Protection des données: lobbyistes, on vous a à l’œil ! 27 mars 2013
Posted by Sylvain Métille in Divers, Humeur, Logiciel, Protection des données, Sphère privée, Surveillance, USA.1 comment so far
L’Union européenne a entamé le processus de réforme de sa législation en matière de protection des données. Au début de l’année 2012, la Commission européenne a présenté un projet de Règlement général sur la protection des données qui s’appliquera à toutes les données personnelles traitées dans l’Union ou à l’extérieur de l’Union si elles concernent des résidents européens.
Le Règlement aura donc un impact direct sur les géants de l’Internet, dont certains sont déjà visés par des procédures dans plusieurs pays européens (on pense notamment à Facebook en Irlande ou Google en France). Il n’en fallait pas moins pour aiguiser les ardeurs des lobbyistes et l’on a rapidement vu un certain nombre d’Américains s’ajouter à ceux qui sont habituellement présents à Bruxelles. Mais ne jetons pas la pierre aux Américains, car les intérêts européens sont également représentés à Washington.
On trouve des entreprises américaines qui veulent empêcher toute limitation européenne à leurs activités actuelles, des organisations américaines de défense de la sphère privée qui soutiennent les mesures protectrices en Europe (et espèrent un effet direct ou indirect aux USA), des Européens (y compris au plus haut niveau politique) qui tentent de obtenir du gouvernement américain qu’il limite ses droit d’accès aux données européennes. Ou encore des entreprises européennes qui souhaitent moins de restrictions et tentent de trouver un appui dans ce sens aux USA.
Les lobbyistes ont largement dépassé le stade de simples discussions de couloirs et deviennent de plus en plus efficaces et influents, ressemblant parfois de manière troublante à des secrétaires parlementaires. Pour mesurer leur influence réelle, une plate-forme participative en ligne, Lobbyplag, compare les propositions des groupes d’intérêts et les amendements au projet de Règlement demandés par les parlementaires dans les différents comités actuellement saisis du projet.
Si l’idée même que l’industrie influence l’élaboration d’une loi n’est pas nouvelle, les ressemblances sont plus que troublantes et il peut être intéressant de savoir qui soutient quoi et par quel biais. En utilisant des données librement accessibles (Open Data) et un financement participatif (crowdfunding), Lobbyplag est un exemple de l’utilisation de moyens informatiques pour renforcer la transparence dans la démocratie. Et prouver que protection des données et transparence peuvent cohabiter !
Ce billet a également été publié sur le site du magazine Bilan, dans la rubrique «les experts».
Sécurité des réseaux et de l’information 21 mars 2013
Posted by Sylvain Métille in Informatique, Logiciel, Technique.add a comment
La Commission européenne a publié le 7 février 2013 une proposition de Directive concernant la sécurité des réseaux et de l’information (SRI, en anglais Network and Information Security NIS), ainsi qu’une Stratégie en matière de cybersécurité pour l’Union Européenne intitulée «un cyberespace ouvert, sûr et sécurisé», développée avec la Haute représentante de l’Union pour les affaires étrangères et la politique de sécurité.
La stratégie de cybersécurité expose la vision globale de l’Union européenne en ce qui concerne les meilleurs moyens de prévenir les perturbations et attaques visant le cyberespace et de s’y opposer. Elle s’articule autour de cinq priorités:
- parvenir à la cyber-résilience,
- faire reculer considérablement la cybercriminalité,
- développer une politique et des moyens de cyberdéfense en liaison avec la politique de sécurité et de défense commune (PSDC),
- développer les ressources industrielles et technologiques en matière de cybersécurité,
- instaurer une politique internationale de l’Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l’UE.
La proposition de Directive sur la SRI est un volet essentiel de la stratégie globale dont l’objectif est de garantir un environnement numérique offrant des gages de sécurité et de confiance dans toute l’UE. Elle prévoit notamment les mesures suivantes:
(a) chaque Etat membre doit adopter une stratégie de SRI (art. 5) et désigner une autorité nationale compétente en la matière, qui disposera de ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents de SRI et intervenir en cas de nécessité (art. 6), ainsi que créer un centre national d’alerte et de réaction aux attaques informatiques (Computer Emergency Response Team ou « CERT ») (art. 7),
(b) un mécanisme de coopération entre les États membres et la Commission doit être instauré pour diffuser des messages d’alerte rapide sur les risques et incidents au moyen d’une infrastructure sécurisée, pour collaborer et organiser des examens par les pairs (art. 8ss),
(c) les opérateurs des infrastructures critiques (services financiers, transports, énergie et santé) et les entreprises clés de l’Internet (notamment les magasins d’applications en ligne, les plates-formes de commerce électronique, les passerelles de paiement par Internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux) offrant des services dans l’UE ainsi que les administrations publiques doivent adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs à l’autorité nationale (art 14).
