Archives pour la catégorie ‘Une norme mondiale’

le 10 fév 2017

Blogue Savoir Techno : Les avantages réels des réseaux privés virtuels pour la protection de la vie privée



Les réseaux privés virtuels (RPV) vous permettent d’établir un canal de communication sécurisé entre votre appareil informatique et un serveur. Après vous être connecté au serveur, vous pouvez accéder à un réseau privé qui héberge des fichiers de travail ou des applications ou bien utiliser le serveur comme relais vers du contenu Internet lorsque vous naviguez à partir d’un réseau public.

Il y a plusieurs raisons d’utiliser un RPV que ce soit pour accéder à distance à des renseignements stockés sur des serveurs d’entreprises pendant un déplacement ou lorsqu’on travaille à la maison; pour des raisons de méfiance des réseaux sans fil non sécurisés qu’on utilise; pour accéder à du contenu en ligne bloqué sur le réseau auquel on est connecté, mais qui est accessible ailleurs. Parfois, une entreprise exigera qu’on utilise un RPV, ce qui signifie que l’entreprise dictera le niveau de sécurité et le type de RPV utilisé (par exemple, celui de l’employeur). Alors qu’en tant que consommateur, vous seul décidez d’utiliser un RPV.

Dans la foulée des révélations d’Edward Snowden, un grand nombre de services de RPV offerts aux consommateurs ont surgi et les experts en sécurité suggèrent maintenant régulièrement l’utilisation d’un RPV pour accéder à Internet à partir d’un réseau non sécurisé (p. ex. un café, une bibliothèque publique ou tout autre point d’accès sans fil). Le présent article vous aidera à mieux comprendre les éléments à surveiller lors de la sélection d’un service de RPV.

En savoir plus »


le 19 sept 2016

Génération débrouillards : le ratissage pour la protection de la vie privée des enfants a des retombées positives


Vous vous demandez ce qu’il est advenu du ratissage pour la protection de la vie privée des enfants?

Avant d’examiner en détail les résultats du ratissage de 2016 portant sur l’Internet des objets – qui seront publiés sous peu – nous avons jugé utile de vous présenter les résultats des discussions que nous avons tenues avec les concepteurs d’applications mobiles (applis) et de sites Web à propos desquels nous avions exprimé des préoccupations dans un billet de blogue ou dans des lettres l’automne dernier.

En savoir plus »


le 9 sept 2014

Le ratissage international des applications mobiles pour la protection de la vie privée donne des résultats variables – d’APP-laudissements à décour APP geants


En mai dernier, le Global Privacy Enforcement Network (GPEN) a effectué son deuxième ratissage annuel pour la protection de la vie privée, axé cette fois-ci sur les applications mobiles.

Le Commissariat à la protection de la vie privée du Canada (CPVP) en a assuré la coordination avec 25 autres autorités chargées de l’application des lois en matière de protection de la vie privée partout au pays et ailleurs dans le monde. Il s’agissait cette fo

is d’évaluer les énoncés que l’on retrouve à cet égard dans 1 211 applications destinées aux tablettes et aux téléphones intelligents. Le but était de déterminer avec quelles applications nos ratisseurs étaient le plus à l’aise concernant la collecte et l’utilisation de leurs renseignements personnels.

L’exercice, qui consistait à télécharger et à interagir brièvement avec les applications, visait à recréer l’expérience du consommateur. Essentiellement, nos ratisseurs cherchaient à évaluer la transparence en fonction de cinq indicateurs clés :

  1. Avant l’installation, l’application expliquait-elle la façon dont elle recueillerait, utiliserait ou communiquerait les renseignements personnels via une politique de confidentialité, une description de l’application dans le marché virtuel ou par autres outils de communication?
  2. Quelles autorisations l’application demandait-elle et expliquait-elle pourquoi? Par exemple, demandait-elle l’autorisation d’avoir accès à l’identité ou aux comptes de l’appareil (ce qui peut comprendre l’adresse de courriel, le pseudonyme Twitter et le nom d’utilisateur Facebook, mais non l’information stockée dans ces comptes); aux données de localisation (établies d’après les tours de téléphonie cellulaire à proximité, le GPS ou les réseaux WiFi environnants); aux photos/contenus multimédias/fichiers (ce qui peut comprendre de la musique, des films et d’autres fichiers stockés sur l’appareil de l’utilisateur);  à l’appareil photo/micro (ce qui pourrait permettre à l’application de mettre en marche l’appareil photo ou le microphone du téléphone, ce qui se ferait, nous l’espérons, avec le consentement de l’utilisateur et en toute connaissance de cause); à l’identifiant de l’appareil et aux données d’appel (y compris le numéro de téléphone et une indication du moment où l’utilisateur parle au téléphone et avec qui, une demande souvent faite par les jeux qui souhaitent se mettre en pause lorsque le téléphone est occupé); et à l’historique de l’utilisation de l’appareil et des applis (qui sert souvent pour poser un diagnostic après un plantage, mais qui peut renfermer de l’information sensible comme les registres de données ainsi que les signets et l’historique de navigation sur le Web, les applications que comportent l’appareil et d’autres données sur le système.
  3. Le ratisseur avait-t-il l’impression que les applications demandaient des autorisations ayant une portée plus large que celle à laquelle ils s’attendaient d’après les fonctions de l’application?
  4. Les énoncés concernant la protection de la vie privée semblaient-ils adaptés à l’affichage sur un petit écran?
  5. Dans l’ensemble, dans quelle mesure le ratisseur était-il satisfait des énoncés concernant la protection de la vie privée? L’application expliquait-elle bien les autorisations demandées et la façon dont elle recueillerait, utiliserait et communiquerait les renseignements personnels connexes?

