Américains et Européens
ne partagent pas la même définition des données personnelles
Il y a une
différence importante de perception de la vie privée entre les Etats-Unis et la
France. «Plutôt que de parler de données à caractère personnel, les Américains
préfèrent parler de PII – Personally Identifiable Information», note Gwendal Le
Grand[i],
chef du service de l'expertise informatique à la CNIL (Commission Nationale
Informatique et Libertés). Les PII sont des informations qui permettent
d’identifier de façon unique une personne, de la contacter ou de la localiser
oui qui, associées à d’autres informations, permettent de l’identifier de façon
unique, de la contacter ou de la localiser.
Pour la CNIL, des données sont considérées comme à caractère personnel dès lors qu’elles permettent d’identifier directement ou indirectement des personnes physiques (ex. : nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques comme l’empreinte digitale, ADN, informations permettant de discriminer une personne au sein d’une population telles que, par exemple, le lieu de résidence, la profession, le sexe, l’âge, etc.).
Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui peuvent permettre de l’identifier et de connaître ses habitudes ou ses goûts. «On le voit, la définition des PII est plus restrictive que celle des données à caractère personnel et, du coup, les Américains ont tendance à considérer comme des données anonymes, librement archivables, ce que nous, en Europe ou en France, nous estimons être des données à caractère personnel, qui doivent être protégées», poursuit Gwendal Le Grand[ii]. Par exemple, les Américains ne considèrent pas l’adresse IP d’un ordinateur comme une PII, alors que la CNIL, en France, a plusieurs fois rappelé que «l'adresse IP est une donnée à caractère personnel pour l'ensemble des CNIL européennes[iii].»
Pour la CNIL, des données sont considérées comme à caractère personnel dès lors qu’elles permettent d’identifier directement ou indirectement des personnes physiques (ex. : nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques comme l’empreinte digitale, ADN, informations permettant de discriminer une personne au sein d’une population telles que, par exemple, le lieu de résidence, la profession, le sexe, l’âge, etc.).
Il peut en effet s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui peuvent permettre de l’identifier et de connaître ses habitudes ou ses goûts. «On le voit, la définition des PII est plus restrictive que celle des données à caractère personnel et, du coup, les Américains ont tendance à considérer comme des données anonymes, librement archivables, ce que nous, en Europe ou en France, nous estimons être des données à caractère personnel, qui doivent être protégées», poursuit Gwendal Le Grand[ii]. Par exemple, les Américains ne considèrent pas l’adresse IP d’un ordinateur comme une PII, alors que la CNIL, en France, a plusieurs fois rappelé que «l'adresse IP est une donnée à caractère personnel pour l'ensemble des CNIL européennes[iii].»
Pour s’affranchir
de cette différence de définition et permettre aux entreprises américaines
d’être en conformité avec le droit européen, les autorités de Washington ont
imaginé une parade : un cadre juridique, appelé Safe Harbor (Sphère de
sécurité), soigneusement négocié avec l’Union européenne par le ministère du
Commerce des Etats-Unis (US Department of Commerce).
Pour les entreprises américaines, l’avantage est de pouvoir librement transférer sur le sol américain les données des internautes européens. Pour le gouvernement américain, l’intérêt est de favoriser la venue sur son territoire d’informations, qu’il pourra éventuellement réquisitionner dans le cadre du Patriot Act, une loi d’exception votée après les attentats du 11 septembre 2001.
Pour les entreprises américaines, l’avantage est de pouvoir librement transférer sur le sol américain les données des internautes européens. Pour le gouvernement américain, l’intérêt est de favoriser la venue sur son territoire d’informations, qu’il pourra éventuellement réquisitionner dans le cadre du Patriot Act, une loi d’exception votée après les attentats du 11 septembre 2001.
Les entreprises qui
souhaitent adhérer à Safe Harbor, doivent simplement s’engager à respecter sept
principes[iv].
Elles doivent, entre autres, avertir les individus résidant en Europe qu’elles
collectent leurs données, leur préciser de quelle façon ces informations vont
être utilisées, leur donner la possibilité de refuser que les données les
concernant soient transférées à des tiers ou utilisées dans un autre but que
l’objectif initial de la collecte, leur offrir un droit d’accès : les
individus doivent pouvoir accéder aux informations les concernant.
