl (Zurich). Par arrêt du 30 mars 2011, le Tribunal administratif fédéral (TAF), avait enjoint Google de rendre l’intégralité des visages et plaques de d’immatriculation méconnaissables avant la publication des images sur Internet, au moyen d’un contrôle manuel si nécessaire. Google a recouru au Tribunal fédéral (TF) et avait même menacé de fermer le service Google Street View en Suisse (commentaire de l’arrêt du TAF ).
Le Tribunal fédéral a rendu un arrêt le 31 mai 2012 (1C_230/2011), mettant un terme définitif à cette affaire et réussissant au passage à satisfaire les deux parties. En bref, le TF donne raison au Préposé mais admet que l’on ne peut pas exiger de Google un traitement manuel en vue d’atteindre un floutage à 100%. La Haute Cour admet une marge d’erreur de 1% si d’autres conditions strictes sont remplies.
Il ne s’agit donc pas d’une victoire claire de Google comme on cela pu être écrit puisque la majorité des arguments du Préposé ont été confirmés comme devant l’instance précédente, mais c’est néanmoins la possibilité pour Google de confirmer à offrir son service. C’est également la reconnaissance par le Tribunal fédéral que l’on ne peut pas exiger, même d’un géant de l’informatique une marge d’erreur égale à zéro mais qu’il convient plutôt de dreser une liste de conditions particulières à respecter pour réduire les conséquences que ces erreurs inévitables pourraient avoir.
Google Street View est soumis à la loi sur la protection des données
De manière logique le TF confirme l’application de la Loi fédérale sur la protection des données. Que les données soient traitées aux USA n’y change rien, car elles ont été enregistrées en Suisse, contiennent des informations sur des personnes et des lieux en Suisse et sont publiées de manière à être accessibles de Suisse. Le TF a ensuite confirmé Google Sàrl pouvait répondre devant un Tribunal des conséquences de Google Street View.
Sur le fonds, Google reprend d’abord l’argument qu’elle ne traitait pas de données personnelles. Les données personnelles sont les données qui permettent d’identifier précisément une personne, soit directement avec ces données, soit en les combinant avec des informations issues du contexte ou d’autres informations. Le TAF avait admis, à bon droit dit le TF, que les données d’enregistrement brutes étaient reconnaissables et devaient être considérées comme des données personnelles. Il en est de même après le traitement automatique des données puisque la procédure a démontré qu’il existait des visages ou des plaques d’immatriculation qui n’étaient pas floutés, de même que des lieux ou des personnes reconnaissables en fonction du contexte. La notion de données personnelles doit être admise également pour les signes distinctifs des voitures, les maisons, cours et jardins, qui peuvent avoir facilement un caractère personnel. Les données étant mises gratuitement à disposition du public dans toute la Suisse, une erreur de système de Google Street View est susceptible de porter atteinte à la personnalité d’un nombre important de personnes et justifie l’intervention du Préposé.
La finalité du traitement, qui doit être reconnaissable dès la collecte des données, ne peut pas être comprise par la seule vue des caméras sur une voiture ou une annonce sur une page Internet publiée une semaine à l’avance.
Le droit à l’image
Le TF rappelle que le droit de la protection des données complète et concrétise la protection de la sphère privée découlant de la Constitution et des articles 28ss du Code civil. Le droit à l’image est le droit à l’auto-détermination qui protège contre la représentation sans droit de sa propre image. C’est le droit de chacun de décider de la diffusion de sa propre photo, en particulier dans un but économique ou politique, mais également celui de s’opposer à la diffusion de photos et vidéos qui permettent d’identifier une personne. La maîtrise de ses données personnelles est garantie par le droit à l’auto-détermination informationnelle, et cela qu’il s’agisse de données sensibles ou non.
La simple prise de photos dans la rue viole déjà le droit à l’image, car des personnes peuvent être photographiées et leur image diffusée (durablement) sur Internet sans même qu’elles en aient conscience. Les possibilités techniques actuelles (zoom par exemple) font qu’une personne apparaissant comme un élément accessoire de l’image peut également être reconnaissable. La publication à grande échelle d’images de personnes ou de véhicules dans des lieux sensibles ou dans des situations désagréables peut aussi créer une représentation négative. Une différence doit d’autre part être faite entre le simple regard que pourrait jeter un passant dans une cour ou un jardin privé et la diffusion durable d’images sur Internet.
