La Cour de justice de l'Union européenne (CJUE) a rendu ce matin un arrêt des plus attendus, car il concernait la validité de la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.
Cette directive
vise ainsi à garantir la disponibilité de ces données à des fins de prévention, de recherche, de détection et de poursuite des infractions graves, comme notamment les infractions liées à la criminalité organisée et au terrorisme. Ainsi, la directive prévoit que les fournisseurs précités doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l'abonné ou l'utilisateur. En revanche, elle n'autorise pas la conservation du contenu de la communication et des informations consultées.
La CJUE a été requise d'examiner la validité de la directive sous l'angle du respect du droit fondamental à la vie privée et du droit fondamental à la protection des données à caractère personnel.
La CJUE constate d'abord que les données en question
permettent notamment de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur inscrit a communiqué, de déterminer le temps de la communication ainsi que l'endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l'abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée.
Elle retient donc justement que, prises dans leur globalité, ces données
sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés.
Dès lors, et cela ne surprendra personne, la CJUE déclare que,
en imposant la conservation de ces données et en en permettant l'accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.
Elle ajoute d'ailleurs que, sur un plan personnel et du point de vue des citoyens,
le fait que la conservation et l'utilisation ultérieure des données sont effectuées sans que l'abonné ou l'utilisateur inscrit en soit informé est susceptible de générer dans l'esprit des personnes concernées le sentiment que leur vie privée fait l’objet d'une surveillance constante.
Tout d'abord, la CJUE estime que la conservation des données n'est, dans le cas présent
pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.
Cette première déclaration surprend, sachant que les "métadonnées" peuvent dévoiler un grand nombre d'éléments personnels au sujet d'un individu, chose que la CJUE a elle-même relevée dans son arrêt. Le fait que le contenu des communications ne puisse pas être connu ne devrait pas nécessairement faire pencher la balance dans l'autre sens.
La CJUE ajoute encore que l'intérêt poursuivi par la directive (prévention, recherche, détection et poursuite d'infractions graves) répond effectivement à un objectif d'intérêt général.
Là-dessus, il n'y a pas grand-chose à contester.
Cependant, la CJUE estime que l'adoption de cette directive par le Parlement européen va au-delà des limites imposées par le respect du principe de proportionnalité. Bien que le but de la directive soit conforme à un intérêt public reconnu, la CJUE déclare que l'ingérence dans les droits fondamentaux des citoyens n'est pas suffisamment encadrée et devrait se limiter au strict nécessaire.
1. – Tout d'abord, aucune différenciation, limitation ou exception n'est opérée (entre les individus, les moyens de communication, et les données) en fonction de l'objectif de lutte contre les infractions graves.
En d'autres termes, toute infraction n'est pas forcément grave, et tous les individus ne sont pas forcément des criminels.
2. – Ensuite, la directive ne prévoit aucun critère objectif qui permette de garantir que les autorités nationales compétentes n'accèdent aux données et ne les utilisent qu'aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées comme suffisamment graves pour justifier l'ingérence.
En d'autres termes, il manque de sérieuses protections contre l'accès aux données conservées. La directive renvoie au droit national pour définir ce qu'est une infraction grave, ce qui ne permet pas de déterminer de critère objectif en la matière. Enfin, aucune condition matérielle ou procédurale n'est prévue par la directive sur la question des conditions d'accès aux données par les autorités nationales.
3. – De plus, la durée de conservation d'au moins 6 mois (mais au maximum 24 mois), sans distinction entre les catégories de données en fonction des personnes en cause ou de l'utilité des données, apparait comme disproportionnée, car la directive ne précise pas les critères objectifs sur la base desquels on détermine la durée de conservation.
4. – Puis, la protection contre le risque d'abus contre l'accès et l'utilisation illicites des données n'est pas suffisamment garantie.
La directive autorise les fournisseurs de service à prendre en compte des considérations économiques pour déterminer le niveau de sécurité à adopter, et elle ne garantit pas la destruction irréversible de ces données lorsque la conservation arrive à son terme.