Le programme Safe
Harbor fait l’objet de nombreuses critiques. «Tout d’abord, il s’agit d’un
mécanisme d’autorégulation, totalement différent des contrôles exercés en
Europe, pointe Gwendal Le Grand[v],
de la CNIL. Dans chaque pays européen, il existe une autorité indépendante qui
veille sur la protection des données à caractère personnel.Pour adhérer à Safe
Harbor, une entreprise américaine doit simplement s’auto-certifier, ou faire
appel à un organisme tiers, et prévoir un dispositif, interne ou externe, pour
gérer les éventuels litiges.»
Quelques firmes
américaines se sont lancées sur le marché de la certification Safe Harbor et,
plus largement, de la certification « respect de la vie privée ».
Truste, installée à San Francisco, est la plus importante d’entre elles. «Nous
avons 3 000 clients, qui, pour la plupart, sont basés aux Etats-Unis, détaille
Chris Babel[vi],
P-DG de Truste. Nous regardons si leurs pratiques en matière de respect de la
vie privée sont conformes à la loi et nous faisons un audit annuel.» «C’est une
démarche positive, mais elle ne s’accompagne pas du contrôle d’une autorité
indépendante», tempère Gwendal Le Grand[vii].
L’intérêt de cette
certification est avant tout commercial. «La page d’un site Internet
appartenant à une marque connue et qui affiche notre certificat génère en
moyenne 7% de transactions supplémentaires par rapport à la même page, sans
notre sceau, affirme Chris Babel[viii].
La différence peut même atteindre 29% pour la page d’un site appartenant à une
marque peu connue.»
Truste serait-il un
simple trompe-l’œil ?Un universitaire américain, Benjamin Edelman, a
démontré que les sites certifiés par Truste étaient en fait deux moins dignes de
confiance, en termes de respect de la vie privée, que les sites non-certifiés[ix] !
«Nous certifions quelques-unes des plus grosses entreprises au monde, comme
Apple ou Facebook, rappelle Chris Babel[x]. Notre
système fonctionne. Est-il parfait ? Non.» Truste reçoit chaque année 10
000 plaintes. Pour les traiter, elle n’emploie, au total, que 60 salariés.
J’ai voulu tester Safe
Harbor et ai adressé une demande d’accès à Apple, Facebook, Google, ainsi qu’à
Truste, lorsque ce fut nécessaire.
Facebook et Truste n’ont jamais apporté de réponse
à ma demande d’accès à mes données, en particulier à mon graphe social. Apple
et Google n’ont donné que des réponses parcellaires : Google omet de
mentionner toutes les données collectées au travers de mon adresse IP et Apple
ne parle pas des achats que j’ai effectués sur iTunes, par exemple.La réponse
de Google est particulièrement hypocrite, car en revoyant vers le dashboard, un
site web qui résume toutes les informations que nous publions sur les services
Google, elle fait croire à l’internaute que l’entreprise ne possède sur lui que
les données présentées dans ce tableau.
Apple
Le 24 septembre 2010, j’ai écrit à
Apple :
Good afternoon,
Apple adheres to the Safe Harbor framework
developed by the U.S. Department of Commerce and the European Union.
One of the seven safe harbor principles is the "access principle": individuals must have access to personal information
about them that an organization holds and be able to correct, amend, or delete
that information where it is inaccurate.
Therefore, I request
full access to all the data Apple holds about me.
I have a Mac Mini, a
MacBook, an iTune Store account and an Apple store account.
Thank you.
Jacques Henno
Le 27 septembre 2010, Apple m’a répondu
De : Data Privacy Officer xxxx@xxx;
À : Jacques Henno xxxx@xxx;
Envoyé le : Lun 27 septembre 2010, 14h 52min 24s
Objet : Re: Request for the full access to all the data Apple holds about me
À : Jacques Henno xxxx@xxx;
Envoyé le : Lun 27 septembre 2010, 14h 52min 24s
Objet : Re: Request for the full access to all the data Apple holds about me
Dear Mr Henno,
I can arrange your
account details to be reported to you, as per your request. However, to ensure
security of your account we need to confirm your identity. Could you please
send me the following information:
- full name
- Apple ID
- what the account has
been used for (eg iTunes, downloading software)
- email addresses
associated with the account
- any physical (street or
postal) address you may have registered
Please do not send any
sensitive information such as credit card details or passwords.
If you have any questions
about Apple's Privacy policy, please visit www.apple.com/legal/privacy
Regards, XXXX
--
XXXX
Data Privacy Officer
Apple (UK)
Limited
2 Furzeground Way,
Stockley Park, Uxbridge UB11 1BB, UK
m +XXX XXXX, f +XX XX XX XXX
J’ai répondu à Apple, par
retour de courrier, le 27 septembre :
On
27 Sep 2010, at 14:24, Jacques Henno wrote:
Dear Mr XXX,
Thank you for your quick
answer. I appreciate.
