jump to navigation

Open Data et Open Governement Data, mais qu’est-ce que c’est? 17 septembre 2014

Posted by Sylvain Métille in Informatique, Liens, Localisation, Logiciel, Protection des données, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
2 comments

Il n’y a pas de définition unanime de ce qu’est une donnée ouverte (Open Data), mais on peut retenir qu’il s’agit d’une donnée qui peut être utilisée librement, réutilisée et redistribuée par chacun sans restriction (ou tout au plus celles liées à la paternité et au partage dans les mêmes conditions). Les données ouvertes peuvent être partagées par un privé ou par l’Etat.

En 2010, la Sunlight Foundation a établi une liste de dix critères que devraient remplir des données pour être dites ouvertes. Elles devraient donc être:

  • intégrales: les données doivent être aussi complètes que possibles, fournies dans un format brut et avec leur métadonnées, ainsi que les formules qui ont permis de calculer les données dérivées;
  • primaires: il doit s’agir des informations originales telles que collectées ;
  • immédiates: les données doivent être mises à disposition dès que possible, idéalement en temps réel;
  • accessibles: les données doivent être mises à disposition sans barrières, par exemple en permettant un téléchargement en bloc et en faisant des sélections spécifiquement au moyen d’une interface utilisateur ;
  • exploitables par une machine: les données doivent être structurées pour permettre le traitement automatisé par ordinateur. On évitera des notes manuscrite ou des formats pdf ;
  • non discriminatoires: accessibles à tous, sans aucune obligation préalable ni inscription et sans usage privilégié ni exclusif ;
  • non propriétaires: mises à disposition dans un format sur lequel personne ne dispose d’un contrôle exclusif ; libres de droits : pas de restriction d’utilisation, d’attribution ou de dissémination;
  • permanentes: les données doivent être accessibles de manière permanent. Si des modifications sont apportées, les différentes versions doivent être archivées et les modifications indiquées comme telles ;
  • gratuites: être disponibles sans frais.

Des données gouvernementales ouvertes
Lorsque les données sont mises à disposition par l’administration, on parle de données gouvernementales ouvertes (ODG, pour Open Government Data).

Le Conseil fédéral a adopté au printemps 2014 la Stratégie en matière de libre accès aux données publiques en Suisse (2014 à 2018) qui prévoit la libération des données publiques («open data by default»), la publication coordonnée des données publiques et l’établissement d’une culture du libre accès aux données publiques.

En Suisse, le Portail pilote des données ouvertes de l’administration publique suisse propose les jeux de données ouvertes des administrations fédérale et cantonales. On peut aussi citer l’association OpenData.ch qui milite pour l’ouverture des données publiques en Suisse.

Respecter la personnalité
La libération de données doit néanmoins respecter les principes de la protection des données (LPD). Lorsqu’il s’agit de données agrégées et anonymisées, la LPD ne sera pas applicable et il n’y aura que peu de règles à observer. En revanche, si la mise en contexte de ces données et leur utilisation avec d’autres bases de données rendent possible l’identification de certaines personnes, cela signifie que les données initiales n’étaient pas anonymes et que la LPD trouve application dès le début.

Les données ne peuvent alors être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint, ce qui exclut une diffusion des données. A moins que la personne ne soit informée dès la collecte ou qu’une loi ne le prévoie expressément, aucune donnée personnelle ne devrait être mise à disposition.

Certains termes sont couramment utilisés sans que l’on ne prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons déjà présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID et le skimming.

Hausse des escroqueries sur les sites de vente aux enchères et de petites annonces 22 avril 2014

Posted by Sylvain Métille in Droit pénal et procédure pénale, Facebook, Informatique, Liens, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique.
1 comment so far

Le Service national de Coordination de la lutte contre la Criminalité sur Internet (SCOCI) a publié son rapport annuel, qui marque également ses dix ans d’activité. En 2013, ce sont surtout les annonces de tentatives d’escroquerie sur des sites de vente aux enchères ou de petites annonces qui ont augmenté. Ces arnaques visent autant les vendeurs que les acheteurs.

