Données à caractère personnel

/dans , /par

Collecte excessive de données d’utilisateurs sur Windows 10 : MICROSOFT mis en demeure publiquement de se conformer à la loi Informatique et Libertés.

Le 20 juillet 2016, la présidente de la CNIL a mis en demeure MICROSOFT CORPORATION de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement. La CNIL exige de l’entreprise informatique qu’elle assure davantage de sécurité et de confidentialité concernant les données des utilisateurs et ce dans un délai de trois mois.

A la suite du lancement du nouveau système d’exploitation Windows 10 en juillet 2015, des partis politiques, entre autres, ont attiré l’attention de la CNIL sur une potentielle collecte excessive de données personnelles. En parallèle, un groupe de plusieurs autorités de protection au sein de G29 a été constitué pour mener des investigations concernant les Etats membres concernés.

Les vérifications entreprises par la CNIL afin de vérifier la conformité du logiciel à la loi Informatique et Libertés ont permis de révéler de nombreux manquements tels que des données collectées non pertinentes ou excessives, un défaut de sécurité (notamment dans le nombre de tentatives de saisie de code PIN pour l’authentification afin d’accéder aux services en ligne), une absence de consentement des personnes, une absence d’information et de possibilité de s’opposer au dépôt de cookies ou encore la persistance de transferts internationaux sur la base du Safe harbor (pourtant invalidé par la Cour de justice de l’UE le 6 octobre 2015).

Données à caractère personnel

/dans , /par

Adoption du Privacy Shield par la Commission européenne

 Dans une décision du 12 juillet 2016, la Commission européenne a adopté la décision d’adéquation « Privacy Shield » qui vise à remplacer le « Safe Harbour » invalidé par la Cour de Justice de l’Union européenne le 6 octobre 2015.

Ainsi, cette décision autorise les transferts des données à caractère personnel depuis l’Union européenne vers les entreprises établies aux Etats-Unis utilisant ce dispositif et reconnait au mécanisme « EU-U.S  Privacy Shield » un niveau de protection essentiellement équivalent aux exigences européennes.

La décision entrera en vigueur à compter de sa notification dans chacun des pays membres de l’UE. L’applicabilité aux entreprises concernées sera subordonnée à l’enregistrement de celles-ci auprès des autorités américaines en charge du dispositif.

Pour mémoire, le G29 avait réagi à la publication du projet de cette décision par un avis en date d’avril 2016 dans lequel il faisait part de ses préoccupations, notamment sur :

  • l’absence de  limitation de durée de conservation
  • l’absence d’interdiction des décisions automatisées
  • le manque de précision sur les moyens d’écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens
  • la véritable indépendance du médiateur (Ombudsperson) et ses pouvoirs, qui ne lui semblaient pas suffisants pour exercer son rôle de façon efficace et obtenir un recours satisfaisant en cas de désaccord avec l’administration.

Le G29 mène actuellement une analyse de la décision « Privacy Shield ».

Données à caractère personnel

/dans , /par

Une décision très attendue à la suite de l’appel formulé par Microsoft contre le mandat de perquisition lui ordonnant de fournir le contenu d’un compte email d’un client non US hébergé en Irlande. 

En Décembre 2013, un juge fédéral américain avait émis à la demande des procureurs fédéraux un mandat de perquisition (« warrant ») sur le fondement de l’article 2703 (a) du SCA (Stored Communications Act), ordonnant à Microsoft de fournir le contenu dudit compte.

Pour mémoire, la loi SCA a été adoptée aux USA dans le cadre de la Loi sur la protection des renseignements personnels des communications électroniques de 1986. Elle interdit aux prestataires de services internet de divulguer le contenu des e-mails et autres communications stockées sous réserves de certaines exceptions strictement encadrées.

Microsoft avait vainement tenté d’obtenir, en avril 2014, l’annulation du mandat auprès du magistrat l’ayant autorisé.

Selon le Gouvernement américain, il n’y avait pas de problème d’extraterritorialité dans cette affaire car le mandat était signifié à Microsoft aux Etats-Unis pour récupérer les données d’un compte à partir de ses bureaux situés aux Etats-Unis.

La Cour Fédérale d’appel du second district ne l’a pas suivi et vient, dans une décision du 14 juillet 2016, d’interdire au Gouvernement américain de saisir le contenu de comptes emails stockés hors des USA (Case No. 14-2985 – 2d Circuit July 14, 2016).

La Cour a rappelé que si la loi SCA prescrit les méthodes par lesquelles le gouvernement peut obtenir l’accès à des informations à des fins d’application de la loi, c’est dans le strict respect de la protection du contenu de l’utilisateur, dans le contexte des nouvelles technologies qui nécessite une interaction entre l’utilisateur et le service fourni. Elle en conclut qu’un mandat de perquisition de la SCA permet d’atteindre seulement les données stockées dans la limite territoriale des Etats-Unis.

Cette décision n’est pas définitive en ce sens qu’elle peut faire l’objet d’un appel devant la Cour Suprême ou être contredite par une autre Cour Fédéral que celle du second circuit. Mais elle est à marquer d’une pierre blanche dans la bataille judiciaire des fournisseurs de solution Cloud US contre les pratiques du Gouvernement US et pour la protection de la vie privée chère aux acteurs du marché européen.