Here are the requested
information:
• Full name :
Jacques Henno
• current Apple ID
: XXXXX
• the account has been
used for:
iTunes, dowloading iPad
Apps, purchasing iPods and softwares, activating Ping…
• email adresses
associated with the account :
XXXX, XXXX
• physical address
registered :
M. Jacques Henno
XXXX
XXXX
France
Best regards,
Jacques Henno
Un mois après, je recevais enfin une
réponse d’Apple
De : Data Privacy Officer
À : Jacques Henno
Envoyé le : Jeu 21 octobre 2010, 17h 30min 00s
Objet : Re: Re : Request for the full access to all the data Apple holds about me
Dear Mr Henno,
À : Jacques Henno
Envoyé le : Jeu 21 octobre 2010, 17h 30min 00s
Objet : Re: Re : Request for the full access to all the data Apple holds about me
Dear Mr Henno,
My
apologies for the delay in replying to you. We have the following information
on record. Please note that iTunes data for customers in the EEA is controlled
by iTunes Sarl of Luxembourg, as detailed in our Privacy Policy at:
http://www.apple.com/privacy/
First
name: Jacques
Last
name: Henno
Email: XXXXX
Office:
XXXXXX
Mobile:
XXXXX
Address:
XXXXXXX
Interphone
: XXXX
XXXX
France
AppleID: XXXXX
Preferred
language: English
Preferred
notification: Email
AppleCare
customer service cases:
None
Apple
Online Store orders (details on request):
-
XXXX XXXXX: Mac OS X 10.6 Snow Leopard Retail
Regards,
XXXXXX
Google
Le 24 septembre j’écrivais à Google :
From: XXXX
Subject: Request for the full access to all the data Google holds about
me
Date: Fri, 24 Sep 2010 16:47:39 +0000
Good afternoon,
Date: Fri, 24 Sep 2010 16:47:39 +0000
Good afternoon,
Google adheres to the Safe Harbor framework
developed by the U.S. Department of Commerce and the European Union.
One of the seven safe harbor principles is the
"access principle": individuals must have access to personal information
about them that an organization holds and
be able to correct, amend, or delete that
information where it is inaccurate.
Therefore, I request full access to all the data
Google holds about me.
Thank you.
Best regards,
Jacques Henno
La réponse de Google m’est parvenue le jour
même :
From:
Date: Fri, Sep 24, 2010 at 8:00 PM
Subject: Re: [#695303465] Request for the full access to all the data Google holds about me
To: xxxx
Hi,
Thank you for contacting us with your request.
Please note that you can access most of your own data via your Google account. This saves you the trouble of going through the steps to address a separate subject access request. And it helps to protect your privacy by ensuring that only you, as the authorized account holder, will obtain access to the information in the account. To access this data, please log into your Google account to access the Dashboard, where you will see the data that has associated with your account. For more information, you can visit the Privacy Tools page in our Privacy Center.
Regards,
The Google Team
Date: Fri, Sep 24, 2010 at 8:00 PM
Subject: Re: [#695303465] Request for the full access to all the data Google holds about me
To: xxxx
Hi,
Thank you for contacting us with your request.
Please note that you can access most of your own data via your Google account. This saves you the trouble of going through the steps to address a separate subject access request. And it helps to protect your privacy by ensuring that only you, as the authorized account holder, will obtain access to the information in the account. To access this data, please log into your Google account to access the Dashboard, where you will see the data that has associated with your account. For more information, you can visit the Privacy Tools page in our Privacy Center.
Regards,
The Google Team
Facebook :
Le 23 août 2010, j’ai envoyé le message suivant à Facebook :
Access
Facebook adheres to the Safe Harbor framework
developed by the U.S. Department of Commerce and the European Union. One of the seven safe harbor principles is the
"access principle": Individuals must have access to personal
information about them that an organization holds and be able to correct,
amend, or delete that information where it is inaccurate. Therefore, I request
full access to all the data Facebook holds about me, including my "social
graph". Thank you.