Les escroqueries sont toujours mieux réalisées, les auteurs allant jusqu’à créer des sites web complets d’entreprises de transport fictives, avec un faux système de suivi des paquets pour faire croire le plus longtemps possible à la victime que la marchandise est encore en route. La pénurie de logements est aussi exploitée, avec la réapparition des fausses annonces d’appartements bon marché qui n’existent pas mais pour lesquels l’avance de paiement demandée est bien réelle.

Les tentatives de phishing (hameçonnage) ont également fortement augmenté. La variante la plus courante reste l’envoi massif de courriels à des victimes potentielles sans ciblage particulier pour les attirer sur des sites web ressemblant à de services Internet connus et où les victimes introduiront leurs données d’utilisateur (nom d’utilisateur, mot de passe, données personnelles). Les données seront ainsi récupérées sans difficultés par les escrocs.

Les rançongiciels (ransomware)
Au niveau de la détérioration de données, ce sont également des attaques bien organisées mais non ciblées qui sont le plus souvent rapportées. Les données sont d’abord supprimées ou encryptées sur l’ordinateur de la victime (par le biais d’un logiciel malveillant), puis la victime est invitée à procéder à un paiement (rançon) pour obtenir la libération de ses données.

Au niveau des entreprises, on note en particulier des attaques ciblées contre infrastructures de télécommunication (pour effectuer des appels surtaxés ou longues distances à charge de l’entreprise) et contre des données de clients (en exploitant des failles de sécurité des sites web).

Pour 2014, le SCOCI craint une augmentation du nombre de logiciels malveillants présents sur les téléphones mobiles ainsi que la difficulté croissante pour les victimes de distinguer les faux sites Internet au vu de l’amélioration de leur qualité de réalistaion  (fautes d’orthographes moins présentes, apparence visuelle du site plus réaliste, etc.)

Au sujet du Service national de Coordination de la lutte contre la Criminalité sur Internet
Le SCOCI a été créé en 2002 par le biais d’une convention administrative entre la Confédération et les cantons. Avec son rattachement à la Police judiciaire fédérale, le SCOCI s’est implanté également au niveau international en tant que partenaire des autorités d’enquête d’Europol European Cybercrime Center (EC3) et d’Interpol Global Complex for Innovation (IGCI). Il dispose désormais de son profil sur Facebook et sur Twitter.

Cadre juridique pour les médias sociaux 16 octobre 2013

Posted by Sylvain Métille in Facebook, Google, Humeur, Informatique, Jurisprudence, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
1 comment so far

Le Conseil fédéral vient de publier son rapport intitulé «Cadre juridique pour les médias sociaux» qui fait suite au postulat «Donnons un cadre juridique aux médias sociaux» déposé il y a deux ans par la Conseillère nationale Viola Amherd.

Le rapport dresse un bon panorama du droit en vigueur en Suisse et à l’étranger. En revanche, il est plutôt décevant et laisse un peu le lecteur sur sa faim s’agissant des propositions d’amélioration et de l’évaluation pratique des moyens légaux disponibles. Il confirme certes que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Ceci est une évidence mais qu’il n’est pas inutile de rappeler.  Le choix du Conseil fédéral de ne pas faire une loi spéciale pour les réseaux sociaux doit aussi être saluée.

Des craintes sans réponses et surtout sans propositions
Le rapport indique à plusieurs reprises qu’il est à craindre que les dispositions légales ne puissent pas être appliquées (car le prestataire de services serait à l’étranger) ou qu’il y a des risques importants pour la sphère privée (même si la loi n’est pas violée), sans apporter de propositions pour améliorer la situation. On ressent un certain fatalisme alors que c’était peut-être le lieu idéal pour défendre les principes ancrés dans le droit suisse et s’assurer de leur application en suggérant de renforce ici et là les moyens à disposition des autorités et des utilisateurs pour faire appliquer le droit déjà en vigueur.