On sait pertinemment que les utilisateurs ne peuvent donner un consentement valable à la collecte de leurs renseignements personnels que s’ils sont bien informés de la façon dont l’information sera utilisée.

Au total, le Commissariat a examiné 151 applications, pour les plateformes Android et iOS, dont l’usage est répandu parmi les Canadiennes et les Canadien. Environ les trois quarts de ces applications étaient gratuites. Notre évaluation a porté sur un grand nombre de jeux, sur des applications de santé et de conditionnement physique, de nouvelles et de magazines,  ainsi que sur des réseaux sociaux.

Il nous semble important de faire connaître les résultats particuliers de notre ratissage, comme nous l’avions fait l’an dernier, pour aider la population canadienne à mieux comprendre nos conclusions.

Mais, avant de commencer, précisons : le ratissage ne visait pas à révéler de façon concluante des problèmes de conformité ou des infractions aux lois sur la protection des renseignements personnels. Le but n’était pas non plus d’évaluer les pratiques des concepteurs d’applications en matière de protection de la vie privée en général ni de fournir une analyse approfondie de la conception et du développement des applications examinées.

Nous n’avons pas mené d’enquête en bonne et due forme. Nous vous proposons les jeux de mots ci-après pour vous donner l’impression générale ressentie par nos ratisseurs concernant les applications évaluées au cours de l’expérience.

Ceci dit, voici quelques exemples des applications qui méritent des APP-laudissements, ou bien qui sont  plutôt dés‑APP‑ointantes ou même décour‑APP‑geantes pour ce qui est des caractéristiques de protection de la vie privée.

 

Applis qui méritent des APP-laudissements

Sur une échelle de 0 à 3, nos ratisseurs ont attribué une note très élevée à 28 % des applications, qui expliquaient en temps opportun de façon claire et concise leurs pratiques en matière de protection de la vie privée.

En général, la politique de confidentialité de ces applications était affichée dans leur site Web, dans leur description sur le marché virtuel et dans l’application elle-même. Dans la majorité des cas, la politique était cohérente et expliquait clairement comment l’application recueillerait, utiliserait et communiquerait les renseignements personnels.

Au nombre des exemples encourageants, mentionnons les applications suivantes.

Shazam

Dans le classement  des applications de musique populaires de l’Apple Store établi par le site web Distimo le mois de notre ratissage, Shazam est arrivée au cinquième rang pour les téléchargements de musique. Cette application gratuite capte une chanson ou le thème d’une émission de télévision qui joue en arrière-plan et identifie ce que vous écoutez ou regardez.

L’application demandait plusieurs autorisations, notamment d’avoir accès à l’identité ou aux comptes sur l’appareil, aux données de localisation, à ses photos/contenus multimédias/fichiers, à l’appareil photo/micro ainsi qu’à l’identifiant de l’appareil et aux données d’appels.

Nos ratisseurs ont fait l’éloge de Shazam parce que les énoncés concernant la protection de la vie privée expliquaient clairement les différentes autorisations requises, ce qui a donné une impression généralement favorable concernant la façon dont leurs renseignements personnels pourraient être utilisés.

Pour la plateforme iOS, l’application utilisait des avis juste à temps avant d’avoir accès à l’information, comme dans l’exemple ci-après, qui donnait un aperçu des raisons pour lesquelles Shazam avait besoin d’avoir accès au microphone. Dans la description de l’application dans le marché virtuel Android, les ratisseurs ont souligné qu’un lien pratique expliquait pourquoi l’application avait besoin de recueillir certains renseignements. Ce lien indiquait de façon pertinente « Pourquoi Shazam a besoin de ces autorisations? »

Shazam sur iOS

Shazam sur Android

Fourni par Shazam uniquement en anglais.

Shazam sur Android

Fertility Friend : calendrier d’ovulation

Cette application gratuite offerte par une entreprise canadienne a été téléchargée pas moins d’un million de fois par des utilisatrices d’appareils Android. Elle permet aux utilisatrices d’entrer des données sur leur cycle menstruel dans l’espoir de connaître leurs jours de fécondité.

Les ratisseurs ont été particulièrement ravis que cette application explique non seulement l’utilisation qu’elle ferait de l’information recueillie, mais aussi ce qu’elle N’EN FERAIT PAS.

Par exemple, l’application reconnaissait (en anglais) qu’elle recueillait des renseignements « extrêmement sensibles » et elle promettait de « ne pas vendre ni transmettre à des tiers des renseignements permettant d’identifier une personne » saisis sur le site. Un lien distinct expliquait en anglais que le site imposait des frais afin d’offrir des services de qualité supérieure pour éviter d’avoir à s’en remettre à des annonceurs afin de générer des revenus.

Selon les ratisseurs, la politique de confidentialité de l’application était bien adaptée à l’affichage sur un petit écran.

Fertility Friend sur Android

Comme on peut le voir sur cet écran utilisant des codes de couleurs qui montre le cycle menstruel, les jours de fécondité et les relations sexuelles, les utilisatrices doivent entrer certains détails assez intimes. Toutefois, les passages tirés de la politique de confidentialité expliquent très clairement les fins auxquelles cette information ne sera pas utilisée et pourquoi. (Fournis par Fertility Friend uniquement en anglais.)

Fertility Friend sur Android

Fertility Friend politique de confidentialité

Trip Advisor : guides des villes

Cette application de voyage gratuite très prisée a été téléchargée plus d’un million de fois par les utilisateurs d’appareils Android. Elle crée des itinéraires de voyage et propose des critiques de restaurants, d’attraits touristiques et d’hôtels dans différentes villes.