Un accusé de réception me fut envoyé le jour
même :
Objet :
|
Re: Privacy
Policy Questions: Request for acces to my data
|
De :
|
The Facebook Team
(xxxx@xxx)
|
À :
|
xxxx@xxx;
|
Date :
|
Lun, 23 Aoû 2010
10:16:05
|
Hi,
If you have questions or concerns that do not relate to Facebook's Privacy Policy or our agreement with TRUSTe, please refer to our Privacy Help Center:
http://www.facebook.com/help/?topic=privacy
The information here has been organized to quickly resolve most privacy issues. Topics include:
Controlling Your Privacy Settings
Controlling Who Can Find You
Privacy Policies and Internet Safety
Privacy Settings by Feature
If you need to report a hacked or compromised account, please refer to our Security Help Center:
http://www.facebook.com/help/?page=420
If you need to report abuse on the site, please refer to our Report Abuse Help Center:
http://www.facebook.com/help/?page=798
Please be aware that we are unable to respond to inquiries through this form that do not relate to Facebook's Privacy Policy or our agreement with TRUSTe.
Thanks for contacting Facebook,
The Facebook Team
N’ayant jamais eu d’autre réponse, j’ai contacté
Truste le 17 mai 2011 :
Facebook adheres to the Safe Harbor framework
developed by the U.S. Department of Commerce and the European Union.One of the
seven safe harbor principles is the "access principle": individuals
must have access to personal information about them that an organization holds
and be able to correct, amend, or delete that information where it is
inaccurate.
Therefore, I requested full access to all the data
Facebook holds about me.
Up to now, I have gotten no answer from Facebook.
Jacques Henno
L’accusé
de réception me parvint rapidement :
Mar 17 mai 2011, 15h 19min 26s
Compliance
Notification - TRUSTe Watchdog Complaint #75644
De :
|
"compliance@truste.org"
|
Dear Consumer,
Thank you for
submitting your complaint into the Watchdog Dispute Resolution program. We will
review your submission and contact you within 10 business days regarding next
steps.
If you have any additional questions or comments concerning your complaint, please reply to this message (keeping the subject line intact). A copy of your complaint is included below for your records. Please keep this message for future reference.
Sincerely,
TRUSTe Compliance Team
If you have any additional questions or comments concerning your complaint, please reply to this message (keeping the subject line intact). A copy of your complaint is included below for your records. Please keep this message for future reference.
Sincerely,
TRUSTe Compliance Team
Waivers: PII Sharing: yes Name: Jacques Henno
Email: jhenno@yahoo.com URL: http://www.facebook.com Complaint Type: Other
Description: Facebook adheres to the Safe Harbor framework developed by the
U.S. Department of Commerce and the European Union.rnrnOne of the seven safe
harbor principles is the "access principle": individuals must have
access to personal information about them that an organization holds and be
able to correct, amend, or delete that information where it is
inaccurate.rnrnTherefore, I requested full access to all the data Facebook
holds about me.rnrnUp to now, I have gotten no answer from Facebook.rnrnJacques
Henno Seeking: Please, ask Facebook to give me full access to all the
information they have about me.
Le lendemain, Truste m’informait qu’il donnait suite à
ma demande :
Objet :
|
TRUSTe Watchdog
Complaint #75644
|
De :
|
cxxxx@xxx (xxxx@xxx)
|
À :
|
xxxx@xxx;
|
Date :
|
Mer, 18 Mai 2011
23:11:41
|
Dear
Jacques Henno,
Thank
you for submitting your privacy complaint through the TRUSTe Watchdog Dispute
Resolution program. The TRUSTe Compliance Team has reviewed the details of your
complaint and we have determined that it is a potential privacy issue valid for
further research under our program. As our next step, we are contacting
www.facebook.com on your behalf to ask them to respond.
Please
be advised that you may receive e-mail messages directly from the site
regarding resolution of your Watchdog complaint.
Because
this complaint process is a formal written dispute resolution mechanism, the
Licensee has up to 10 business days to respond once we forward your complaint
information. TRUSTe will then analyze the Licensee's response to determine any
additional questions or clarification needed. We will notify you if we need
additional information from you, or when we have reached a determination, or
update you if there are any substantial status changes in the interim. If you
have any questions in the interim, please reply to this message
(keeping the subject line intact).
(keeping the subject line intact).
TRUSTe appreciates your interest in privacy and we value input from consumers like you. Your participation helps us provide a more effective program for the Internet community.
We
look forward to working with you to resolve your privacy concern.
