ViePrivee.com

Journée d'audit en ligne à la CNIL : les 250 principaux sites informent-ils suffisamment les internautes ?

webmaster — 2013-05-06T15:21:12Z

Les principales autorités mondiales compétentes en matière de protection des données rassemblées au sein du GPEN (Global Privacy Enforcement Network), mènent une première action commune. Une vingtaine d'autorités vont, simultanément, analyser les mentions d'information présentes sur les principaux sites web à l'occasion de l'Internet Sweep Day. Le 6 mai, la CNIL participe à cette opération et examinera 250 sites internet.

Conscientes de la dimension désormais mondiale des questions relatives à la protection des données à caractère personnel, les principales autorités compétentes ont décidé de collaborer étroitement en matière de contrôle. A ce titre, la CNIL est membre du Global Privacy Enforcement Network (GPEN), qui réalise des opérations pour vérifier le respect des règles relatives à la protection des données personnelles.

Cette année, les autorités membres ont décidé de mettre en place, le même jour, une opération conjointe, appelée l'Internet Sweep Day. Cette opération est destinée à apprécier, sur une large échelle, l'information des internautes proposée par les principaux sites internet.

Le 6 mai 2013, la CNIL examine 250 sites internet parmi les plus importants afin de vérifier si les internautes sont correctement informés des points suivants :

quelles données les concernant sont collectées ?
pour quoi faire ?
leurs données sont-elles transmises à des tiers ?
peuvent-ils s'opposer à cette transmission à des tiers ?

La CNIL regardera également si les mentions d'information sont claires et compréhensibles.

En cas de manquements importants à la loi, la CNIL se réserve la possibilité, dans un second temps, d'opérer des contrôles approfondis et, le cas échéant, d'ouvrir des procédures de sanction.

Une grille d'analyse commune, utilisée par l'ensemble des autorités participantes, permettra d'établir un panorama mondial des pratiques mises en œuvre par les principaux sites web. A l'issue de cette opération, une communication globale sera faite afin de sensibiliser les acteurs d'internet sur l'importance des mentions d'information qui doivent être présentes sur leurs sites web et les internautes sur le respect de leurs droits en ligne.

L'Internet Sweep Day constitue une première avancée vers une collaboration appelée à devenir de plus en plus étroite entre les autorités mondiales de protection des données personnelles : de futures opérations communes de contrôle sont d'ores et déjà à l'étude pour les années à venir.

Source : http://www.cnil.fr

Les recommandations du G29 sur les applications mobiles pour smartphones ou tablettes

webmaster — 2013-04-09T17:08:00Z

Aujourd'hui, 24 millions de français possèdent un smartphone et près d'1 million d'applications sont disponibles. Chaque jour, sur nos smartphones ou nos tablettes, des services et produits innovants, utiles ou simplement distrayants, apparaissent par le biais d'applications - gratuites ou payantes - à télécharger. Les applications font donc partie du quotidien de tout utilisateur de smartphone ou de tablettes. Or, elles sont à l'origine du traitement d'une grande quantité de données personnelles.

Dans ce contexte, le groupe des CNIL européennes (G29) a souhaité préciser les règles applicables aux smartphones en matière de protection des données. Dans un avis publié le 14 mars 2013, le G29 a ainsi formulé des recommandations à l'égard des 4 grandes catégories d'acteurs impliqués dans l'écosystème des smartphones : les développeurs d'applications, les fournisseurs de système d'exploitation et les fabricants de terminaux mobiles, les magasins d'applications ainsi que des tiers, comme les régies publicitaires ou les opérateurs de télécommunications. Cet avis leur rappelle leurs responsabilités et leurs obligations essentielles au regard de la protection des données personnelles.