Les ratisseurs ont souligné que l’application ne renfermait aucun lien menant à sa politique de confidentialité dans sa description sur le marché virtuel des deux plateformes. Toutefois, la politique s’affichait à l’écran avant que l’on installe l’application sur le site Web de Trip Advisor ainsi que dans l’application elle-même sur les plateformes Android et iOS.

Au final, notre équipe de ratissage a APP-laudi cette appli parce que les énoncés concernant la protection de la vie privée étaient adaptés à l’application et à l’affichage sur un petit écran. En plus d’être présentée dans une police de caractères facile à lire, la politique de confidentialité était bien structurée et la table des matières renfermait une liste des explications où les utilisateurs pouvaient cliquer pour obtenir plus d’information (voir la saisie d’écran Android ci-après pour consulter une liste des sujets cliquables figurant dans la politique de confidentialité). La politique donnait aussi une explication distincte concernant l’information recueillie par les applications Trip Advisor sur un appareil mobile (voir la saisie d’écran iOS ci-après).

TripAdvisor sur Android

Fourni par TripAdvisor uniquement en anglais.

TripAdvisor sur iOS

Nos ratisseurs ont également souligné les mérites de Trip Advisor l’an dernier. Ils avaient alors constaté en examinant le site Web de l’entreprise que sa politique de confidentialité allait plus loin et offrait aux utilisateurs une explication détaillée de sa fonction de personnalisation instantanée. Cette fonction utilisait les renseignements fournis par Facebook pour offrir aux utilisateurs une expérience mieux adaptée à leurs besoins. En plus d’indiquer en détail les renseignements qu’elle avait recueillis et la façon don’t ils avaient été utilisés, l’entreprise fournissait des instructions sur la façon d’activer ou de désactiver cette fonction.

 

Applications dés‑APP‑ointantes

Nos ratisseurs ont fait l’éloge d’un grand nombre d’applications pour certains énoncés concernant la protection de la vie privée, mais ils leur ont donné une mauvaise note pour d’autres aspects. En voici quelques exemples :

Trials Frontier

Dans le classement global des applications de l’Apple Store établi par Distimo au cours du mois précédant notre ratissage, Trials Frontier est arrivée au 14e rang au Canada. Cette application gratuite est un jeu de courses de motos où les utilisateurs affrontent leurs amis ou des étrangers partout dans le monde.

Trials Frontier affichait sa politique de confidentialité dans le marché virtuel Google Play, mais non dans l’App Store d’Apple. En outre, il était difficile de trouver cette politique sur le site Web du concepteur pour la plateforme iOS. Au début, les utilisateurs étaient dirigés vers une page de publicités annonçant des jeux.

Dans la plupart des cas, les ratisseurs estiment que l’application expliquait convenablement, en français, comment elle recueillerait, utiliserait et communiquerait les renseignements personnels. La politique était assez détaillée et structurée grâce à des rubriques bien pensées  comme : « Dans quels cas (est-ce-que l’entreprise) recueille vos données personnelles », « Comment (est-ce-que l’entreprise) utilise mes données personnelles », et « Quels sont mes droits? » (Nota : les rubriques sont formulées de façons différentes en français et en anglais.

Mais cette application de jeu de courses de moto a, malheureusement, reçu des points de démérite parce que la présentation des énoncés n’était pas adaptée à l’affichage sur un petit écran. Sur l’écran de la plateforme iOS montré ci‑après, les ratisseurs se sont fatigué les yeux en lisant la politique de confidentialité. De plus, en grossissant l’image, ils étaient obligés de faire défiler le texte à l’horizontale et à la verticale, ce qui est fastidieux et n’a rien de convivial.

Ubisoft politique de confidentialité

Ubisoft politique de confidentialité

Guess the Emoji

Dans le classement global des applications de l’Apple Store établi par Distimo au cours du mois précédant notre ratissage, Guess the Emoji est arrivée au 48e rang au Canada. Cette application gratuite est un jeu dont l’objectif consiste à remplir les espaces vides.

D’après les ratisseurs, l’application demandait notamment l’autorisation d’accéder à l’identité ou aux comptes sur l’appareil, aux photos/contenus multimédias/fichiers ainsi qu’à l’identifiant d’appareil et aux données d’appels. La politique de confidentialité de l’application, disponible en anglais seulement, allait encore plus loin en affirmant que l’entreprise pourrait avoir accès à certains renseignements personnels par l’entremise de tiers ou de sociétés affiliées, entre autres des renseignements financiers, par exemple des numéros de carte de crédit ou de compte bancaire, et à des renseignements se rapportant au logement de l’utilisateur. Les ratisseurs se sont demandé ce que cela pouvait vouloir dire exactement.

La politique renferme également une liste d’épicerie des utilisations possibles des renseignements personnels, mais les ratisseurs n’ont pas bien compris pourquoi l’application avait besoin de tous ces détails.

Ils ont été encore plus mal à l’aise en prenant connaissance, dans le texte de la politique, de l’explication du large éventail de situations dans lesquelles ces renseignements pourraient être communiqués. Par exemple, on pouvait y lire, en anglais, que l’entreprise pourrait vendre ou louer à des tiers les renseignements personnels de l’utilisateur à des fins de marketing sans le consentement valable de l’intéressé.

Il est louable que l’entreprise ait expliqué en détail les renseignements qu’elle pouvait recueillir et la façon dont elle pouvait les communiquer, mais les pratiques en matière de protection de la vie privée doivent être justifiées. Il ne suffit pas de les énoncer.

Guess the Emoji politique de confidentialité - uniquement en anglais

Dans ces deux saisies d’écran de la politique de confidentialité du concepteur, constatez par vous-même ce que cette application avait l’intention de faire avec les renseignements personnels recueillis. (Fournies par l’entreprise uniquement en anglais.)