Pour rappel, lorsqu’une directive est adoptée, les Etats membres disposent de 18 mois pour la transposer dans leur droit national. Cette Directive développera également des effets sur les entreprises établies hors des frontières de l’UE, puisque les entreprises offrant des services dans l’UE devront adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs indépendamment de la localisation de leur siège social.
Révision de la LSCPT et nouvelles bases légales pour les logiciels espions 7 mars 2013
Posted by Sylvain Métille in Droit pénal et procédure pénale, Informatique, Logiciel, Protection des données, Skype, Sphère privée, Suisse, Surveillance, Téléphonie, Technique.3 comments
Le Conseil fédéral va soumettre au Parlement un projet de révision en profondeur de l’actuelle Loi sur la surveillance de la correspondance par poste et télécommunications (LSCPT) (voir également le message du Conseil fédéral). Alors que le Code de procédure pénale (CPP) prévoit les conditions auxquelles une mesure de surveillance peut être ordonnée, ainsi que la procédure à suivre, les droits de la personne surveillée et les conséquences en cas de manquement, la LSCPT règle les conditions à remplir par les fournisseurs de services pour que ces mesures puissent être exécutées. Ce projet sera discuté prochainement par les chambres fédérales.
Une modification en profondeur de la LSCPT
Depuis l’entrée en vigueur du CPP, la LSCPT ne contient plus que les conditions précitées. Il était donc nécessaire de procéder à une réécriture par souci de cohérence. La révision de la LSCPT prévoit également une extension de son champ d’application et des obligations différenciées. Actuellement, la LSCPT s’applique aux fournisseurs de services de télécommunication soumis à concession ou à une obligation d’annonce en vertu de la Loi sur les télécommunications. Elle s’appliquera désormais aux fournisseurs de services postaux (y compris les services de courriers et de poste rapide), aux fournisseurs de services de télécommunication (y compris les fournisseurs d’accès à Internet), aux fournisseurs de services de communication dérivés (en particulier les fournisseurs de stockage de courriels, les fournisseurs d’hébergement, les plates-formes de chat, les plates-formes d’échange de documents et les fournisseurs de services de téléphonie par Internet du type peer-to-peer), aux exploitants de réseaux de télécommunication internes, aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers et aux revendeurs professionnels de cartes ou de moyens semblables qui permettent l’accès à un réseau public de télécommunication.
Le service SCPT gérera un système de traitement des données au travers duquel les autorités judiciaires et policières pourront consulter les résultats de la surveillance, au lieu d’envoyer comme actuellement par la poste les données sous forme de CD-ROM. La durée de conservation des données secondaires par les fournisseurs de services de télécommunications est prolongée de 6 à 12 mois.
La principale nouveauté concerne les fournisseurs de services de communication dérivés qui devront désormais tolérer une surveillance exécutée par le service SCPT ou la police et fournir les renseignements nécessaires pour l’exécution de cette surveillance, livrer les données secondaires en leur possession (sans obligation de les conserver). Les mêmes obligations sont imposées aux exploitants de réseaux de télécommunication internes et aux personnes qui laissent leur accès à un réseau public de télécommunication à la disposition de tiers. L’obligation de contrôler l’identité des utilisateurs prévue dans l’avant-projet a été supprimée.
L’introduction de logiciels espions
La révision de la LSCPT ajoute également deux nouvelles dispositions au CPP concernant l’utilisation de dispositifs techniques spéciaux de surveillance de la correspondance par télécommunication (IMSI-Catcher par exemple) et l’utilisation de programmes informatiques spéciaux de surveillance de la correspondance par télécommunication (Government Software). La procédure d’autorisation est très similaire à celle qui est valable pour les écoutes téléphoniques, mais ces mesures sont encore plus subsidiaires.
L’utilisation de chevaux de Troie (aussi appelés Government Softwares ou logiciels espions) est limitée à la surveillance de la correspondance. Elle n’est pas autorisée pour effectuer une perquisition à distance ou pour surveiller une pièce au moyen de la caméra ou du micro de l’ordinateur.