Ainsi selon le droit en vigueur, celui qui transporte des informations entre au moins deux autres parties au moyen de techniques de télécommunication fournit un service de télécommunication (art. 3 let. b LTC). Ce n’est en général pas le cas des exploitants de plateformes sociales, qui constituent plutôt l’une des parties entre lesquelles des informations sont transportées. Toutefois poursuit le Conseil fédéral, il existe des exceptions, où les exploitants de plateformes sont au moins co-responsables du transport d’informations entre des tiers, ce qui fait d’eux des fournisseurs de services de télécommunication au sens de la LTC. Le rapport donne en exemple le cas des messages envoyés par un membre de Facebook à un autre au moyen de Facebook-Messenger, avant de conclure qu’indépendamment du fait qu’il est difficile, avec les instruments actuels, de faire appliquer le droit national des télécommunications contre des exploitants de plateformes sans siège en Suisse et actifs au niveau mondial, de nombreuses dispositions du droit des télécommunications en vigueur ne sont de toute manière pas adaptées aux activités de ces derniers (p. 13)… Aucune proposition n’est toutefois formulée.

Le rapport mentionne qu’il y a aussi lieu de s’interroger sur la validité d’un contrat conclu entre les utilisateurs et les exploitants de plateformes et prévoyant expressément la conservation et l’utilisation non limitées dans le temps de tous les contenus publiés par les utilisateurs sur les réseaux sociaux et qu’il n’est pas exclu qu’un tel contrat puisse dans certains cas être qualifié de transaction juridique contraire au droit de la personnalité (art. 19 al. 2 et art. 20 al. 1 CO, art. 27 al. 2 CC), d’autant plus que les données publiées sur des réseaux sociaux et faisant ensuite l’objet de liens constituent souvent des données sensibles ou des profils de la personnalité et que la proportionnalité entre la prestation et sa contrepartie peut être mise en doute (offre d’une infrastructure de communications de la part de l’exploitant de la plateforme contre transfert très complet de droits d’utilisation des données personnelles de la part des utilisateurs) (pp 25-26). Les conséquences d’une telle illégalité et les mesures à prendre  (par l’Etat ou par l’utilisateur) pour l’éviter ne sont pas abordées non plus.

L’application du droit en vigueur
A plusieurs reprises, le rapport indique qu’il y a des moyens de défense en droit suisse (par exemple les dispositions sur les conditions générales abusives de la LCD ou le besoin de consentement au sens de la LPD). La mise en œuvre concrète de ces moyens aurait pu être analysée plus avant et des recommandations formulées pour en améliorer l’effet (augmentation des compétences et des ressources du préposé à la protection des données, possibilité de fixer des amendes, actions collectives, etc.).

En ce qui concerne le vol d’identité, le Conseil fédéral estime que le droit en vigueur couvre largement les délits liés à l’usurpation d’identité. Il n’est pas nécessaire d’ériger une infraction propre.

Responsabilité des intermédiaires
Le Conseil fédéral revient encore une fois sur la question de la responsabilité des fournisseurs de services qui permettent l’accès à un réseau et charge le Département fédéral de justice et police (DFJP) de voir s’il convient de légiférer sur la responsabilité civile des fournisseurs de services internet. La question de la responsabilité au niveau pénal ne devrait pas être réexaminée. S’agissant de savoir quelles règles du droit des télécommunications devront s’appliquer aux plateformes de médias sociaux, le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) traitera ces questions dans le cadre d’une prochaine révision de la loi sur les télécommunications (LTC). Cette question devrait toutefois aussi être prise en compte dans le cadre de la révision en cours de la LSCPT qui est déjà dans les mains du parlement…

Les rapports de transparence 16 septembre 2013

Posted by Sylvain Métille in Apple, Facebook, Google, Informatique, Liens, Protection des données, Renseignement, Skype, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Depuis plusieurs années, Google propose deux outils liés à la transparence: le dashboard (tableau de bord) et les rapports de transparence. Le premier permet de voir les informations que j’ai transmises et qui sont utilisées par les différents services Google). Le second est publié régulièrement. Le rapport de transparence présente des informations sur le trafic vers les services de la société, le nombre de demandes de suppression et surtout le nombre de demandes de renseignements sur les utilisateurs formées par les autorités judiciaires et administratives dans les différents pays. Google a depuis été suivi par de nombreux autres fournisseurs de services. Apple n’en fait actuellement pas partie.

A noter que les chiffres fournis ne tiennent en principe pas compte des demandes que le droit local ou une décision judiciaire interdisent aux fournisseurs de mentionner. C’est notamment le cas des demandes adressées par le FBI sous la forme de National Security Letters (NSL). Google et Microsoft publient actuellement un ordre de grandeur pour ces demandes administratives secrètes alors que Facebook les intègre aux autres demandes (sans distinction possible). Les fournisseurs de service essaient de faire pression sur le Congrès pour obtenir le droit de transmettre ces données.