Guess the Emoji politique de confidentialité - uniquement en anglais

 

Applications décour‑APP‑geantes

Environ 26 % des applications ont suscité chez nos ratisseurs un malaise réel en raison de la façon dont elles faisaient état des pratiques en matière de protection de la vie privée et, dans certains cas, des indications concernant les utilisations éventuelles des renseignements personnels recueillis. Voyons quelques exemples :

LED Lampe Super-Brillante
Dans le classement global des applications de Google Play Store établi par Distimo la semaine même de notre ratissage, LED Lampe Super-Brillante est arrivée au 17e rang au Canada. Cette application gratuite permet aux utilisateurs de se servir de leur téléphone mobile comme lampe de poche.

L’application demandait l’autorisation d’avoir accès à l’appareil photo/micro, à l’identifiant de l’appareil et aux données d’appels et même aux photos/contenus multimédias/fichiers de l’utilisateur. Mis à part la fonction flash de l’appareil photo, les ratisseurs ont été incapables de déterminer avec exactitude pourquoi l’application avait besoin de tous ces renseignements pour faire fonctionner une lampe de poche.

Comme les ratisseurs n’avaient trouvé aucun lien menant à une politique de confidentialité dans la description de l’application qui figure dans le marché virtuel Google Play, ils ont suivi un lien menant au site Web du concepteur et ont ainsi été amenés à un service de « parking de domaines ». Le site Web ne renfermait aucun contenu, exception faite des deux liens, dont l’un s’adressait aux utilisateurs intéressés à acheter le nom de domaine du site Web – c’est-à-dire le but du parking de domaines. L’autre lien conduisait les utilisateurs à la politique de confidentialité de l’entreprise de parking de domaines, où l’on ne trouvait aucune information concernant la collecte, l’utilisation et la communication de renseignements personnels par l’application de lampe de poche.

Comme l’application n’affichait aucune politique claire et accessible indiquant comment les renseignements personnels seraient utilisés, nos ratisseurs sont restés dans le noir!

 LED Lampe Super-Brilliante sur Android

Cette image tirée d’un appareil Android montre le grand nombre d’autorisations demandées par cette application de lampe de poche.

Pixel Gun 3D

Dans le classement des applications de jeux dans l’App Store d’Apple établi par Distimo au cours du mois précédant notre ratissage, Pixel Gun 3D est arrivée au 18e rang au Canada. Cette application gratuite de jeu de tir animé multi-joueurs permet aux utilisateurs de créer et de personnaliser leurs propres personnages.

Pixel Gun 3D demandait notamment l’autorisation d’avoir accès à l’identifiant de l’appareil et aux données d’appels, à l’historique de l’appareil et des applis ainsi qu’aux photos/contenus multimédias/fichiers de l’utilisateur, mais aucune politique de confidentialité n’était affichée dans la description de l’application figurant dans le marché virtuel, sur son site Web ou dans l’application elle-même.

Il n’y avait aucune politique de confidentialité, mais les « modalités d’utilisation » affichées dans l’application, et disponibles uniquement en anglais, parlaient d’accorder au concepteur la pleine maîtrise du contenu de l’utilisateur, ce qui signifie que l’entreprise pourrait notamment accorder des sous-licences à des tiers et leur céder le droit de copier, de reproduire, de régler, d’adapter, de modifier, d’améliorer, de traduire, de reformater, de fabriquer, de mettre en circulation, de commercialiser, de publier, de diffuser, de vendre, de transférer et de louer le contenu de l’utilisateur, d’en tirer des œuvres dérivées ou d’accorder des licences ou des sous-licences s’y rapportant en lien avec l’offre du jeu, y compris le marketing et les promotions. Les modalités précisaient en outre que la licence accordant à l’entreprise cet accès illimité au contenu de l’utilisateur prendrait fin uniquement lorsque l’utilisateur supprimerait ce contenu ou désinstallerait le jeu, à moins que les renseignements n’aient été communiqués à un tiers qui ne les aurait pas supprimés. Enfin, elles indiquaient que le contenu pourrait continuer de figurer dans des copies de sauvegarde pendant une période raisonnable.

En plus de trouver cette politique longue et écrite dans un jargon juridique, ce qui a souvent été mentionné tout au long du ratissage de l’an dernier, et particulièrement en raison du petit écran, les ratisseurs ont eu beaucoup de difficulté à lire ce qui était écrit en minuscules caractères blancs sur un arrière-plan coloré animé et mouvant et ils ont dû déployer des efforts considérables pour faire défiler le texte.

Au final, les ratisseurs ont jugé que les énoncés concernant la protection de la vie privée laissaient beaucoup à désirer et, compte tenu de la nature potentiellement personnelle des renseignements visés par les autorisations, ils étaient mal à l’aise d’utiliser l’application.

Pixel Gun 3D sur iOS - disponible uniquement en anglais

Fourni par l’entreprise uniquement en anglais.

Notre ratissage devrait être considéré comme un instantané. Les applications évoluent constamment. Nos ratisseurs ont évalué et réévalué chaque application au cours des derniers mois à des fins de contrôle de la qualité, mais chaque examen a répondu à de vieilles questions ou en a soulevé de nouvelles.

Au terme de cette expérience, une chose est claire aux yeux de nos ratisseurs : les énoncés concernant la protection de la vie privée sont fluides et le niveau d’accessibilité varie selon les compétences de l’utilisateur, la plateforme utilisée (par ex. Android, iOS ou BlackBerry) et le type d’appareil, qu’il s’agisse d’une tablette Lenovo, d’un iPad ou d’un téléphone intelligent Samsung Galaxy.

Cependant, nous avons voulu vous citer quelques exemples concrets de ce que nous avions trouvé au cours de notre ratissage.