5. – Enfin, la directive n'impose pas de conservation des données sur le territoire de l'Union européenne. C'est-à-dire que les données en question doivent être conservées sur sol européen de façon à ce que le contrôle des exigences de protection et de sécurité des données puisse être réalisé par une autorité indépendante.
Cette décision est une victoire pour les citoyens. Malgré que leurs données soient désormais conservées sans base légale valide dans l'UE, la CJUE a courageusement décidé de fustiger le travail du Parlement européen et de le renvoyer à ses études.
La sécurité et la lutte contre le terrorisme ne sont donc pas des éléments qui permettent de faire tout et n'importe quoi, et surtout n'importe comment, au mépris des droits fondamentaux. Notamment la protection des données et la vie privée.
Cependant, les victimes principales sont les fournisseurs de service dont le pays a transposé la loi, car ils se trouvent dans une situation embarrassante où la base même de la loi qu'ils doivent appliquer est désormais absente, et contredite. Ainsi, ils pourraient décider de ne pas appliquer la loi en question, mais pourraient de ce fait s'exposer à des sanctions, en attendant que la loi soit abrogée.
Les États membres devront donc réformer leur législation nationale, en attendant une nouvelle version de la directive. La CJUE a d'ailleurs clairement déclaré
qu'il appartient aux autorités nationales de tirer les conséquences, dans leur ordre juridique, de ladite déclaration. Les juridictions nationales peuvent ainsi être conduites à déclarer inapplicables les mesures nationales adoptées sur la base de l’acte invalidé [...]. Le législateur national peut également décider d’abroger les mesures prises en application de l’acte européen invalide.
Un citoyen européen pourrait donc, dès aujourd'hui, assigner en justice son fournisseur de service pour faire constater comme illégale la rétention des données le concernant, demander la cessation de cette activité et la destruction des données.
Dans le cadre d'une enquête pénale visant à identifier l'auteur d'un viol sur une adolescente de 16 ans qui a eu lieu dans un lycée en France en 2013, la justice française a ordonné de récolter l'ADN de 527 personnes de sexe masculin, majeures et mineures. La victime ne peut pas donner de description de l'agresseur mais l'ADN de ce dernier se trouve sur les habits de la victime. Ces 527 personnes sont supposées avoir été présentes dans l'établissement au moment des faits. Le prélèvement sera effectué par frottis de la muqueuse jugale.
Tout d'abord, il faut savoir qu'une telle opération est relativement exceptionnelle, et accessoirement coûteuse (voir à ce sujet l'OGEmol, soit l'ordonnance générale sur les émoluments). Elle implique d'ailleurs la mise en place d'une dispositif conséquent pour la récolte.
Au niveau juridique, les lois applicables sont le Code de procédure pénale suisse (CPP) ainsi que la loi fédérale sur l'utilisation de profils d'ADN dans les procédures pénales et sur l'identification de personnes inconnues ou disparues (LADN). La loi fédérale sur la protection des données (LPD) est applicable également.
L'art. 255 CPP permet au ministère public de requérir le prélèvement d'un échantillon et l'établissement d'un profil d'ADN. Il peut être prélevé sur le prévenu, les victimes et les personnes décédées notamment. La police a également la possibilité d'ordonner un prélèvement non invasif (c'est-à-dire buccal, pas de prise de sang).
Le prélèvement massif est possible comme en France. La police possède certains indices quant à la personne qui a commis l'infraction mais ils sont trop imprécis pour fonder des soupçons contre une personne en particulier. Elle suppose néanmoins que certaines personnes partagent avec l'auteur de l'infraction un ou plusieurs signes distinctifs particuliers.
L'art. 256 CPP prévoit que dans le but d'élucider un crime,
le tribunal des mesures de contrainte peut, à la demande du ministère public, ordonner le prélèvement d'échantillons sur des personnes présentant des caractéristiques spécifiques constatées en rapport avec la commission de l'acte, en vue de l'établissement de leur profil d'ADN.
L'art. 3 al. 2 LADN précise pour sa part :
Lors d'enquêtes de grande envergure entreprises pour élucider un crime, un prélèvement, par exemple un frottis de la muqueuse jugale, peut être effectué aux fins d'analyse de l'ADN sur des personnes présentant des caractéristiques spécifiques constatées en rapport avec la commission de l'acte, afin d'exclure qu'elles aient pu en être les auteurs ou afin de les confondre.