Ces recommandations portent en particulier sur :

La nécessaire limitation des données traitées dans le cadre de l'utilisation de smartphones : le principe de " privacy by design " doit conduire les développeurs d'application à une minimisation des données collectées (seules les données nécessaires au fonctionnement de l'application doivent être recueillies) ; les smartphones ne devraient pas donner lieu à une identification permanente via un identifiant spécifique et, pour éviter un traçage continu des utilisateurs, il convient donc de recourir à des identifiants temporaires ou ciblant une application ou une catégorie d'applications.
L'impératif de transparence à l'égard des utilisateurs : tous les acteurs de cet écosystème doivent fournir aux personnes concernées des informations claires sur les données traitées, les finalités de chaque application et les possibles réutilisations des données, notamment lorsque celles-ci sont transmises entre ces différents acteurs ; pour ce faire, de véritables privacy policies doivent être élaborées par les développeurs d'application, des standards (en particulier de sécurité et de règles d'accès aux données) et des règles simples d'utilisation doivent être proposés par les créateurs de systèmes d'exploitation et les magasins d'application doivent offrir des moyens d'information adéquats aux utilisateurs avant le téléchargement de toute application.
L'amélioration de la maîtrise des informations par les utilisateurs : leur consentement exprès doit être recueilli avant tout téléchargement d'une application, de même qu'avant toute modification substantielle de ses conditions de mise en œuvre ; ce consentement, y compris pour les applications installées par défaut sur un smartphone, doit être préalable à l'utilisation de l'application (" opt-in "), détaillé (allant bien au-delà la proposition installer/ne pas installer) et non définitif (possibilité de retrait effectif du consentement de manière simple et accessible) ; les tiers, qui n'ont pas de contact direct avec les utilisateurs mais à qui les données sont transmises, doivent également s'assurer du recueil de ce consentement avant toute utilisation des informations.
L'attention réservée à certaines informations : la collecte de données " sensibles ", financières ou permettant d'établir le profil social d'une personne devra donner lieu à une réflexion approfondie sur le respect des droits fondamentaux de la personne concernée et à une information spécifique ; cette information doit être en particulier adaptée lorsque les applications ciblent des enfants.

Ces recommandations doivent permettre à chaque acteur d'assumer sa part de responsabilité dans la création d'un environnement sûr et sécurisé pour les applications smartphones et tablettes. Elles doivent s'accompagner d'une plus grande responsabilité des utilisateurs dans le choix de leurs applications, notamment en considérant que les applications gratuites sont susceptibles d'être financées par la publicité et donc à partir d'une réutilisation éventuelle des données recueillies via l'application (notamment en cas de publicité ciblée).

La CNIL va maintenant s'attacher, en concertation avec les acteurs concernés, à rendre ces recommandations opérationnelles et effectives.

Source : http://www.cnil.fr

Règles de confidentialité de Google : six autorités européennes lancent, le même jour, une action répressive concertée

webmaster — 2013-04-02T17:34:00Z

Le G29 – le groupe des CNIL européennes – a mené, de mars à octobre 2012, une analyse des règles de confidentialité de Google au regard de la législation européenne en matière de protection des données. Sur la base des conclusions de celle-ci, rendues publiques le 26 octobre 2012, le G29 a demandé à Google de se mettre en conformité, dans un délai de quatre mois.

À l'issue de ce délai, Google n'a adopté aucune mesure concrète.

Des représentants de Google Inc. ont été reçus le 19 mars 2013, à leur demande, par un groupe de travail piloté par la CNIL, qui réunit les autorités de protection des données d'Allemagne, d'Espagne, de France, d'Italie, des Pays-Bas et du Royaume Uni. À l'issue de cette réunion, aucun changement n'a été mis en œuvre.

La phase d'analyse par le G29 étant désormais terminée, il appartient dès lors à chaque autorité nationale de poursuivre ses investigations au regard de son droit national, directement issu de la législation européenne. En conséquence, toutes les autorités du groupe de travail mis en place par le G29 ont décidé d'engager ce jour, 2 avril 2013, et chacune en ce qui la concerne, des actions (enquête, contrôles, etc.).