Pour aller plus loin

Mesures techniques de surveillance et respect des droits fondamentaux (version numérique disponible) 28 juin 2013

Posted by Sylvain Métille in ATF, Droit pénal et procédure pénale, Informatique, Jurisprudence, Liens, Localisation, Logiciel, Protection des données, Publications, Renseignement, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA, Vidéosurveillance.
1 comment so far

Mon premier ouvrage Mesures techniques de surveillance et respect des droits fondamentaux, en particulier dans le cadre de l’instruction pénale et du renseignement, a été publié en 2011 dans la collection neuchâteloise (Helbing & Lichtenhahn). La version papier étant épuisée, j’ai souhaité le rendre accessible au format numérique. Il est donc librement consultable et téléchargeable sur le site rero.doc.

Pour rappel, l’étude examine les différentes techniques de surveillance. Un panorama juridique des libertés pouvant être touchées par les mesures de surveillance est ensuite dressé. Les atteintes sont décrites, en illustrant par des exemples ce qui est admissible et ce qui ne l’est pas au regard de la Constitution fédérale et de la CEDH. Un accent particulier est ensuite mis sur la surveillance répressive, soit les cas de surveillance mis en place dans le cadre d’une enquête pénale lorsqu’une infraction a été commise. La procédure prévue par le Code de procédure pénale fédéral (CPP) est analysée dans le détail. La surveillance préventive est également traitée, de même que les principales bases de données (essentiellement fédérales) et les différents droits d’accès aux données.

Evernote se soumet au droit suisse, et alors ? 4 décembre 2012

Posted by Sylvain Métille in Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Téléchargement, Technique, USA.
1 comment so far

Comme le relevait récemment François Charlet sur son blog, Evernote a choisi de diviser dès aujourd’hui ses services entre le marché nord-américain et le reste du monde. Pour les USA et le Canada, le site Internet est proposé par Evernote Corporation à Redwood City (Californie) et est soumis aux droits américain et californien, alors que pour le reste du monde c’est Evernote GmbH à Zurich qui propose le service soumis au droit suisse.

L’argument marketing d’Evernote est de proposer un cadre juridique et un interlocuteur plus proche du consommateur (en tous cas pour les utilisateurs européens…).

Qu’est-ce qui change pour les utilisateurs suisses ?
Probablement pas grand-chose. Le choix d’un droit applicable dans la relation entre les parties n’exclut pas pour autant l’application d’autres dispositions dites de droit impératif, qu’il s’agisse du droit américain où sont les serveurs ou de droit suisse où se trouve l’utilisateur (et maintenant le prestataire de service). Ainsi déjà avant cette modification, des normes de droit suisse pouvaient être applicables et après cette modification des normes de droit américain continueront à s’appliquer. Il n’est pas possible de cloisonner complètement un service proposé de manière internationale via Internet.

Pour les utilisateurs suisses, la loi suisse sur la protection des données s’appliquait déjà avant cette modification car il y avait un traitement de données en Suisse (collecte et accès aux données, etc.). La notion de traitement de données (qui fonde l’application de la loi suisse) est en effet très large et inclut déjà la simple consultation ou l’enregistrement de données. Autrement dit, stocker ses données dans un pays tiers et les consulter depuis la Suisse implique le respect du droit de ces deux pays.

La principale nouveauté est certainement que dans le cas d’un litige entre Evernote et un utilisateur, le for est désormais prévu à Zurich (seulement après l’échec d’une procédure d’arbitrage…). Cela concerne uniquement les procédures civiles (et pour autant qu’une loi particulière ne donne pas un choix supplémentaire à l’utilisateur). Une plainte pénale peut en principe toujours être déposée au lieu où l’infraction est commise (indépendamment de la volonté de parties).

Qu’est-ce qui change pour les autres utilisateurs ?
La nouveauté est en revanche pour les ressortissants d’autres pays car la loi suisse protège également les données des entreprises (comme l’Italie, le Liechtenstein et l’Autriche). En ce sens il s’agit d’une vraie garantie supplémentaire introduite par Evernote.