Respecter la loi sur la protection des données ne suffit plus! 13 février 2013
Posted by Sylvain Métille in Droit pénal et procédure pénale, Google, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Technique, USA.2 comments
Le droit de la protection des données, comme n’importe quelle loi, s’applique principalement dans le pays dont il émane. Les normes légales en matière de protection des données vont généralement un peu plus loin en obligeant celui qui traite ou exporte des données dans un autre pays à assurer une protection minimale, en général au moins la même protection que celle qui est garantie dans le pays d’origine, pour les données qui ne sont plus dans le pays. Ainsi la Loi fédérale sur la protection des données exige de celui qui exporte des données dans un pays n’offrant pas le même niveau légal de protection que des garanties particulières soient apportées (par le biais d’un contrat) ou que la personne dont les données sont traitées en soit informé et donne son accord.
En revanche, le droit du pays A ne pourra jamais empêcher le droit du pays B de s’appliquer dans le pays B. Cela s’applique aussi en matière de protection des données : les données exportées depuis le pays A vers le pays B devront respecter le droit du pays A (essentiellement pour les protections qu’il apporte) et celui du pays B (en particulier les autres lois). Il peut s’agir par exemple de lois de procédure, de lois fiscales ou de lois sur les services de renseignement. Le Foreign Intelligence Surveillance Act américain (FISA) permet au Gouvernement américain d’obtenir facilement des informations concernant des personnes qui ne sont pas des résidents U.S. (ceux-ci étant exclus de la protection offerte par le 4e Amendement et ne bénéficiant pas de la possibilité de saisir une autorité judiciaire). Les pays membres de la Convention européenne des droits de l’Homme assurent en revanche une protection similaire aux ressortissants nationaux et aux étrangers.
Bien réfléchir où l’on héberge ses données
Alors que presque l’intégralité des données américaines sont hébergées aux USA ou par des sociétés américaines, seul un tiers des données européennes le sont en Europe ou par des sociétés européennes. L’explication est simple: la très grande majorité des fournisseurs de services d’hébergement sont américaines (comme Amazon, Apple, Google, Microsoft,…). Au regard de ce que nous avons écrit plus haut, cela signifie aussi que deux tiers des données européennes sont soumises à des règles étrangères (notamment en matière d’accès aux données), règles sur lesquelles le droit national du pays d’origine n’a aucune influence. La solution n’est guère différente en Suisse.
Il est essentiel de regarder plus loin que le simple respect de la conformité au droit. Une société ne sera guère heureuse de voir ses données transmises à une autorité étrangère ou une société concurrente, de même que le client final d’une société commerciale n’appréciera guère de voir ses données personnelles rendues accessibles à l’étranger, et cela même si la loi est respectée. De plus, une fois que les données ont été transmises ou enregistrées, la suppression des données originales ne supprimera pas les copies.
Personne n’aurait l’idée d’aller mettre une liasse de documents confidentiels dans le coffre-fort d’une société en faillite ou dont les affaires sont sujettes à caution, dans l’armoire sans clé d’un local ouvert au public et où le risque d’inondation est important, ou encore dans un pays politiquement et économiquement instable. Pourtant lorsqu’il s’agit d’héberger des données informatiques, le choix se porte souvent sur la solution la moins chère, sans se poser la question de savoir où et par qui les données seront traitées, à quelles conditions, si un sous-traitement est autorisé, etc. Il n’est guère moins inquiétant d’avoir des données sur une feuille imprimée dans un local ouvert que des données sur un serveur facilement accessible dans un pays inconnu. Des données sont également souvent hébergées à l’étranger sans que le responsable le sache ou en ait conscience (le fonctionnaire qui synchronise par exemple son agenda ou sa messagerie professionnelle avec son iPhone personnel qui utilise iCloud stocke ainsi des données aux USA, y compris des données étatiques qui ne devraient pas quitter le pays…).
Le choix d’un sous-traitant (y compris un simple hébergeur de données) dépendra donc d’abord du type de données traitées. On prendra ensuite garde aux pays concernés, aux possibilités de déléguer le traitement, aux devoirs d’information du sous-traitant (en cas de faille de sécurité, de transmission de données, etc.), aux garanties apportées et aux possibilités d’indemnisation. Des moyens techniques sont également judicieux comme le cryptage des données ou la répartition des données chez différents sous-traitants, de sorte que les données présentes chez un fournisseur ne puissent pas être lues sans l’autre partie.
Dans certains cas, la seule solution sera un hébergement dans le même pays (voire pour l’Etat sur ses propres serveurs) ou limité à quelques pays. La limitation s’applique tant à la «nationalité» de la société qui gère les données que du lieu où sont les données. C’est également une opportunité réelle pour les entreprises suisses (et européennes) que de proposer des services d’hébergement de qualité et avec une garantie du lieu où les données seront traitées.