La CNIL a, pour sa part, notifié à Google sa décision d'ouvrir une procédure de contrôle, ainsi qu'une procédure de coopération administrative internationale avec ses homologues du groupe de travail.

Source : http://www.cnil.fr

Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs

webmaster — 2013-03-20T18:37:00Z

Certaines sociétés sont parfois tentées d'utiliser des méthodes très intrusives afin de surveiller l'activité de leurs salariés depuis leur poste informatique. Cette surveillance peut par exemple s'opérer en utilisant des outils dénommés « keylogger ». Ces logiciels permettent d'enregistrer notamment toutes les frappes effectuées par un salarié sur son clavier. La CNIL rappelle que ce type d'outil ne peut pas être utilisé dans un contexte professionnel, à l'exception d'impératifs forts de sécurité, et d'une information spécifique des personnes concernées.

Les " keyloggers " sont des dispositifs de surveillance, parfois téléchargeables gratuitement depuis le web, qui se lancent automatiquement à chaque démarrage de la session de l'utilisateur, à son insu. Une fois lancés, ils permettent, selon les versions, d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent.

Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage.

Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé. Selon son paramétrage, le dispositif permet également de générer des rapports, récapitulant l'ensemble des actions faites à partir d'un poste informatique, qui sont directement envoyés sur le poste informatique de celui qui aura installé le logiciel espion.

Un employeur peut fixer des conditions et des limites à l'utilisation des outils informatiques, notamment par un filtrage des sites non autorisés ou une interdiction de télécharger ou d'installer des logiciels. Mais la surveillance exercée sur les salariés ne doit pas porter une atteinte disproportionnée à leurs droits.

Or, ce type de logiciel conduit celui qui l'utilise à pouvoir exercer une surveillance constante et permanente sur l'activité professionnelle des salariés concernés mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique. Ainsi, les données enregistrées peuvent concerner aussi bien les courriels émis ou reçus, les conversations de messageries instantanées ou des informations personnelles sensibles telles qu'un numéro de carte bancaire ou les mots de passe des salariés lorsqu'ils accèdent, pendant leur temps de pause, à leur compte d'adresse électronique personnelle.

L'installation et l'utilisation d'un tel logiciel ne saurait se justifier en l'absence d'un fort impératif de sécurité (lutte contre la divulgation de secrets industriels, par exemple), accompagné d'une information spécifique des personnes concernées.

Depuis 2012, la CNIL a reçu plusieurs plaintes de salariés qui dénoncent l'installation, réelle ou supposée, sur leur poste informatique de dispositifs, du type " keylogger ".

Ces plaintes ont conduit la CNIL à effectuer des contrôles auprès des sociétés mises en cause afin de vérifier dans quelles conditions ces dispositifs très particuliers de cybersurveillance étaient utilisés.

Le contrôle de l'une de ces sociétés a permis de constater la mise en place effective d'un dispositif de ce type, à l'insu des salariés. La CNIL a estimé que ce dispositif portait une atteinte excessive à la vie privée des salariés concernés et qu'il était, dès lors, illicite au regard de la loi "informatique et libertés". Elle a donc mis en demeure la société de cesser le traitement des données avec le logiciel en cause.

La CNIL précise, en outre, que la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 punit dorénavant de 5 ans d'emprisonnement et de 300 000 € d'amende l'utilisation, mais aussi la vente, de certains dispositifs de captation de données informatiques à l'insu des personnes concernées.

Source : http://www.cnil.fr

Open Data : la CNIL souhaite accompagner les acteurs publics et privés

webmaster — 2013-03-06T18:33:00Z

Afin d'établir si une réflexion est nécessaire sur l'Open Data au regard de son champ de compétence, la CNIL lance une consultation des acteurs publics et privés concernés.

L'Open Data est un mouvement visant à généraliser la mise à disposition des internautes d'informations détenues par le secteur public. Il s'agit de rendre ces données accessibles à tous, facilement et gratuitement, afin de favoriser une meilleure information des citoyens. L'Open Data répond donc à l'exigence de renforcer la transparence de l'action de l'administration en opérant un élargissement et un approfondissement des droits à l'accès aux informations publiques. Il peut sans conteste donner lieu à de nouveaux services.