La notion de crime est définie dans le Code pénal suisse (CP), à l'art. 10. Lu a contrario, l'art. 256 CPP exclut donc la possibilité de procéder à une prélèvement de grande envergure pour rechercher l'auteur d'un délit (art. 10 CP) ou d'une contravention (art. 103 CP).
Les "caractéristiques spécifiques" qui seraient similaires à celles de l'auteur du crime doivent avoir un lien avec l'infraction. Le message du Conseil fédéral de 2006 (p. 1224) donne l'exemple de la couleur de peau qui ne serait pas une caractéristique "en lien avec l'infraction". Le fait d'avoir un âge semblable à l'auteur ou d'habiter dans le même village seraient probablement des caractéristiques valables.
La demande du ministère public doit être examinée et autorisée par un tribunal indépendant : le tribunal des mesures de contrainte (art. 18 CPP).
Une mesure de contrainte est une atteinte aux droits fondamentaux des personnes concernées par la procédure pénale (art. 196 et 197 CPP, notamment). Les mesures de contrainte qui portent atteinte aux droits fondamentaux des personnes qui n'ont pas le statut de prévenu doivent être appliquées avec une retenue particulière (art. 197 al. 2 CPP).
Un individu répondant aux caractéristiques peut-il refuser de se soumettre à l'analyse ? Selon la Constitution fédérale, art. 119 al. 2 lit. f,
le patrimoine génétique d'une personne ne peut être analysé, enregistré et communiqué qu'avec le consentement de celle-ci ou en vertu d'une loi.
Le CPP constituant une telle loi (adoptée par le Parlement fédéral et soumise au référendum facultatif), il n'est donc pas possible de refuser le prélèvement. Cependant, il serait théoriquement envisageable de faire recours contre la décision du tribunal des mesures de contrainte autorisant le prélèvement (art. 379 et suivants CPP, et art. 393 et suivants CPP). Le recours n'aurait, à mon avis, que peu de chances de succès en général, et comme il n'a pas d'effet suspensif, il est très probable que le prélèvement sera quand même effectué. Un recours à la force est possible mais uniquement en dernier recours et son exécution doit être proportionnée (art. 200 CPP).
Le Tribunal fédéral avait jugé qu'il n'était "pas contraire à la liberté personnelle de soumettre à une prise de sang et à une analyse d'ADN une personne soupçonnée d'avoir commis de graves délits sexuels, en raison de sa ressemblance à un portrait-robot. Si l'analyse d'ADN aboutit à un résultat négatif, l'échantillon de sang et les données personnelles doivent être détruits".
Il avait également retenu qu'un frottis de la muqueuse jugale (ou une prise de sang) ayant pour but d'établir un profil ADN porte atteinte au droit à la sphère intime, à l'intégrité corporelle, ainsi qu'au droit à l'autodétermination en matière de données personnelles. Cependant, comme la gravité de l'atteinte se détermine selon des critères objectifs, un prélèvement de cheveux, une prise de sang, l'établissement et la conservation (aux fins d'identification) de données personnelles telles que des photographies ou des profils ADN n'ont pas été jugés graves. Un frottis de la muqueuse jugale ainsi qu'une prise de sang sont considérées comme des atteintes légères à l'intégrité corporelle par le Tribunal fédéral.
Dès lors, l'absence de possibilité de refuser le prélèvement est "compensée" par le fait que les données ADN des personnes dont il s'avère, après analyse, qu'elles ne peuvent pas être les auteurs de l'infraction, ne seront pas saisies dans la base de donnée fédérale CODIS où sont répertoriés les profils ADN et les traces. C'est ce que prévoit l'art. 11 al. 4 lit. c LADN. De plus, les échantillons et les produits dérivés doivent être détruits.
A ce stade, il faut relever que le fait d'ordonner une analyse ADN ne signifie pas que le résultat de cette analyse sera forcément enregistré dans la base de donnée CODIS. En effet, après la décision autorisant l'analyse, une deuxième décision doit être prise afin d'autoriser l'enregistrement.