Lorsque nous aurons fini de mettre de l’ordre dans les résultats, de concert avec nos partenaires provinciaux et ceux des autres pays qui ont fait le même exercice, nous déterminerons les mesures de suivi.

Comme pour le ratissage de l’an dernier, nos activités de suivi vont consister notamment à informer les organisations de nos conclusions et à leur suggérer des améliorations. Nous avons aussi la possibilité de prendre des mesures pour faire appliquer les lois.

Nous avons écrit aux firmes mentionnées dans le blogue, une semaine avant la publication des résultats, pour exprimer nos préoccupations. À ce jour, Random Logic Games/Conversion LLC, concepteur de Guess the Emoji, s’est engagé à améliorer son information.

 


le 7 mai 2013

Le ratissage d’Internet racontée par une participante


Ratissage international d’Internet pour la protection de la vie privée

Le Commissariat a participé hier au tout premier ratissage international d’Internet pour la protection de la vie privée. Cette initiative du Global Privacy Enforcement Network (GPEN) repose sur un effort concerté déployé par plusieurs organismes de protection des données pour se pencher sur un enjeu particulier relatif à la vie privée. Le ratissage de cette année portait sur la transparence en ligne.

Je fais partie de la vingtaine d’employés du Commissariat qui ont consacré une partie de la journée au  ratissage, qui consistait à visiter des sites figurant sur la liste de plus de 1 000 sites Web très fréquentés par les Canadiens établie par nos soins. Notre tâche consistait à examiner les politiques de confidentialité des sites du point de vue du consommateur moyen et à déterminer s’il est possible de connaître les pratiques de traitement de l’information des organisations, de leur poser des questions ou de leur faire part de nos préoccupations concernant leurs pratiques de traitement de l’information et de comprendre leur politique de confidentialité.

Nous avons été nombreux à nous installer, munis de nos ordinateurs portables branchés en réseau, dans une petite salle de réunion surnommée « le placard à balais ». Armés de café et de feuilles de calcul, nous avons navigué dans les politiques de confidentialité, vérifié leur lisibilité, compté les mots et pris note des « bouquets » (les éléments des politiques de confidentialité qui nous ont semblé particulièrement appropriés) et des « navets » (les éléments des politiques de confidentialité auxquels des modifications pourraient être apportées).

Par l’intermédiaire du GPEN, les résultats de tous les ratissages effectués cette semaine seront analysés et les constatations seront rendues publiques d’ici quelques mois.

J’ai passé la matinée à explorer des sites Web populaires s’adressant aux enfants et j’en ai tiré quelques observations.

J’ai remarqué que les politiques de confidentialité des sites Web qui s’adressent aux enfants sont rédigées à l’intention des parents et non des enfants.

Les exploitants des sites s’adressant aux enfants qui sont accessibles aux États‑Unis doivent respecter la Children’s Online Privacy Protection Act (COPPA).

Les exploitants des sites qui s’adressent aux enfants s’efforcent d’élaborer des politiques en matière de vie privée qui sont exhaustives et capables de résister à un examen critique, mais ils risquent, du même coup, de se retrouver avec des politiques longues, complexes et truffées de termes juridiques.

Malgré tout, les responsables de certains des sites que j’ai visités ont manifestement déployé un effort particulier pour fragmenter le contenu de leur politique de confidentialité afin de la rendre claire et compréhensible, comme l’exige la COPPA – ils ont structuré l’information en blocs ou en tableaux renfermant des hyperliens ou proposé des résumés renfermant des liens vers la version intégrale de la politique, laquelle figure plus bas sur la page.

Je suis en mesure de comprendre les difficultés auxquelles les exploitants de ces sites sont confrontés – d’un côté, ils doivent faire la preuve de leur conformité à la loi, et de l’autre, ils doivent veiller à ce que les parents des enfants qui utilisent leurs sites puissent prendre des décisions éclairées. Sans oublier que les parents doivent souvent pouvoir prendre des décisions rapidement ou faisant plusieurs choses à la fois. Avez‑vous déjà tenté de comprendre les règles d’un nouveau jeu auquel un de vos enfants voulait jouer tout en empêchant une bataille sur l’utilisation du iPad ET en ramassant des craquelins Goldfish et des Cheerios par terre? (Eh bien, moi non plus!)

Quand on sait que des chercheurs ont estimé qu’il est possible de consacrer jusqu’à 250 heures à lire toutes les politiques de confidentialité affichées sur les sites consultés au cours d’une seule année, est‑ce que ça ne serait pas bien, pour changer, d’avoir affaire à une politique de confidentialité qui nous indique ce qu’on a besoin de savoir, mais qui nous permet aussi de sauver quelques minutes en le faisant de façon claire et simple?


le 4 avr 2011

Le CPVP accueille un groupe international: Surveiller les risques et signaler les possibilités


Le Commissariat a le plaisir d’organiser la 49e Conférence du groupe de Berlin, connu officiellement sous le nom de Groupe de travail international sur la protection des données dans les télécommunications. Cette conférence, qui a lieu pour la première fois au Canada, se déroule aujourd’hui et demain à Montréal. Les participants, qui représentent plus de vingt autorités de protection des données et de la vie privée, vont se pencher sur des sujets liés à la protection de la vie privée tels que les paiements électroniques, les enregistreurs de données routières et la localisation.

Le Groupe de Berlin a été créé en 1983 par le commissaire à la protection des données et à la liberté de l’information de Berlin. Par son examen continu des répercussions qu’entraînent les systèmes et les services de télécommunications sur la protection des données et de la vie privée, le groupe est devenu ce que le président et commissaire de Berlin, M. Alexander Dix, décrit comme un « système d’avertissement assurant la surveillance des risques associés aux nouvelles technologies tout en demeurant ouvert aux possibilités qu’offre un réseau construit dans le respect de la protection de la vie privée ».