Evernote doit désormais respecter cette protection des données d’entreprise car la loi suisse sur la protection des données lui impose de prendre les mesures adéquates pour assurer le respect du niveau de protection suisse à l’étranger lors qu’elle y exporte des données (ou avoir un consentement explicite de l’utilisateur, ce qui n’est apparemment pas le cas). Evernote a adhéré au Safe Harbor (accord américano-suisse au regard duquel les entreprises américaines peuvent s’engager à respecter certaines principes fondamentaux de protection des données), mais cela ne couvre pas les données d’entreprises. Evernote doit donc intégrer dans ses règles internes des garanties que le niveau légal de protection suisse sera assuré aussi aux USA.

Sauf si le droit national prévoit autre chose, les utilisateurs devraient agir en justice à Zurich et appliquer le droit suisse. De manière générale, les utilisateurs qui ne sont ni en Suisse, ni aux USA, ni au Canada verront s’appliquer leur droit national (lorsqu’il prévoit des dispositions impératives par exemple en matière de protection des données ou de protection des consommateurs), le droit suisse (comme convenu entre les parties) et le droit du lieu où les données sont traitées (principalement en Californie).

Qu’est-ce qui ne change pas ?
Quel que soit le droit choisi entre les parties, le lieu où des données sont stockées joue un rôle déterminant car c’est le droit de ce lieu qui sera appliqué si l’Etat (voire dans certains cas un tiers) demande à accéder aux données. En l’occurrence ce sera principalement les droits californien et américain qui fixeront les conditions auxquelles une autorité pourra accéder aux données. Le choix du droit suisse ne pourra pas l’empêcher. Si Evernote voulait répondre aux craintes des Européens que le Gouvernement américain n’utilise le Patriot Act pour accéder aux données, c’est raté. Ceci dit, il y a également beaucoup d’autres lois que le Patriot Act qui permettent à une autorité d’obtenir des données…

Si on lit la politique de confidentialité, on voit que l’utilisateur autorise de toute façon Evernote à transmettre des informations lorsque la société pense (sic) qu’il est nécessaire d’enquêter, de prévenir ou de prendre des mesures concernant des activités illégales ou pour se conformer aux lois applicables, y compris les mandats, ordonnances des tribunaux ou autres procédures judiciaires. Conformément au droit suisse, l’utilisateur donne son consentement pour certains cas de transmission de ses données, même si les cas visés sont larges (trop?). Quoiqu’il en soit la présence sur sol américain des serveurs donne le droit aux autorités locales accéder aux données hébergées si le droit local le prévoit.

En résumé, on peut saluer le fait que le service soit proposé par une entité suisse et que les tribunaux et le droit suisse soient retenus. En revanche, et indépendamment de la volonté de la société et de l’utilisateur, il n’est pas possible d’isoler juridiquement en Suisse un service proposé depuis et à l’étranger.

RapidShare introduit de nouvelles règles qui ne vont pas plaire aux adeptes de téléchargement illégal 20 novembre 2012

Posted by Sylvain Métille in Logiciel, Suisse, Téléchargement, Technique, USA.
add a comment

RapidShare SA est une société suisse basée à Baar (Zug) active dans la fourniture de prestations informatiques et en particulier de plateformes d’hébergement dont le site rapidshare.com.

Depuis l’arrestation de Kim Dotcom et la fermeture du site Megaupload au début de l’année 2012, les sites Internet permettant de partager des fichiers ont été mis fortement sous pression. RapidShare a soigné son image et réagit rapidement aux demandes de suppressions.

L’entreprise a aussi développé un système de veille qui parcourt l’Internet pour repérer les liens vers son site qui proposent des œuvres protégées.   Les liens vers des téléchargements illégaux sont valides durant une période générale plus courte pour les fichiers hébergés par RapidShare que d’autres sites.

La Suisse est apparue cette année dans la liste établie par le «International Anti-Piracy Caucus», un comité du Congrès américain qui considère que la Suisse dispose de lois sur la propriété intellectuelle inadéquates et la transformant en un paradis pour des sites Internet dont le but est de faciliter et de permettre la mise à disposition massive de matériel piraté.