6e conférence «Computers, Privacy and Data Protection» à Bruxelles 28 janvier 2013
Posted by Sylvain Métille in Divers, Localisation, Logiciel, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Technique, USA.add a comment
Lors de la 6e conférence «Computers, Privacy and Data Protection» à laquelle j’ai participé la semaine dernière à Bruxelles, le cœur des discussions s’est porté sur la révision du droit européen de la protection des données. Présenté il y a une année, le projet de la Commission européenne prévoit un Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) et une Directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes. Le droit suisse sera également révisé, de même que la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108). Cette convention sera particulièrement importante car elle n’est pas limitée aux pays européens. Vu le nombre de données qui traversent quotidiennement les frontières virtuelles de l’Europe et de la Suisse, il est essentiel que la Convention 108 reprenne les éléments principaux du nouveau règlement européen pour aligner le niveau de protection dans les autres pays.
Les discussions (officielles et officieuses, de même que le lobbying) sont intenses en Europe et aux USA, en particulier où le droit à l’oubli fait très peur (alors qu’il ne s’agit guère plus que d’un droit à l’effacement). La situation n’est guère différente de celle qui prévalait avant l’adoption de la Directive 95/46/CE il y a presque 20 ans et où certains prédisaient la mort de nombreuses entreprises. Le commerce ne semble pourtant pas avoir souffert de cette législation.
Un des problèmes, que le nouveau règlement ne résoudra pas, est l’accès aux données hébergées à l’étranger par les autorités étrangères, en particulier américaines. Une solution viendra peut-être d’un accord politique entre UE et USA, un peu à la manière dont le Safe Harbor avait été conclu (sphère de sécurité permettant de transférer les données, similaire à la sphère de sécurité Suisse-USA). Un accord par lequel les USA s’interdiraient d’accéder aux données d’Européens paraît peu probable. Lors de son adoption, le Safe Harbor avait subi de nombreuses critiques des Européens (protection insuffisante, déficit démocratique lié à son mode d’adoption, absence de contrôle et d’exécution judiciaire) et des Américains (application extraterritoriale des valeurs européennes, trop grande prise en compte des principes européens). Avec le recul ce texte de compromis a néanmoins permis de sauver les intérêts économiques de toutes les parties. Il a aussi permis à la Commission fédérale américaine du Commerce (FTC) de prononcer plusieurs sanctions. La FTC ne pouvant que sanctionner un comportement contraire à ce qui a été promis, le Safe Harbor a joué indirectement un rôle essentiel puisqu’il a conduit de très nombreuses entreprises à s’engager à respecter la protection des données de leurs clients. La FTC a ensuite pu agir lorsque ces promesses (qu’elles soient liées ou non au Safe Harbor) n’ont pas été tenues.
Drones et start-ups
Parmi les nombreux autres sujets abordés (Big Data, Cloud, protection du consommateur), j’ai choisi de revenir sur celui de l’usage des drones par les autorités policières et les particuliers ainsi que le rapport des start-ups à la protection des données. Alors que les USA n’ont pas de loi limitant l’usage des drones, leur utilisation dans le cadre d’enquêtes pénales est soumis à des restrictions dans plusieurs pays. En Suisse, les conditions à remplir par la police sont similaires à celles qui régissent le recours à des caméras de surveillance ou des balises GPS. La situation est plus délicate lorsqu’une personne privée utilise un drone et des règles de protection de la vie privée pourraient trouver leur place dans les normes plus générales qui règlent l’usage de ces appareils (bruit, autorisation de vol, etc.)
Quant aux start-ups, il était frappant de voir à quel point la protection des données ne faisait pas partie de leurs préoccupations premières. Qu’une entreprise en création ne se pose pas la question de toutes les lois qu’elle doit respecter ne me surprend pas beaucoup (il n’y a a ce stade pas de service juridique, les moyens sont limités et l’énergie est concentrée vers la partie centrale du projet). En revanche, il est dommage que, indépendamment des exigences légales, la plupart des entrepreneurs ne soient pas sensibles à la protection des données en tant que valeur. Dès le début, il est essentiel de penser au message et à l’image que l’entrepreneur veut transmettre et le respect de la sphère privée en fait partie.
Un bracelet pour remplacer les portiques d’entrée et les porte-monnaie 11 janvier 2013
Posted by Sylvain Métille in Localisation, Logiciel, Protection des données, Sphère privée, Technique, USA.2 comments
Disney devrait proposer dans les prochains mois un nouveau système de contrôle des entrées et de paiement dans son parc Disney World en Floride (USA).