Afin d'avoir une meilleure perception de ce mouvement et de ses développements à moyen terme, au regard de ses éventuelles incidences sur la protection des données personnelles, la CNIL engage une consultation des différents acteurs publics et privés concernés.

Les résultats de ces échanges permettront à la CNIL de définir une position collégiale sur le sujet, afin de contribuer à la construction d'un Open Data durable.

Source : http://www.cnil.fr

Règles de confidentialité de Google : le G29 s'engage dans une action répressive et coordonnée

webmaster — 2013-02-28T15:38:21Z

En octobre 2012, le G29 - groupe des CNIL européennes - a souligné les problèmes et manquements posés par les règles de confidentialité de Google au regard de la directive européenne et a formulé des recommandations afin que ce dernier se mette en conformité. A ce jour, Google n'a pas apporté de réponse précise et opérationnelle à ces demandes allant dans le sens d'une mise en conformité.

Réunies en séance plénière du G29 le 26 février 2013, les autorités européennes ont décidé de poursuivre leurs investigations en étroite collaboration et de prendre toutes les mesures nécessaires conformément aux pouvoirs dont elles disposent. Un groupe de travail, piloté par la CNIL, a été mis en place afin de coordonner leur action répressive, laquelle devrait être lancée avant l'été.

Ce groupe de travail se réunira dans les prochaines semaines et auditionnera Google.

Source : http://www.cnil.fr

La CNIL poursuit et étend son partenariat avec les organismes nationaux de la sécurité sociale

webmaster — 2013-02-25T15:40:00Z

La CNIL et l'Union des Caisses Nationales de Sécurité Sociale (UCANSS), ont signé le 15 février 2013 le renouvellement de leur convention de partenariat, initiée il y a 5 ans. A cette occasion, leur collaboration s'élargit à la Caisse centrale de Mutualité Sociale Agricole (MSA), au Régime Social des Indépendants (RSI) et à la Caisse de Prévoyance et de Retraite du Personnel de la SNCF (CPRPSNCF).

Par cette convention, la CNIL s'engage à apporter une assistance spécifique à ces organismes qui ont sous leur responsabilité des traitements de données sensibles.

Ce partenariat doit également permettre de développer des actions conjointes de sensibilisation à la loi "Informatique et Libertés", telles que

la conception d'un guide relatif à la protection des données destinés à aider les responsables des Caisses
l'organisation de formations.

Avec plus de 150 correspondants Informatique et Libertés (CIL), les organismes de la sécurité sociale constituent un des réseaux les plus structurés de professionnels de la protection des données.

Le renouvellement de cette collaboration avec la CNIL est l'occasion de consolider les actions de conformité déjà réalisées par les acteurs du secteur et de promouvoir le CIL comme garant d'une bonne gestion des données personnelles.

Source : http://www.cnil.fr

Pour un usage responsable d'Internet, la CNIL et l'UNAF mettent en ligne un guide pour les parents

webmaster — 2013-02-05T15:47:00Z

L'édition 2013 du "Safer Internet Day" est consacrée aux droits et devoirs de la génération connectée. La CNIL et l'UNAF, partenaires de l'événement, s'associent pour sensibiliser les parents à un usage prudent et responsable d'Internet en 10 questions clefs.

Le 5 février commence la nouvelle édition du Safer Internet Day consacrée cette année aux droits et devoirs de la génération connectée. En effet, si les enfants et ados sont de grands utilisateurs d'Internet et ceci de plus en plus tôt, nombre d'entre eux ne connaissent pas les droits et les devoirs dans l'univers numérique. Même si la découverte de cet univers se fait souvent à l'extérieur du cadre familial, les parents ont un rôle important à jouer en la matière, et doivent accompagner leurs enfants dans une pratique responsable des outils numériques. Or, si les parents sont eux-mêmes de plus en plus souvent connectés, ils n'ont pas tous connaissance des droits et devoirs qui s'appliquent dans cet espace.