Un nouveau modèle économique
RapidShare vient d’annoncer un nouveau modèle d’hébergement valable dès le 27 novembre 2012. Habituellement l’enregistrement de fichiers (upload) sur la plateforme est gratuit et les internautes qui souhaitent le télécharger (download) ont le choix entre une version limitée gratuite ou un abonnement payant.

Désormais RapidShare utilisera un modèle qui se rapproche de la location d’un espace de stockage classique. Le propriétaire devra payer pour enregistrer le fichier (upload), mais son téléchargement (download) sera gratuit pour les internautes.

Les coûts liés au trafic seront également payés par celui qui enregistre le fichier (upload). Son abonnement comprend en effet la possibilité pour lui-même et ses contacts (inscrits sur le site Rapidshare) de télécharger ses fichiers de manière illimitée. Ceux qui ne figurent pas dans ses contacts (qu’ils aient également un compte RapidShare ou ne soient pas enregistrés) devront se partager un volume total limité à 30 Go par jour. Le partage de fichiers sera important au sein des contacts de celui qui met à disposition le fichier, mais très restreint au dehors. RapidShare ressemblera donc plus à un espace de stockage partagé (à la manière de ce que propose Wuala, Dropbox, Cloud Drive, iCLoud, Sky Drive, …) qu’une plateforme de partage «publique».

RapidShare vise certainement plusieurs buts. Premièrement, elle permet aux utilisateurs de continuer à partager des fichiers tout en limitant le partage public et incontrôlé qui est dans le collimateur de plusieurs organisations de titulaires de droits d’auteurs. Deuxièmement, RapidShare s’assure de connaître les personnes qui peuvent télécharger (download) sans limite un fichier. Le téléchargement par des personnes non enregistrées deviendra marginal et RapidShare sera en mesure de transmettre ces informations en cas de demande judiciaire.

Troisièmement, RapidShare met en place un système commercial qui ne repose pas sur un téléchargement (download) massif (un des principaux griefs dans l’affaire Megaupload était l’incitation économique à faire télécharger par un maximum de personnes le fichier hébergé) mais sur le partage en cercle plus ou moins restreint de fichiers.

Finalement, RapidShare vise peut être aussi une particularité du droit suisse. Le droit d’auteur suisse connait le droit de copie privée, un cas particulier qui est une exception à la violation du droit d’auteur. L’art. 19 LDA permet de copier une œuvre protégée si cela reste dans un cadre privée, soit pour une utilisation personnelle ou dans un cercle de personnes étroitement liées, tels des parents ou des amis. C’est précisément à cause de cette exception du droit suisse que celui qui télécharge (download) une œuvre protégée uniquement pour son usage personnel ne commet pas un acte illégal. La mise à disposition publique (upload) d’une œuvre protégée est en revanche clairement contraire au droit suisse.

Dans le cas de RapidShare, celui qui mettrait un fichier à disposition de personnes qui lui sont étroitement liées (et donc en nombre restreint) pourrait tomber sous le coup de l’exception et ne pas tomber dans l’illégalité. Ce pourrait être le cas par exemple de celui qui enregistre un fichier auquel il veut accéder depuis son ordinateur fixe, son portable et son téléphone et qu’il met également à disposition de son conjoint et ses enfants. On est dans une situation qui ne diffère guère du partage d’un DVD dans son salon. L’exception de copie privée ne sera en revanche pas applicable si des inconnus ont accès au fichier (lien public), si un certain nombre de personnes y ont accès, ou encore si ces personnes n’ont qu’un lien éloigné avec le propriétaire du compte.

Les préposés européens unis face à la nouvelle politique de confidentialité de Google 25 octobre 2012

Posted by Sylvain Métille in Google, Liens, Localisation, Logiciel, Protection des données, Sphère privée, Suisse, Surveillance, Téléchargement, Téléphonie, Technique, USA.
add a comment

Le 1er mars 2012, Google a unifié les règles de confidentialité (Privacy Policy) de tous ses services, pour n’avoir plus qu’une seule et unique version. Cette modification permet désormais au géant de l’Internet de combiner les informations des différents services et de ne traiter le tout que comme un seul produit. Si la démarche est cohérente du point de vue de Google, il est moins sûr que les utilisateurs mesurent l’étendue de tous ces services et les conséquences de la mise en relation de ces données. On peut donc difficilement interpréter l’utilisation d’un service par un internaute (utilisation du moteur de recherche ou d’un téléphone Android, clic d’un «+1» ou visite d’un site utilisant Google analytics) comme un consentement global à la fusion des données entre tous les services proposés par Google. Quelques soient les intentions que l’on prête à ce dernier, il faut admettre que sa grandeur devient problématique.