Fini les files d’attente, un message vous préviendra sur votre portable lorsque vous pouvez prendre place sur une attraction, car vous aurez préalablement fait votre choix via Internet. Le bracelet permettra aussi de payer. En remettant à ses utilisateurs un bracelet avec une puce RFID, Disney souhaite leur rendre une visite plus agréable et plus personnelle, mais aussi obtenir plus d’informations.
A moins que le visiteur ne désactive certaines fonctions, Disney saura qui est où et à quel moment, qui achète quoi, mange quoi, pendant combien de temps et dans quel ordre, etc. Mais cela permettra aussi de rendre la visite plus personnelle et plus interactive, puisque Mickey pourra vous saluer par votre nom et même vous souhaiter spontanément un bon anniversaire !
Disney sera en mesure de collecter une quantité impressionnante de données, y compris concernant les enfants. Des options devraient être prévues pour permettre à chacun de décider ce qu’il est d’accord de partager, mais l’on peut déjà douter que le visiteur prenne le temps de modifier la configuration de son bracelet plutôt que de profiter de la visite.
L’introduction de ces bracelets risque de changer notablement l’expérience des visiteurs, mais elle va aussi offrir à Disney des profils complets, à moins que le législateur américain ne juge prioritaire de protéger les enfants et de limiter la collecte de données les concernant, ce qui n’est pas exclu.
Evernote se soumet au droit suisse, et alors ? 4 décembre 2012
Posted by Sylvain Métille in Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Téléchargement, Technique, USA.1 comment so far
Comme le relevait récemment François Charlet sur son blog, Evernote a choisi de diviser dès aujourd’hui ses services entre le marché nord-américain et le reste du monde. Pour les USA et le Canada, le site Internet est proposé par Evernote Corporation à Redwood City (Californie) et est soumis aux droits américain et californien, alors que pour le reste du monde c’est Evernote GmbH à Zurich qui propose le service soumis au droit suisse.
L’argument marketing d’Evernote est de proposer un cadre juridique et un interlocuteur plus proche du consommateur (en tous cas pour les utilisateurs européens…).
Qu’est-ce qui change pour les utilisateurs suisses ?
Probablement pas grand-chose. Le choix d’un droit applicable dans la relation entre les parties n’exclut pas pour autant l’application d’autres dispositions dites de droit impératif, qu’il s’agisse du droit américain où sont les serveurs ou de droit suisse où se trouve l’utilisateur (et maintenant le prestataire de service). Ainsi déjà avant cette modification, des normes de droit suisse pouvaient être applicables et après cette modification des normes de droit américain continueront à s’appliquer. Il n’est pas possible de cloisonner complètement un service proposé de manière internationale via Internet.
Pour les utilisateurs suisses, la loi suisse sur la protection des données s’appliquait déjà avant cette modification car il y avait un traitement de données en Suisse (collecte et accès aux données, etc.). La notion de traitement de données (qui fonde l’application de la loi suisse) est en effet très large et inclut déjà la simple consultation ou l’enregistrement de données. Autrement dit, stocker ses données dans un pays tiers et les consulter depuis la Suisse implique le respect du droit de ces deux pays.
La principale nouveauté est certainement que dans le cas d’un litige entre Evernote et un utilisateur, le for est désormais prévu à Zurich (seulement après l’échec d’une procédure d’arbitrage…). Cela concerne uniquement les procédures civiles (et pour autant qu’une loi particulière ne donne pas un choix supplémentaire à l’utilisateur). Une plainte pénale peut en principe toujours être déposée au lieu où l’infraction est commise (indépendamment de la volonté de parties).
Qu’est-ce qui change pour les autres utilisateurs ?
La nouveauté est en revanche pour les ressortissants d’autres pays car la loi suisse protège également les données des entreprises (comme l’Italie, le Liechtenstein et l’Autriche). En ce sens il s’agit d’une vraie garantie supplémentaire introduite par Evernote.
Evernote doit désormais respecter cette protection des données d’entreprise car la loi suisse sur la protection des données lui impose de prendre les mesures adéquates pour assurer le respect du niveau de protection suisse à l’étranger lors qu’elle y exporte des données (ou avoir un consentement explicite de l’utilisateur, ce qui n’est apparemment pas le cas). Evernote a adhéré au Safe Harbor (accord américano-suisse au regard duquel les entreprises américaines peuvent s’engager à respecter certaines principes fondamentaux de protection des données), mais cela ne couvre pas les données d’entreprises. Evernote doit donc intégrer dans ses règles internes des garanties que le niveau légal de protection suisse sera assuré aussi aux USA.