A l'occasion de cet événement, la CNIL et l'UNAF, partenaires du dispositif depuis plusieurs années, proposent donc 10 questions à se poser entre parents et enfants pour un usage responsable du numérique (Peut-on tout dire sur Internet ?, Est-on responsable des publications des autres ?, Existe-t-il un "droit à l'oubli" sur Internet ?...).

Site Jeunes de la CNIL

Site de l'UNAF

Source : http://www.cnil.fr

Protection des données personnelles au travail : les bonnes pratiques

webmaster — 2013-01-28T15:43:00Z

Le 28 janvier 2013, 7ème journée européenne de la protection des données personnelles et de la vie privée, est l'occasion pour toutes les autorités européennes de rappeler le droit élémentaire de chacun à la protection de ses données personnelles. Cette année, la CNIL profite de l'évènement pour publier une série de fiches pratiques destinées à accompagner les salariés et les employeurs dans leur gestion des données personnelles au travail. Recrutement, contrôle des horaires, de l'utilisation d'internet et de la messagerie, géolocalisation, vidéosurveillance : quel est le cadre légal ? Quelles sont les erreurs à éviter ? Quels sont les droits des employés ?

La protection des données à caractère personnel est devenue un sujet majeur dans les relations sociales sur les lieux de travail. Des outils comme la vidéosurveillance ou la géolocalisation sont largement mis en place. En effet, dans le cadre du recrutement ou de la gestion des carrières, les employeurs utilisent de plus en plus d'applications informatiques. En outre, les dispositifs de contrôle de l'activité des employés liés aux nouvelles technologies se multiplient : contrôle de l'usage d'internet, de la messagerie, géolocalisation, biométrie, vidéosurveillance, etc.

Ces dispositifs enregistrent quantité de données personnelles sur les salariés et peuvent parfois porter atteinte à leurs droits ou à leur vie privée.

A l'heure du développement de l'utilisation des smartphones, du télétravail et du bring your own device, il est nécessaire de maintenir de maintenir un équilibre entre le contrôle de l'activité des salariés et la protection de la vie privée. Cet équilibre passe avant tout par une bonne compréhension des droits et des obligations de chacun, et du cadre légal applicable.

La CNIL encadre l'utilisation de ces outils, y compris sur les lieux de travail, notamment en s'assurant que les personnes concernées (employeurs, employés, organisations syndicales, etc.) sont informées de leurs droits et de leurs obligations en matière de protection des données à caractère personnel.

En 2012, plus de 10 % des plaintes reçues par la CNIL concernaient le monde du travail. 17 d'entre elles ont donné lieu à des mises en demeure. Les principaux manquements concernaient l'absence ou la mauvaise information des employés, l'absence de déclaration, la collecte excessive ou non pertinente de données personnelles.

C'est dans ce cadre que la CNIL publie, à l'occasion de la journée européenne de la protection des données, cinq fiches thématiques sur les principales problématiques :

L'influence des technologies dans les relations professionnelles fait également partie du programme d'études 2013 de la CNIL.

Source : http://www.cnil.fr

Compteurs communicants : premières recommandations de la CNIL

webmaster — 2013-01-24T15:49:00Z

La CNIL a mené ces deux dernières années une réflexion sur les traitements de données qui seront mis en place avec le prochain déploiement des compteurs communicants. Elle a notamment auditionné plusieurs acteurs du secteur. Au vu des enjeux en termes de vie privée posés par ces compteurs, elle a adopté une première recommandation pour encadrer leur utilisation. Elle a également décidé de poursuivre ses travaux dans le but d'aboutir à la publication prochaine de bonnes pratiques spécifiques aux traitements de données collectées par des appareils installés hors de l'infrastructure des compteurs.

Qu'est-ce que le compteur communicant ?