La CNIL française (la Commission Nationale de l’Informatique et des Libertés, soit l’autorité nationale de protection des données) a été mandatée par ses homologues européennes (Groupe de travail Article 29) pour enquêter sur ces nouvelles règles. Le verdict vient de tomber: les préposés européens à la protection des données recommandent une information plus claire des personnes, demandent à Google d’offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les différents services et souhaitent que Google modifie les outils utilisés afin d’éviter une collecte excessive de données.

La CNIL regrette que Google lui ait fourni des réponses incomplètes ou approximatives, notamment concernant la description de tous les traitements de données personnelles opérés ou la liste précise des 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. La CNIL n’a pas pu s’assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles (proportionnalité, droit d’opposition, traitement du minimum de données nécessaires, respect de la finalité, etc.). La nouvelle politique de confidentialité ne mentionne pas de limite claire concernant le périmètre de la collecte des données et les usages potentiels. Les autorités européennes demandent à Google de s’engager publiquement sur le respect des principes contenus dans la directive. Reste à voir s’il s’agit d’une demande polie ou d’une menace de mesures judiciaires ultérieures.

L’absence d’information suffisante sur l’utilisation des données
Les règles actuelles ne permettent pas à l’utilisateur d’un service Google de déterminer quelles données personnelles sont utilisées pour ce service et les finalités exactes pour lesquelles elles sont traitées, en particulier dans quelles mesures et comment ces données peuvent être utilisées pour un autre service ou en lien avec des données provenant d’un autre service.

Un traitement différencié n’est pas non plus prévu entre le contenu anodin d’une recherche et l’utilisation du numéro de carte de crédit ou encore le contenu d’une conversation téléphonique.

De plus, Google a refusé de s’engager sur des durées de conservation pour les données personnelles traitées.

L’absence de contrôle de la combinaison des données
Le plus grand souci provient de la combinaison de données entre les nombreux services de Google (Search, Maps, Youtube, Gmail, Google Play, Docs, Google+, DoubleClick, Analytics, boutons «+1»).

Cette combinaison est extrêmement étendue en termes de périmètre et d’historique des données, et elle poursuit des finalités très différentes (fourniture du service demandé, développement de nouveaux produits, sécurité, publicité, création du compte, recherche académique, etc.).

Le traitement de données personnelles doit reposer sur un motif justificatif (en général la loi ou le consentement de la personne). Or les autorités européennes ont constaté qu’un tel motif faisait défaut lorsque les données sont combinées. Elles demandent donc à Google de renforcer le consentement des personnes pour la combinaison des données lorsqu’elles ont pour but l’amélioration de services, le développement de nouveaux services, de la publicité et l’analyse de fréquentation. Elles demandent ensuite à Google d’offrir un meilleur contrôle des utilisateurs sur la combinaison de données en centralisant et simplifiant le droit d’opposition (opt-out) et en leur permettant de choisir pour quels services leurs données sont combinées. Elles demandent finalement à Google d’adapter les outils utilisés pour la combinaison de données afin de limiter cette combinaison aux finalités autorisées, par exemple en distinguant les outils utilisés pour la sécurité et ceux utilisés pour la publicité.

Une démarche unie des préposés européens
Ces recommandations ont été adressées à Google et signées par 27 Préposés européens. Le Préposé australien a soutenu cette démarche au nom des autorités de protection des données de l’Asie-Pacifique (APPA), et la Commissaire à la protection de la vie privée du Canada en a fait de même.

Le Préposé Suisse (PFPDT) n’a apparemment pas pris position publiquement ni n’a ouvert d’enquête, alors que la FTC américaine a clairement refusé de soutenir les conclusions des préposés européens.