Sauf si le droit national prévoit autre chose, les utilisateurs devraient agir en justice à Zurich et appliquer le droit suisse. De manière générale, les utilisateurs qui ne sont ni en Suisse, ni aux USA, ni au Canada verront s’appliquer leur droit national (lorsqu’il prévoit des dispositions impératives par exemple en matière de protection des données ou de protection des consommateurs), le droit suisse (comme convenu entre les parties) et le droit du lieu où les données sont traitées (principalement en Californie).
Qu’est-ce qui ne change pas ?
Quel que soit le droit choisi entre les parties, le lieu où des données sont stockées joue un rôle déterminant car c’est le droit de ce lieu qui sera appliqué si l’Etat (voire dans certains cas un tiers) demande à accéder aux données. En l’occurrence ce sera principalement les droits californien et américain qui fixeront les conditions auxquelles une autorité pourra accéder aux données. Le choix du droit suisse ne pourra pas l’empêcher. Si Evernote voulait répondre aux craintes des Européens que le Gouvernement américain n’utilise le Patriot Act pour accéder aux données, c’est raté. Ceci dit, il y a également beaucoup d’autres lois que le Patriot Act qui permettent à une autorité d’obtenir des données…
Si on lit la politique de confidentialité, on voit que l’utilisateur autorise de toute façon Evernote à transmettre des informations lorsque la société pense (sic) qu’il est nécessaire d’enquêter, de prévenir ou de prendre des mesures concernant des activités illégales ou pour se conformer aux lois applicables, y compris les mandats, ordonnances des tribunaux ou autres procédures judiciaires. Conformément au droit suisse, l’utilisateur donne son consentement pour certains cas de transmission de ses données, même si les cas visés sont larges (trop?). Quoiqu’il en soit la présence sur sol américain des serveurs donne le droit aux autorités locales accéder aux données hébergées si le droit local le prévoit.
En résumé, on peut saluer le fait que le service soit proposé par une entité suisse et que les tribunaux et le droit suisse soient retenus. En revanche, et indépendamment de la volonté de la société et de l’utilisateur, il n’est pas possible d’isoler juridiquement en Suisse un service proposé depuis et à l’étranger.
RapidShare introduit de nouvelles règles qui ne vont pas plaire aux adeptes de téléchargement illégal 20 novembre 2012
Posted by Sylvain Métille in Logiciel, Suisse, Téléchargement, Technique, USA.add a comment
RapidShare SA est une société suisse basée à Baar (Zug) active dans la fourniture de prestations informatiques et en particulier de plateformes d’hébergement dont le site rapidshare.com.
Depuis l’arrestation de Kim Dotcom et la fermeture du site Megaupload au début de l’année 2012, les sites Internet permettant de partager des fichiers ont été mis fortement sous pression. RapidShare a soigné son image et réagit rapidement aux demandes de suppressions.
L’entreprise a aussi développé un système de veille qui parcourt l’Internet pour repérer les liens vers son site qui proposent des œuvres protégées. Les liens vers des téléchargements illégaux sont valides durant une période générale plus courte pour les fichiers hébergés par RapidShare que d’autres sites.
La Suisse est apparue cette année dans la liste établie par le «International Anti-Piracy Caucus», un comité du Congrès américain qui considère que la Suisse dispose de lois sur la propriété intellectuelle inadéquates et la transformant en un paradis pour des sites Internet dont le but est de faciliter et de permettre la mise à disposition massive de matériel piraté.
Un nouveau modèle économique
RapidShare vient d’annoncer un nouveau modèle d’hébergement valable dès le 27 novembre 2012. Habituellement l’enregistrement de fichiers (upload) sur la plateforme est gratuit et les internautes qui souhaitent le télécharger (download) ont le choix entre une version limitée gratuite ou un abonnement payant.
Désormais RapidShare utilisera un modèle qui se rapproche de la location d’un espace de stockage classique. Le propriétaire devra payer pour enregistrer le fichier (upload), mais son téléchargement (download) sera gratuit pour les internautes.
Les coûts liés au trafic seront également payés par celui qui enregistre le fichier (upload). Son abonnement comprend en effet la possibilité pour lui-même et ses contacts (inscrits sur le site Rapidshare) de télécharger ses fichiers de manière illimitée. Ceux qui ne figurent pas dans ses contacts (qu’ils aient également un compte RapidShare ou ne soient pas enregistrés) devront se partager un volume total limité à 30 Go par jour. Le partage de fichiers sera important au sein des contacts de celui qui met à disposition le fichier, mais très restreint au dehors. RapidShare ressemblera donc plus à un espace de stockage partagé (à la manière de ce que propose Wuala, Dropbox, Cloud Drive, iCLoud, Sky Drive, …) qu’une plateforme de partage «publique».