Le floutage automatique ne suffit pas à éviter une atteinte à la personnalité
La plupart des atteintes à la personnalité peuvent être évitées par la technologie de floutage automatique des visages et plaques d’immatriculation. Une amélioration de cette technologie ne suffit toutefois pas à diminuer le risque d’atteinte d’un grand nombre de personnes vu le nombre important d’images publiées. Considérant que 20 millions d’images environ sont actuellement diffusées pour la Suisse, un taux d’erreur réduit à 0.5% représente néanmoins 100 000 images insuffisamment anonymisées. L’atteinte est renforcée par le fait que la même personne peut se retrouver sur plusieurs images et que même en cas de floutage automatique une identification demeure parfois possible (ce qui constitue donc une atteinte). Google doit donc rendre les images de visages ou numéros de plaques non-reconnaissables.
Pour le TF (comme précédemment le TAF), le fait que Google Street View soit offert gratuitement ou que des mesures de respect de la sphère privée auraient un coût supplémentaire pour l’entreprise ne peut pas être retenu comme un intérêt public ou privé prépondérant.
Le floutage manuel sur demande
La diffusion de photos de visages représente une atteinte à la personnalité, en l’absence de l’accord de la personne concernée ou d’un motif justificatif. Google doit alors donner la possibilité à chacun de demander à ce que son image soit anonymisée, ce qui permet de compenser les lacunes du système automatique. Ce système doit être facilement accessible et Google doit y donner suite rapidement, sans formalité et gratuitement. Ce droit devra être rappelé régulièrement dans les médias (au minimum tous les trois ans), de même que de futures prises de vues doivent être largement annoncées.
Protéger manuellement les lieux sensibles
En plus des mesures décrites précédemment, des mesures particulières doivent être prises à proximité des lieux sensibles : un floutage manuel est requis et il ne doit pas seulement viser le visage ou le numéro de plaques mais s’étend à tout élément reconnaissable (couleur de peau, habits, moyens auxiliaires des handicapés, etc.). Le floutage devra être fait de manière à ce qu’il ne soit pas possible d’en déduire d’informations, en particulier pourquoi et à la demande de qui il a été effectuée.
Si ce travail devait être trop difficile pour Google, le Tribunal fédéral souligne que la société a toujours la possibilité d’anonymiser entièrement les bâtiments sensibles et les environs, ce qui ne mettrait pas pour autant le contenu informatif de Google Street View en péril.
Quoiqu’il en soit un visage qui ne serait pas flouté automatiquement demeure une atteinte à la personnalité que la personne concernée peut faire valoir en justice et il en découle un intérêt important pour Google à améliorer continuellement son logiciel de floutage automatique.
Soigner l’information et respecter les espaces privés
Il faut encore ajouter le respect des espaces privés clôturés qui ne sont pas visibles par les passants (garages, cours, balcons, etc.). Google dispose d’un délai transitoire de trois ans pour retirer ces images, à moins évidement qu’une personne ne demande le retrait dans un cas particulier. A l’avenir, les images devront être prises depuis une hauteur de 2 mètres maximum (au lieu de 2.80 actuellement).
Le TF a encore confirmé l’obligation faite à Google d’annoncer dans les médias de futurs enregistrement, considérant que l’on ne pouvant pas attendre de chacun qu’il aille régulièrement consulter le site internet de Google pour savoir s’il y aurait, et cas échéant quand, des prises de vues dans sa région.
Il ressort d’une pesée d’intérêts, qu’en cas de respect strict des exigences mentionnées auparavant (floutage complet des zones sensibles, information, suppression rapide, gratuite et sans formalité en cas de demande, amélioration du logiciel, etc), un taux d’erreur inférieur à 1% est acceptable.