Le Groupe adopte une approche globale à l’égard de ce qui constitue un système, ou un service, basé sur les télécommunications. Avec les années, cet organisme a étudié, dans le cadre de ses travaux, un vaste éventail de sujets tels les moteurs de recherche, les services basés sur la localisation, les réseaux sociaux et les systèmes de tarification routière.


le 7 fév 2011

Le point sur la vie privée – Alessandro Acquisti et Christena Nippert-Eng


Le 28 février 2011, le Commissariat à la protection de la vie privée du Canada présentera la deuxième discussion informelle dans le cadre d’une série de conférences intitulée Le point sur la vie privée. Nous avons invité chercheur de l’économie comportementale Alessandro Acquisti et sociologue Christena Nippert-Eng qui parleront de ce qui nous incite à révéler ou à dissimuler les détails de notre vie privée, ainsi que de la façon dont nous protégeons la vie privée des personnes qui nous entourent.

En puisant dans leur expertise en matière de vie privée, ils s’entretiendront avec nous de la manière dont nous nous présentons en ligne et dans notre vie personnelle ainsi que des répercussions que peuvent avoir le changement des perceptions à l’égard des espaces public et privé. Nous auront également l’occasion de discuter avec eux des défis que pose le maintien d’une présence professionnelle et personnelle en ligne.

Les conférences Le point sur la vie privée consistent en une série de discussions informelles organisées par le Commissariat à la protection de la vie privée qui ont pour but de faire connaître de nouveaux conférenciers dont les travaux dans le domaine de la protection de la vie privée sont à la fois intéressants et stimulants.

Alessandro Acquisti est professeur agrégé en technologie de l’information et en politique publique au Heinz College de l’Université Carnegie Mellon. Il est codirecteur du CMU Center for Behavioral Decision Research (centre de recherches sur les décisions comportementales), membre du Cylab de Carnegie Mellon et chercheur associé de l’Institut Ponemon. Ses travaux portent sur les répercussions économiques et sociales des technologies de l’information, plus particulièrement sur l’économie et l’économie comportementale dans la perspective de la protection de la vie privée et des renseignements personnels. Il s’intéresse également à la question de la protection de la vie privée dans le contexte du réseautage social en ligne. Il a publié en codirection Digital Privacy: Theory, Technologies, and Practices (2007), une analyse des technologies de pointe, des pratiques exemplaires, des résultats de recherche et des questions d’ordre juridique, réglementaire et éthique.

Christena Nippert-Eng est professeure agrégée en sociologie au Collège des Sciences et des Lettres de l’Institut de Technologie de l’Illinois. Son plus récent ouvrage, Islands of Privacy: Selective Concealment and Disclosure in Everyday Life (2010), traite de la manière dont nous percevons, au quotidien, la protection de la vie privée — comment nous tentons de protéger nos renseignements personnels ainsi que ceux des autres. En plus de son travail à titre de présidente nationale de la Section des technologies de la communication et de l’information de l’Association américaine de sociologie (2010‑2011), Mme Nippert-Eng effectue de la recherche industrielle sur les comportements et les relations des personnes avec les objets et les espaces, y compris avec les technologies de l’information et de la communication. Elle travaille actuellement à la rédaction de son deuxième ouvrage sur la protection de la vie privée et la socialisation.

Pour participer

Nous vous invitons à participer en grand nombre à cette discussion. Ceux d’entre vous qui assisteront à la séance en personne seront invités à poser des questions et à diffuser le contenu des échanges à l’aide de Tweeter (#privtalk hashtag [à confirmer]).

Si vous ne pouvez être sur place, mais aimeriez que les présentateurs abordent un sujet en particulier, veuillez nous faire parvenir votre question au knowledge.savoir@priv.gc.ca avant le 24 février et nous tenterons de l’ajouter à la liste de sujets.

Les participants qui seront sur place auront la possibilité de remplir un sondage grâce auquel ils pourront partager leur point de vue sur quelques questions clés ayant été abordées lors de la discussion.

Comme cela a été le cas pour la conférence de Jesse Hirsh et de Chris Soghoian, qui a eu lieu le 10 décembre 2010, une vidéo sera disponible après la séance.

Le nombre de places étant limité, celles-ci sont offertes selon le principe du premier arrivé, premier servi. Veuillez confirmer votre présence avant le 25 février 2011. Des services d’interprétation simultanée seront disponibles dans les deux langues officielles.

Quand : de 14 h à 16 h, le lundi 28 février 2011
Où : hôtel Minto Suites, 185, rue Lyon Nord, 2e étage, Salon Vanier/Stanley

Veuillez confirmer votre présence à l’adresse : knowledge.savoir@priv.gc.ca


le 3 mai 2010

La transparence, les moteurs de recherche et l’appétit du gouvernement pour les données


Il y a un débat depuis belle lurette entre les défenseurs de la vie privée et les représentants du gouvernement sur le degré d’intérêt du gouvernement envers l’information transmise sur les réseaux nationaux et internationaux. L’adoption de la USA PATRIOT Act a intensifié ce débat et suscité des préoccupations au sein d’un plus grand public.

Depuis, les adeptes du numérique et les internautes chuchotent et s’interrogent au sujet de l’interface entre les moteurs de recherche, particulièrement Google, et les organismes d’application de la loi et de sécurité nationale.