RapidShare vise certainement plusieurs buts. Premièrement, elle permet aux utilisateurs de continuer à partager des fichiers tout en limitant le partage public et incontrôlé qui est dans le collimateur de plusieurs organisations de titulaires de droits d’auteurs. Deuxièmement, RapidShare s’assure de connaître les personnes qui peuvent télécharger (download) sans limite un fichier. Le téléchargement par des personnes non enregistrées deviendra marginal et RapidShare sera en mesure de transmettre ces informations en cas de demande judiciaire.
Troisièmement, RapidShare met en place un système commercial qui ne repose pas sur un téléchargement (download) massif (un des principaux griefs dans l’affaire Megaupload était l’incitation économique à faire télécharger par un maximum de personnes le fichier hébergé) mais sur le partage en cercle plus ou moins restreint de fichiers.
Finalement, RapidShare vise peut être aussi une particularité du droit suisse. Le droit d’auteur suisse connait le droit de copie privée, un cas particulier qui est une exception à la violation du droit d’auteur. L’art. 19 LDA permet de copier une œuvre protégée si cela reste dans un cadre privée, soit pour une utilisation personnelle ou dans un cercle de personnes étroitement liées, tels des parents ou des amis. C’est précisément à cause de cette exception du droit suisse que celui qui télécharge (download) une œuvre protégée uniquement pour son usage personnel ne commet pas un acte illégal. La mise à disposition publique (upload) d’une œuvre protégée est en revanche clairement contraire au droit suisse.
Dans le cas de RapidShare, celui qui mettrait un fichier à disposition de personnes qui lui sont étroitement liées (et donc en nombre restreint) pourrait tomber sous le coup de l’exception et ne pas tomber dans l’illégalité. Ce pourrait être le cas par exemple de celui qui enregistre un fichier auquel il veut accéder depuis son ordinateur fixe, son portable et son téléphone et qu’il met également à disposition de son conjoint et ses enfants. On est dans une situation qui ne diffère guère du partage d’un DVD dans son salon. L’exception de copie privée ne sera en revanche pas applicable si des inconnus ont accès au fichier (lien public), si un certain nombre de personnes y ont accès, ou encore si ces personnes n’ont qu’un lien éloigné avec le propriétaire du compte.
Les préposés européens unis face à la nouvelle politique de confidentialité de Google 25 octobre 2012
Posted by Sylvain Métille in Google, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.add a comment
Le 1er mars 2012, Google a unifié les règles de confidentialité (Privacy Policy) de tous ses services, pour n’avoir plus qu’une seule et unique version. Cette modification permet désormais au géant de l’Internet de combiner les informations des différents services et de ne traiter le tout que comme un seul produit. Si la démarche est cohérente du point de vue de Google, il est moins sûr que les utilisateurs mesurent l’étendue de tous ces services et les conséquences de la mise en relation de ces données. On peut donc difficilement interpréter l’utilisation d’un service par un internaute (utilisation du moteur de recherche ou d’un téléphone Android, clic d’un «+1» ou visite d’un site utilisant Google analytics) comme un consentement global à la fusion des données entre tous les services proposés par Google. Quelques soient les intentions que l’on prête à ce dernier, il faut admettre que sa grandeur devient problématique.
La CNIL française (la Commission Nationale de l’Informatique et des Libertés, soit l’autorité nationale de protection des données) a été mandatée par ses homologues européennes (Groupe de travail Article 29) pour enquêter sur ces nouvelles règles. Le verdict vient de tomber: les préposés européens à la protection des données recommandent une information plus claire des personnes, demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les différents services et souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.
La CNIL regrette que Google lui ait fourni des réponses incomplètes ou approximatives, notamment concernant la description de tous les traitements de données personnelles opérés ou la liste précise des 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. La CNIL n’a pas pu s’assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles (proportionnalité, droit d’opposition, traitement du minimum de données nécessaires, respect de la finalité, etc.). La nouvelle politique de confidentialité ne mentionne pas de limite claire concernant le périmètre de la collecte des données et les usages potentiels. Les autorités européennes demandent à Google de s’engager publiquement sur le respect des principes contenus dans la directive. Reste à voir s’il s’agit d’une demande polie ou d’une menace de mesures judiciaires ultérieures.
L’absence d’information suffisante sur l’utilisation des données
Les règles actuelles ne permettent pas à l’utilisateur d’un service Google de déterminer quelles données personnelles sont utilisées pour ce service et les finalités exactes pour lesquelles elles sont traitées, en particulier dans quelles mesures et comment ces données peuvent être utilisées pour un autre service ou en lien avec des données provenant d’un autre service.