Moins de 1% d’erreur acceptable, si…
En conclusion, une marge d’erreur de 1% lors du floutage automatiques est admissible si les conditions suivantes sont remplies:
- le floutage automatique doit être adapté régulièrement selon l’état de la technique ;
- à proximité des établissements sensibles, notamment les écoles, hôpitaux, maisons de retraite, foyers d’accueil pour femmes, ainsi que les tribunaux et les prisons, une anonymisation complète des personnes et des signes distinctifs doit être effectuée avant la publication sur Internet ;
- les images d’espaces privés (cours clôturées, jardins, etc.) qui sont à l’abri des regards des passants habituels, prises avec des appareils à plus de 2 m de hauteur ne doivent pas être publiées sur Google Street View, sauf accord des personnes concernées. Les images actuellement visibles doivent être supprimées immédiatement en cas de requête et dans tous les cas automatiquement dans les 3 ans ;
- Google doit exécuter manuellement, efficacement et sans formalité, les demandes ultérieures d’anonymisation. Un lien clair doit figurer sur Google Street View ainsi qu’une adresse postale. Une information régulière et suffisante sur les possibilités d’opposition, doit être donnée dans les médias et sur Internet, au moins tous les 3 ans.
Les systèmes de contrôle et d’acquisition de données mal protégés 23 juillet 2012
Posted by Sylvain Métille in Localisation, Logiciel, Surveillance, Technique.add a comment
Alors que l’on a conscience que son ordinateur est connecté à Internet, on oublie souvent que de nombreux appareils le sont également, comme de nombreux systèmes de gestion. C’est par exemple le cas des systèmes SCADA (Supervisory Control And Data Acquisition) qui servent à la surveillance et à la gestion des processus techniques (comme l’approvisionnement en énergie et en eau). Depuis quelques années, ces systèmes de commande à distance ne fonctionnent plus seulement au travers d’un réseau local mais intègrent le protocole Internet comme technologie d’interface et sont donc exposés aux mêmes risques que les sites Internet.
Un étudiant de l’Université de Cambridge a démontré que de nombreux systèmes de contrôle industriels (SCI) sont reliés à Internet et sont particulièrement vulnérables. Lorsque les mesures de sécurité suffisantes ne sont pas prises (ce qui n’est de loin pas rare), un tiers peut relativement facilement prendre le contrôle à distance de l’installation gérée. Les dégâts restent limités lorsqu’il s’agit d’une imprimante, mais il est facile d’imaginer ce que cela peut représenter lorsque l’on a affaire à la gestion de l’eau, du chauffage des portes ou de l’électricité d’un bâtiment, voire d’un système de distribution électriques.
Les réseaux de distribution énergétique dits intelligents (smartgrids) sont également concernés, tant au niveau de la production/distribution d’électricité que des compteurs électriques intelligents (smartmeters) qui servent non seulement à mesurer la consommation électrique mais aussi à décider du moment d’enclenchement et d’arrêt de appareils.
Des exemples concrets de systèmes vulnérables
Il existe par ailleurs des moteurs de recherche dédiés (SHODAN par exemple) permettant de trouver les serveurs, routeurs, pare-feu, imprimantes et autres appareils connectés à Internet.
Selon un rapport de la Federal Aviation Administration américaine du 7 janvier 2008, le raccordement au réseau du nouveau Dreamliner de Boeing aurait soulevé des questions de sécurité. Apparemment, le réseau permettant aux passagers d’accéder à Internet en vol serait relié physiquement au réseau de contrôle et de navigation de l’avion, qui gère les fonctions relevant de la sécurité. Des attaques répétées auraient également été décelées en 2007 et en 2008, selon l’agence de presse Bloomberg contre les systèmes de gestion de deux satellites d’observation américains, ce qui aurait permis, en théorie, de modifier leur trajectoire et les faire s’écraser.
En novembre dernier, un pirate s’est introduit dans le système de gestion du service d’alimentation en eau potable de South Houston (Texas, USA). Sa motivation était apparemment heureusement seulement de démontre la faiblesse du système.
En Suisse, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a par exemple identifié 34 systèmes vulnérables. La plupart étaient des systèmes de gestion d’immeuble (BMS) dont le mot de passe par défaut des installations de commande n’avait pas été changé. Il était alors facile d’y accéder et d’en prendre le contrôle à distance (et d’accéder au réseau de chauffage, de climatisation, etc.).
La cible de virus
Comme tout composant informatique, ces systèmes de commande à distance peuvent être la cible de virus informatiques. Stuxnet, Wiper et Flame sont ceux qui ont frappé le plus récemment. Ces virus ont également la particularité d’avoir été créés par ou pour des Etats. Le grand public découvre enfin que la guerre numérique est en marche et que l’espionnage informatique n’est plus réservé à quelques industriels.