Concernant l'ADN analysé, il faut savoir que l'analyse forensique de l'ADN est réalisée sur la partie non codante du génome.
Cela signifie que les informations enregistrées dans la banque de données ADN ne permettent en aucun cas de connaître les caractéristiques physiques ou psychiques des personnes concernées, ni même d'éventuelles maladies (une exception est possible en cas de trisomie 21). (Source)
Fin 2013, la banque de données CODIS contenait 159'575 profils ADN de personnes. En utilisant les chiffres 2012 de l'Office fédéral de la statistique, sachant que 8,039 millions de personnes résidaient en Suisse à fin 2012, cela signifie qu'un peu moins de 2% de la population se trouve dans cette base de données.
CODIS est gérée par Fedpol (art. 8 de l'ordonnance LADN) qui est considérée comme maitre de fichier au sens de la LPD. La LADN prévoit un droit d'être renseigné sur la présence d'un profil ADN à son nom (art. 15 LADN).
La question qui me taraude est celle de la proportionnalité du prélèvement d'une telle quantité d'échantillons pour résou dre une enquête.
Certes, comparer des profils ADN est en général tout à fait indiqué pour résoudre des affaire se rapportants à des délits d'ordre sexuel puisqu'il y a en principe des contacts corporels susceptibles de laisser des traces.
Certes, il existe un intérêt public prépondérant à la résolution d'une enquête pénale, d'autant plus lorsqu'elle concerne un crime. Il existe aussi un intérêt visant à prévenir d'autres infractions.
Certes, de tels prélèvements permettent d'écarter des soupçons que la police pourrait avoir, ou de les confirmer avec un très haut degré de fiabilité scientifique.
Certes, les échantillons, résultats et analyses sont détruits si la culpabilité de la personne est exclue.
Mais l'ampleur de la mesure me choque un peu. Cependant, si on parvient à confondre l'auteur de l'infraction, le sentiment d'avoir été utile prendra peut-être le dessus...
On 30.12.2013, a few days into his pension, Germany's Ex-Federal Commissioner for Data Protection and Freedom of Information Peter Schaar stood in front of the 30th Chaos Communication Congress and held a speech about the roles and scope of action of data protection officers in the EU. You can watch it here (in German).
Here are a couple of interesting points (leaving aside anything concerning Germany specifically):
The International Declaration of Human Rights claims:
Article 12 No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks.
Article 17 of the International Covenant on Civil and Political Rights of 1966 says pretty much the same thing.
From this derives that privacy is a human right that should be respected internationally, not only within national boundaries (hence the absurdity of Obama's "we only spy on foreigners").
On the European scale, Article 8 of the Charter of Fundamental Rights of the European Union adds the necessity of a control by an independent authority - optimally: the national data protection officers. More precisely, the implementation of data protection is detailed in the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 1981 – also signed by Switzerland – as well as Directives 95/46/EC and 2002/58/EC of the European Parliament and of the Council (see also François Charlet's article).
So should anyone tell you that data protection and privacy are a thing of the past, let her remember that they are a right on a strong basis, for which there are laws.
National data protection officers are to care that it is respected within their respective countries. They need to be completely independent and have ways to punish too. A big exception is made for police and intelligence services when related to questions of "national security", the definition of which is not always clear (Schaar got into trouble because of his insistence to have the German government do something about the NSA scandal).
Schaar did not hide the fact that the situation of data protection officers accross the EU is by far not optimal yet. Furthermore, there are quite some discrepancies between countries in this regard. But progress comes from the top of the EU to the bottom: the European Court of Justice has not hesitated to blame national states like Germany and Austria several times for their insufficient support of the independent action of their data protection officers. They had to act accordingly.
Are the data protection officers part of civil society? No - they have to listen to all parties. But they can try to build bridges between them, and engage in the public debate. Their role is not easy – they could do with some support. Schaar certainly deserved his standing ovation at the end of his speech.
Lors de la dernière CryptoParty à Fribourg, un manque de ressources en français a été déploré. En voici quelques unes:
Si vous connaissez d'autres bonnes ressources en français, ajoutez-les dans les commentaires!