Le compteur communicant est une des composantes des réseaux de distribution d'énergie intelligents (également désignés sous les termes anglais de "smart grids"). Ces réseaux utilisent des moyens informatiques évolués afin d'optimiser la production et l'acheminement de l'électricité, notamment grâce à la télétransmission d'informations relatives à la consommation des personnes. Cette télétransmission aura notamment pour conséquence de supprimer la relève physique des compteurs.

En plus de l'optimisation de la production, ces compteurs devraient permettre de faciliter et de fiabiliser la facturation des abonnés. Ils permettraient également aux distributeurs de réaliser, de manière automatique, certaines opérations techniques à distance, comme la coupure ou le changement de puissance du compteur.

Les compteurs communicants commenceront à être déployés dans toute la France à partir de 2013 et devraient concerner environ 35 millions de foyers d'ici à 2020.

Quel impact sur la vie privée ?

Le déploiement des compteurs communicants n'est pas sans risque au regard de la vie privée, tant au regard du nombre et du niveau de détail des données qu'ils permettent de collecter, que des problématiques qu'ils soulèvent en termes de sécurité et de confidentialité de ces données.

Le principal risque provient d'une nouvelle fonctionnalité offerte par les compteurs communicants : la courbe de charge. Cette courbe de charge est constituée d'un relevé, à intervalles réguliers (le "pas de mesure"), de la consommation électrique de l'abonné. Plus le "pas de mesure" est faible, plus les mesures sur une journée sont nombreuses et fines, permettant d'avoir des informations précises sur les habitudes de vie des personnes concernées. Ainsi, une courbe de charge avec un pas de 10 minutes permet notamment d'identifier les heures de lever et de coucher, les périodes d'absence, etc.

Au vu de ces risques, la Commission a souhaité adopter une première recommandation afin d'encadrer l'utilisation des compteurs communicants. Cette recommandation a été adoptée le 15 novembre 2012 après consultation de la Commission de régulation de l'énergie (CRE) et du Conseil Général de l'Economie, de l'Industrie, de l'Energie et des Technologies (CGEIET). Ce dernier a auditionné pour le compte de la CNIL plusieurs acteurs du secteur dans le cadre d'une étude menée sur les impacts des compteurs sur la vie privée.

Quels principes pose la recommandation ?

Cette recommandation pose notamment comme principe que la courbe de charge ne peut être collectée de façon systématique, mais uniquement lorsque cela est justifié par les nécessités de maintien du réseau ou lorsque l'usager en fait expressément la demande pour bénéficier de services particuliers (tarifs adaptés à la consommation, bilans énergétiques, proposition de travaux d'isolation, par exemple). Elle fixe également un certain nombre d'exigences en termes de sécurité et prévoit notamment la réalisation d'études d'impact sur la vie privée avant le déploiement des compteurs, ainsi que d'analyses de risques pour déterminer les mesures techniques adéquates à mettre en place.

Travaux et réflexions en cours

La recommandation du 15 novembre 2012 ne constitue qu'une première réflexion de la CNIL, au vu de ses connaissances actuelles et de l'état de la technique. La CNIL mène également des travaux relatifs aux nouveaux produits et services qui fonctionneront grâce à l'analyse des données de consommation électrique des ménages. Collectées par des appareils matériels ou logiciels installés hors de l'infrastructure des compteurs (par exemple, directement sur le tableau électrique, en aval des compteurs), ces données seront encore plus détaillées que celles collectées par les compteurs eux-mêmes.

Pour définir les règles qui viendront encadrer ces futurs traitements, la CNIL a récemment mis en place un partenariat avec la Fédération des Industries Électriques, Électroniques et de Communication (FIEEC). Dans ce cadre, un groupe de travail a été créé afin d'aboutir à la publication de bonnes pratiques, en concertation avec les industriels du secteur, qu'ils soient membres ou non de la FIEEC. Ces bonnes pratiques devraient être disponibles à l'été 2013.

Source : http://www.cnil.fr