Cette question est abordée dans les classes et les conférences à peu près comme suit :

Q. « Devrais-je m’inquiéter de ce que Google sait sur moi? »

A. « Peut être, mais je m’inquièterais davantage de ce que le gouvernement obtient de Google, qui confirme ce qu’il sait déjà sur vous. »

À cet égard, des chercheurs comme Chris Soghoian aux États-Unis (ainsi que Ben Hayes et Simon Davies en Europe) demandent aux entreprises et au gouvernement de faire preuve d’une plus grande transparence dans l’utilisation des grandes capacités de production de données. Récemment, — et c’est tout à son honneur —, Google a franchi une première étape importante en publiant une liste interactive du nombre et des types de demandes de données que l’entreprise reçoit des gouvernements du monde entier. Cela coïncide avec un autre effort important du secteur privé américain, celui de Digitaldueprocess.org, qui veut que des mesures claires, cohérentes et responsables soient mises en place dans l’éventualité où le gouvernement demande aux entreprises de « vérifier » leurs clients.

Nous félicitons Google et les autres qui ont participé à la réalisation de cette première étape importante, et nous attendons avec impatience les améliorations et plus de détails à mesure qu’ils peaufinent le modèle de rapport. Nous espérons sincèrement que d’autres entreprises (et qui sait, peut être, les gouvernements) en fassent autant.


le 8 juin 2009

Littératie et choix rationnels en matière de vie privée


Existe-t-il un agencement identifiable de facteurs sociaux, économiques, juridiques, technologiques ou psychologiques qui contriburait à la manière dont les Canadiennes et Canadiens prennent des décisions au sujet de la protection de leur vie privée?

Bien qu’il soit impossible de trouver une réponse simple à cette question, certaines des conversations qui ont eu lieu la semaine dernière à la Computers, Freedom and Privacy Conference de 2009 ont donné un aperçu sur la manière dont les personnes perçoivent et protègent leur vie privée.

Mike Shaver, tirant de son expérience de travail avec la pionnière de la confidentialité en ligne Zero Knowledge, a souligné que les personnes semblaient s’intéresser à la protection de leur vie privée, mais ne voulaient pas avoir à faire face au coût financier, à la complexité des outils de protection des renseignements personnels ou au ralentissement de leurs réseaux.

Selon son expérience, les personnes

ne renforcent pas la protection de leur vie privée. Ils l’empêchent plutôt de s’effriter et ils limitent les dégâts.

En fait, les gens peuvent agir à l’encontre de leurs intérêts, même quand ils sont conscients des coûts. Comme Shaver l’a fait remarquer, nous continuons de se payer des frappucinos chez Starbucks, même si c’est contraire à nos objectifs avoués de perdre du poids et de consommer moins de sucre.

Lauren Gelman, du Stanford Center for Internet and Society, a fait valoir qu’une approche plus pragmatique envers la défense du droit à la vie privée pourrait être nécessaire de temps à autre.

En développant What App?, un outil pour aider les consommateurs à évaluer les mesures de protection des renseignements personnels présentes dans des applications de tiers, Gelman a admis que le projet était prêt à sacrifier de l’information très technique au profit d’information utile pour quelqu’un comme sa mère et permettant à cette dernière de prendre des décisions plus éclairées.

Dans un autre panel, on a abordé la question de la littératie — les utilisateurs en ligne sont-ils aptes à interpréter la vaste gamme de renseignements écrits, visuels et auditifs qui se présente à eux?

Des recherches antérieures menées par Valerie Steeves et Jacqueline Burkell ont confirmé que la littératie peut avoir une incidence sur la manière dont les utilisateurs évaluent leur vulnérabilité en matière de vie privée — en particulier si les politiques de confidentialité sont présentées sous forme de documents fastidieux, perdus dans une lourde terminologie juridique.

La solution est-elle de mettre en place un processus de consentement plus élaboré mais plus sérieux, comme celui mis sur pied par Google pour l’abonnement à son application PowerMeter?

Ou la réalité est-elle mieux représentée par l’offre de crème glacée gratuite ou à rabais faite par Dairy Queen la semaine dernière, dans le cadre d’un programme de fidélisation fondé sur une étiquette d’IRF fixée au téléphone mobile du client?

Il semble clair que les défenseurs de la vie privée devront porter davantage d’attention aux sciences sociales (économie, psychologie, sociologie) dans leur évaluation des nouveaux moyens de protéger la vie privée — des approches qui tentent d’encourager les personnes à faire au quotidien des choix plus favorables à la protection de leur vie privée.


le 4 nov 2008

La journée Freedom Not Fear


Le 11 octobre dernier, dans 22 villes d’Europe, les citoyennes et les citoyens ont manifesté pour exprimer leurs préoccupations concernant ce qu’ils perçoivent comme une augmentation des sociétés de surveillance créées par les gouvernements. Le 11 octobre était la journée Freedom Not Fear – « La liberté, pas la peur » – organisée par le Groupe de travail allemand sur la conservation des données.
Rien qu’à Berlin, plus de 15 000 manifestants se sont rassemblés dans le cadre d’un rallye qui a pris fin à la Porte de Brandebourg (les organisateurs prétendent que 15 000 est le nombre à la baisse avancé par les autorités, et que le nombre réel serait plus près de 50 000). Des actions pacifiques et créatives ont eu lieu partout en Europe, y compris des performances artistiques à Vienne, des lectures publiques à Rome et, à Londres, un collage réalisé à partir de photos provenant d’équipement et de tactiques de surveillance en cours au Royaume-Uni.

Voici un extrait tiré du site Web du Groupe de travail allemand sur la protection des données :

« La surveillance-mania se propage à grands pas. Les gouvernements et les multinationales enregistrent, surveillent et contrôlent nos faits et gestes de manière toujours plus systématique. Quoi que nous fassions, quoi que nous disions ou à qui nous téléphonions, où que nous allions, quels que soient nos amis, ou nos centres d’intérêts, ou les groupes auxquels nous appartenons, le gouvernement « big brother » et les entreprises « little brothers » en savent de plus en plus sur nous. Les atteintes à la vie privée et à la confidentialité qui en résultent remettent en cause la liberté de religion, la liberté d’expression, mais aussi le secret professionnel des médecins, des services sociaux, des avocats et des journalistes.