Sincerely,
TRUSTe
Compliance Team
La
réponse de Facebook me parvint huit jours plus tard :
De : The Facebook Team
À : xxxx@xxx
Cc : xxxx@xxx
Envoyé le : Jeudi 26 Mai 2011 20h42
Objet : Re: TRUSTe Watchdog Complaint #75644
Hi Jacques,
Thank you for your email. If you would like to submit a request for personal data stored by Facebook, please visit the following page:
http://www.facebook.com/help/?page=849
Thanks for contacting Facebook,
Reggie
User Operations
Facebook
-----Original Message to Facebook-----
From: xxxx@xxx (xxxx@xxx)
To: The Facebook Team
Subject: TRUSTe Watchdog Complaint #75644
Dear Facebook:
Your company recently received a complaint through the TRUSTe Watchdog Dispute Resolution program.
Please review the information below and respond no later than:
** 06/01/2011 **
To resolve this complaint, a written response to the complainant is
required (please be sure to CC: this TRUSTe address whenever corresponding directly with the complainant). If you would like to discuss or get further clarification on this
Watchdog complaint as you prepare your written response, please let us
know the best telephone number and dates/times to reach you.
Please always keep the subject line intact when responding. We
look forward to working with you to resolve this complaint.
Sincerely,
TRUSTe Compliance Team
--------------------------------------------------------------------------------
Waivers:
PII Sharing: yes
Name: Jacques Henno
Email: xxxx@xxx
URL: http://www.facebook.com
Complaint Type: Other
Description:
Facebook adheres to the Safe Harbor framework developed by the U.S. Department of Commerce and the European Union.rnrnOne of the seven safe harbor principles is the "access principle": individuals must have access to personal information about them that an organization holds and be able to correct, amend, or delete that information where it is inaccurate.rnrnTherefore, I requested full access to all the data Facebook holds about me.rnrnUp to now, I have gotten no answer from Facebook.rnrnJacques Henno
Seeking:
Please, ask Facebook to give me full access to all the information they have about me.
-----End Original Message to Facebook-----
À : xxxx@xxx
Cc : xxxx@xxx
Envoyé le : Jeudi 26 Mai 2011 20h42
Objet : Re: TRUSTe Watchdog Complaint #75644
Hi Jacques,
Thank you for your email. If you would like to submit a request for personal data stored by Facebook, please visit the following page:
http://www.facebook.com/help/?page=849
Thanks for contacting Facebook,
Reggie
User Operations
-----Original Message to Facebook-----
From: xxxx@xxx (xxxx@xxx)
To: The Facebook Team
Subject: TRUSTe Watchdog Complaint #75644
Dear Facebook:
Your company recently received a complaint through the TRUSTe Watchdog Dispute Resolution program.
Please review the information below and respond no later than:
** 06/01/2011 **
To resolve this complaint, a written response to the complainant is
required (please be sure to CC: this TRUSTe address whenever corresponding directly with the complainant). If you would like to discuss or get further clarification on this
Watchdog complaint as you prepare your written response, please let us
know the best telephone number and dates/times to reach you.
Please always keep the subject line intact when responding. We
look forward to working with you to resolve this complaint.
Sincerely,
TRUSTe Compliance Team
--------------------------------------------------------------------------------
Waivers:
PII Sharing: yes
Name: Jacques Henno
Email: xxxx@xxx
URL: http://www.facebook.com
Complaint Type: Other
Description:
Facebook adheres to the Safe Harbor framework developed by the U.S. Department of Commerce and the European Union.rnrnOne of the seven safe harbor principles is the "access principle": individuals must have access to personal information about them that an organization holds and be able to correct, amend, or delete that information where it is inaccurate.rnrnTherefore, I requested full access to all the data Facebook holds about me.rnrnUp to now, I have gotten no answer from Facebook.rnrnJacques Henno
Seeking:
Please, ask Facebook to give me full access to all the information they have about me.
-----End Original Message to Facebook-----
[i] entretien avec l’auteur, CNIL, Paris, 19 octobre 2010.
[ii] entretien avec l’auteur, CNIL, Paris, 19 octobre 2010.
[v] entretien avec l’auteur, CNIL, Paris, 19 octobre 2010.
[vi] Entretien avec l’auteur, San Francisco, 2 novembre 2010.
[vii] entretien avec l’auteur, CNIL, Paris, 19 octobre 2010.
[viii] Entretien avec l’auteur, San Francisco, 2 novembre 2010.
[ix] http://www.benedelman.org/publications/advsel-trust-draft.pdf
[x] Entretien avec l’auteur, San Francisco, 2 novembre 2010.
Articles
Aucun commentaire:
Enregistrer un commentaire