Surveillance d’employés par le service informatique: les règles à suivre 4 septembre 2012

Posted by Sylvain Métille in Droit pénal et procédure pénale, Jurisprudence, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléchargement, Technique.
3 comments

Alors que des fonctionnaires et magistrats jurassiens consultaient des sites Internet non-professionnels, le service informatique de l’Etat a mis en place des mesures de surveillance informatique qui se sont avérées être clairement illégales. Aucune infraction pénale n’a été constatée en lien avec la consultation des sites Internet, mais des mesures administratives ont été prononcées. La question de la légalité de la surveillance n’a guère été abordée, quand bien même elle est déterminante et aurait pu conduire également à des sanctions.

La Commission cantonale à la protection des données a rendu une décision récemment dans cette affaire dite du «Pornogate». J’ai analysé cette décision dans un article paru dans la revue Jusletter intitulé «Les enseignements à tirer de la surveillance illicite de magistrats et fonctionnaires par un service informatique, commentaire de l’affaire jurassienne du Pornogate». Au-delà de l’affaire jurassienne, cet article décrit également la procédure à suivre dans un tel cas et surtout les mesures qui devraient être prises préalablement à la survenance de tout comportement nécessitant une surveillance. Ces mesures devraient prendre la forme d’une loi pour le secteur public, alors qu’un règlement de travail ou des directives internes suffisent pour le secteur privé.

Obliger un réseau social à filtrer systématiquement les oeuvres protégées est contraire au droit européen 4 mars 2012

Posted by Sylvain Métille in Jurisprudence, Protection des données, Sphère privée, Surveillance, Téléchargement.
add a comment

A fin 2011, la Cour de justice de l’Union européenne (CJUE), avait rappelé que le droit de l’Union européenne s’oppose à l’obligation faite à un fournisseur d’accès à Internet de mettre en place d’un système de filtrage préventif et général des communications pour éviter les téléchargements illégaux de fichiers. La Cour a rendu un arrêt le 16 février 2012 allant dans le même sens, mais s’agissant cette fois d’un réseau social (C-360/10).

L’affaire est belge, encore une fois, et oppose une société de gestion qui représente les auteurs, compositeurs et éditeurs d’œuvres musicales (SABAM) à un réseau social en ligne (Netlog). Sur leur profil, les utilisateurs peuvent notamment tenir un journal et notamment, montrer à  leurs amis des photos ou photos, parmi lesquelles des œuvres figurant au répertoire de SABAM, et cela évidement sans qu’une redevance ne soit versé par l’internaute.

Devant le président du Tribunal de première instance de Bruxelles (Belgique), SABAM demande que Netlog cesse immédiatement toute mise à disposition illicite des œuvres du répertoire de SABAM. Netlog se défend en soutenant qu’on ne peut pas lui imposer une obligation générale de surveillance, ce qui serait contraire à la Directive 2000/31/CE sur le commerce électronique. La question est alors transmise à la CJUE.

Pas d’observation généralisée, même pour un fournisseur d’hébergement
La Cour retient que la mise en place d’un tel système de filtrage exigerait ainsi une observation active et généralisée des fichiers stockés par les utilisateurs auprès de l’exploitant du réseau social. Par conséquent, le système de filtrage imposerait à ce dernier une surveillance générale des informations stockées auprès de lui, ce qui est interdit par la Directive sur le commerce électronique.

A l’appui de sa décision, la Cour rappelle la liberté d’entreprise de Netlog (qui devrait assumer seule un système coûteux et complexe de surveillance) et surtout les droits des utilisateurs protégés par la Charte des droits fondamentaux de l’Union européenne, en particulier le droit à la protection des données à caractère personnel et la liberté de recevoir ou de communiquer des informations.

La Cour a dès lors répondu au juge belge qu’il ne peut pas adopter une injonction obligeant le prestataire de services d’hébergement à mettre en place un tel système de filtrage, car cela ne respecterait pas l’exigence d’assurer un juste équilibre entre le droit de propriété intellectuelle d’une part et d’autre part, la liberté d’entreprise, le droit à la protection des données à caractère personnel et la liberté de recevoir ou de communiquer des informations.

Avec ce deuxième arrêt, la Cour maintient qu’un système de filtrage ou une surveillance généralisée des communications est contraire au droit européen, et cela même pour protéger le droit d’auteur. Le raisonnement n’est pas différemment que l’on demande à un fournisseur d’accès ou un fournisseur d’hébergement. La Cour continue à faire primer, avec raison, les droits fondamentaux des citoyens.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 698 autres abonnés