Un traitement différencié n’est pas non plus prévu entre le contenu anodin d’une recherche et l’utilisation du numéro de carte de crédit ou encore le contenu d’une conversation téléphonique.
De plus, Google a refusé de s’engager sur des durées de conservation pour les données personnelles traitées.
L’absence de contrôle de la combinaison des données
Le plus grand souci provient de la combinaison de données entre les nombreux services de Google (Search, Maps, Youtube, Gmail, Google Play, Docs, Google+, DoubleClick, Analytics, boutons «+1»).
Cette combinaison est extrêmement étendue en termes de périmètre et d’historique des données, et elle poursuit des finalités très différentes (fourniture du service demandé, développement de nouveaux produits, sécurité, publicité, création du compte, recherche académique, etc.).
Le traitement de données personnelles doit reposer sur un motif justificatif (en général la loi ou le consentement de la personne). Or les autorités européennes ont constaté qu’un tel motif faisait défaut lorsque les données sont combinées. Elles demandent donc à Google de renforcer le consentement des personnes pour la combinaison des données lorsqu’elles ont pour but l’amélioration de services, le développement de nouveaux services, de la publicité et l’analyse de fréquentation. Elles demandent ensuite à Google d’offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées. Elles demandent finalement à Google d’adapter les outils utilisés pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.
Une démarche unie des préposés européens
Ces recommandations ont été adressées à Google et signées par 27 Préposés européens. Le Préposé australien a soutenu cette démarche au nom des autorités de protection des données de l’Asie-Pacifique (APPA), et la Commissaire à la protection de la vie privée du Canada en a fait de même.
Le Préposé Suisse (PFPDT) n’a apparemment pas pris position publiquement ni n’a ouvert d’enquête, alors que la FTC américaine a clairement refusé de soutenir les conclusions des préposés européens.
C’est quoi le skimming? 23 août 2012
Posted by Sylvain Métille in Droit pénal et procédure pénale, Liens, Logiciel, Sphère privée, Suisse, Surveillance, Technique.add a comment
Certains termes sont couramment utilisés sans que l’on prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas et de Privacy by design/protection intégrée de la vie privée.
Le terme anglais «skimming» signifie «effleurer» en anglais et est utilisé pour désigner un type d’escroquerie à la carte de paiement (crédit, débit, prépayée, etc.).
Comment cela fonctionne
L’opération consiste d’abord à effectuer une copie de la bande magnétique de la carte à l’aide d’un dispositif spécial sans que le possesseur de la carte ne le remarque. Ces données seront ensuite reportées sur une carte vierge qui sera finalement utilisée par les escrocs. Parallèlement, ils récupèrent le mot de passe, par exemple à l’aide d’une caméra cachée ou d’un dispositif placé sur ou sous le clavier.
Une fois en possession de la carte falsifiée et du code, rien ne les empêche d’utiliser la carte voire d’accéder au compte de la victime. Et comme l’utilisateur n’a rien remarqué et qu’il est toujours en possession de la carte d’origine, ce n’est qu’au moment de consulter le solde de son compte qu’il remarquera qu’il est victime d’escroquerie.
D’après le dernier rapport de l’Office fédéral de la police, le skimming a causé en 2011 des pertes à hauteur de 15 millions de francs pour les banques suisses et le nombre de bancomats manipulés s’est presque multiplié par cinq l’année passée.
Les auteurs des opérations de skimming seraient, selon le rapport, presque exclusivement des bandes venues d’Europe du sud-est, principalement de Bulgarie et de Roumanie. Ils viennent en Suisse avec leur équipement puis quittent rapidement le pays afin d’utiliser les cartes copiées dans un autre pays, les bancomats suisses exigeant une puce, beaucoup plus difficile à copier qu’une bande magnétique.
Les banques ayant réagi et investi dans la sécurité de leurs appareils, les attaques de skimming se sont déplacées vers les distributeurs de tickets et les dispositifs de paiement des supermarchés, plus vulnérables.
Une campagne de prévention a été lancée
Suite à cette hausse, les autorités policières ont lancé en 2012 la campagne nationale de prévention «Stop Skimming», qui bénéficie du soutien de la Prévention suisse de la criminalité et de l’Association suisse des banquiers.
La campagne rappelle notamment les principes élémentaires pour se protéger du skimming: garder son code confidentiel, saisir le code à l’abri des regards, ne pas se laisser aider ou distraire, ne pas donner sa carte, contrôler ses comptes,…