L’agenda des multiples réformes du secteur de la sécurité révèle la convergence de la police, des agences de renseignement et du militaire, menaçant de faire disparaitre la séparation et l’équilibre des pouvoirs. Utilisant des méthodes de surveillance de masse, la coopération sans frontières des militaires, des services de renseignement et des autorités policières mène tout droit à de nouvelles frontières et de nouveaux murs, construisant ainsi de véritables forteresses en Europe et sur d’autres continents, visant directement les réfugiés, les gens « différents » mais également les militants et activistes politiques, les pauvres et les déshérités, ou encore les supporters sportifs.

Se sentant constamment épiés et surveillés, les gens ne peuvent plus défendre librement leurs droits ni lutter pour une société plus juste. La surveillance massive devient une menace pour l’avenir de nos sociétés libres et démocratiques. Elle met également en danger le travail et l’engagement des associations civiles.

De plus, la surveillance, la méfiance et la peur transforment progressivement notre société en un troupeau de consommateurs qui n’auraient « rien à cacher » dans une vaine illusion de sécurité totale ? Ils devraient être prêts à abandonner leurs libertés. Nous ne voulons pas d’une telle société !

Nous pensons que le respect de la vie privée est une part essentielle de la dignité humaine. Une société libre et ouverte ne peut exister sans une communication et des espaces inconditionnellement privés. »

Aux États-Unis, la journée « la liberté, pas la peur » a été appuyée par plusieurs ONG, dont le Electronic Frontier Foundation (EFF) et le Electronic Privacy Information Center (EPIC). Ces dernières ont émis conjointement un communiqué exhortant de mettre fin aux listes de surveillances et aux programmes de profilage des données qui ne se conforment pas à la Privacy Act du gouvernement fédéral, d’élaborer des lois détaillées sur la protection des données et d’abroger la USA PATRIOT Act.

Mais la journée « la liberté, pas la peur » a été nettement plus contenue aux États-Unis. Si l’EPIC, l’EFF et IP Justice ont appuyé l’événement et fait une déclaration à cet effet, il semble qu’aucune activité n’ait été prévue pour commémorer la journée « la liberté, pas la peur » à Washington DC. On note aussi une retenue dans les activités au Canada : le site Web officiel indique qu’un spectacle de lumières était prévu à l’hôtel de ville de Toronto, mais on ne trouve aucune information sur les organisateurs ou le déroulement de l’événement.

Bien entendu, la journée « la liberté, pas la peur » est née à Berlin; si cette journée mondiale pour l’action semble s’être ancrée dans d’autres capitales européennes, il est intéressant de noter que l’Amérique du Nord, elle, paraît s’opposer avec réticence à la notion de « mise en scène de la sécurité ».


le 29 juil 2008

La protection de la vie privée pour la prochaine décennie, et non la prochaine semaine


La communauté de protection de la vie privée limite-t-elle son influence en se concentrant sur les incidents et les obsessions de la vie quotidienne? En réagissant aux décisions prises par des entreprises individuelles, en se centrant sur des défis techniques spécifiques et en accédant en fin de compte à la création d’outils qui résoudront ces défis techniques mais permettront aussi l’érosion de notre droit à la vie privée, faisons-nous preuve d’un manque de vision à long terme?

Nous concentrons-nous sur les panneaux et les points de repères qui influencent notre comportement en tant qu’individus plutôt que d’aider à préciser et à construire les routes qui guideront le développement de notre société?

Telle est la question posée par le professeur Ian Kerr, de l’Université d’Ottawa, lors d’une réunion privée tenue à Edmonton le mois dernier. S’adressant à un public composé de commissaires et commissaires adjoints à la protection de la vie privée et de défenseurs principaux de la vie privée, il a exprimé certaines préoccupations :

« […] l’idéalisme n’est plus à la mode […] Je suis préoccupé par le fait que nous, de la communauté de la protection de la vie privée, adoptons des approches qui restreignent toute place pour l’idéalisme, et que donc nous sommes, involontairement et par inadvertance, en train de nous nuire. Nous sommes en train de nous emmurer dans une sorte de silence par lequel nous ne pourrons plus être entendus. » [Traduction]

Le professeur Kerr a continué en citant Langdon Winner, qui écrivait en 1980 dans Autonomous Technology :

« Protégé par la conviction que la technologie est neutre et est un outil, un nouvel ordre complet est construit – pièce par pièce, étape par étape, les pièces étant reliées entre elles d’une nouvelle façon – sans la moindre occasion pour le public de contester la nature des changements en cours. C’est le somnambulisme (plutôt que le déterminisme) qui caractérise les politiques en matière de technologie […] Le silence est son mode de communication particulier. » [Traduction]

Plusieurs autorités de protection de la vie privée, quelles soient provinciales, fédérales ou internationales, trouvent que la majorité de leur temps et de leur énergie est consacrée à protéger le droit à la vie privée d’individus, au cas par cas. Cette situation résulte de leur mandat d’exécution de lois spécifiques, de processus établis dans chaque bureau, et de la tendance naturelle à assurer que le droit à la vie privée des individus est respecté, que les erreurs sont corrigées et que les lacunes sont comblées.

Quoi qu’il en soit, on ne peut nier que les défenseurs de la vie privée – en particulier les commissaires à la protection de la vie privée – ont l’obligation de voir plus loin que les transactions et d’observer les tendances, d’anticiper les défis à venir en ce qui concerne le droit à la vie privée et de préparer des contre-arguments.

On peut accéder au texte du discours du professeur Kerr et à sa bande audio. (en anglais seulement)