Au contraire, il serait intéressant de répertorier aussi les mauvaises ressources - comme par exemple bon nombre d'articles de la presse mainstream.
Le 13 mai 2014, la Cour de justice d'Union européenne (CJUE) a rendu un arrêt en matière de droit à oubli sur Internet. Cet arrêt impose aux moteurs de recherche actifs en Europe d'effacer des données faisant nommément référence à une personne si elles sont obsolètes, non pertinentes ou inappropriées. Un mois après les premiers effacements et deux mois après la décision de justice, où en est-on ?
Évidemment, ceux pour qui la pilule a vraiment du mal à passer, ce sont les principaux concernés, à savoir les moteurs de recherche – Google en particulier vu son quasi-monopole dans le domaine. Alors que Microsoft a mis en place un formulaire pour demander les déréférencements en Europe, à l'instar de Google, ce dernier n'a pas mis les pieds contre le mur, comme on pouvait le penser. Bien au contraire, c'est tout l'inverse qui s'est produit.
Selon les derniers chiffres, 91'000 demandes ont été adressées à Google. Elles concernent environ 328'000 liens. Google a rejeté 30% des demandes, 15% sont encore en cours d'analyse. En résumé, Google a donné suite à plus de la moitié des demandes.
Alors que, sur le fond, la décision de la CJUE est une belle avancée pour la protection des données et de la sphère privée, elle a introduit une responsabilité énorme, et quasi malsaine : il revient aux moteurs de recherche d'être juges à la place des juges. Aux moteurs de recherche de décider, au cas par cas, si l'information répond aux conditions posées par la CJUE pour être supprimée des résultats de recherches européens. La Cour confirme donc qu'on peut avoir des autorités extrajudiciaires privées sur Internet.
Google avait annoncé vouloir prendre le temps nécessaire pour analyser l'arrêt. Comme la CJUE ne faisait que donner son interprétation du droit européen à la justice espagnole qui l'avait demandée, Google pouvait attendre le verdict de la justice espagnole pour combattre l'interprétation du droit européen. Mais la firme de Mountain View a décidé de faire du zèle : elle a mis en place son formulaire, et a commencé à communiquer sur le nombre de requêtes soumises, traitées, admises, etc.
Cependant, Google veut montrer que la décision est absurde. Tout d'abord, ses dirigeants ont rappelé qu'il suffit d'utiliser une version non européenne du moteur de recherche pour retrouver tous les résultats qui ont été retirés en Europe. Puis, l'entreprise s'est lancée dans un exercice de censure, s'abritant derrière la décision de la CJUE pour justifier les retraits. Ceux-ci sont communiqués aux sites concernés, mais ne mentionnent pas le nom de la personne demanderesse, ni le motif du retrait : Google annonce le déréférencement de la page, et c'est tout1.
La CJUE nous laisse la responsabilité de décider si oui ou non, ce résultat doit être retiré, en fonction de critères extrêmement vagues et imprécis pouvant être interprétés très largement. On nous laisse le choix de décider si une information est obsolète, inappropriée ou non pertinente. C'est une erreur et nous allons le montrer. Nous allons improviser, et voir ce que ça donne.
Voilà, en substance, le message que veut faire passer Google2.
Seulement, tout cela n'est qu'un message. Google roule les mécaniques, donne l'impression qu'il censure à tout va, mais c'est n'est qu'un exercice de communication, savamment orchestré.
En effet, après analyse de la CNIL (Commission nationale de l'informatique et des libertés, en France) notamment, c'est seulement l'association du nom de la personne ayant demandé le déréférencement avec la page web en question qui est supprimée des résultats du moteur de recherche. Donc, il suffit de taper la requête différemment dans le moteur de recherche – version européenne – pour faire réapparaitre la page désindexée.
Et quand on lit la presse au sujet des demandes qui ont été adressées à Google, ce dernier ne communique que sur des cas où des individus qui ont fait des choses peu avouables dans le passé souhaitent utiliser le droit à l'oubli pour blanchir leur CV.
Un pur exercice de communication, donc. Mais il fonctionne. Et il a le mérite de mettre en exergue ce problème de la responsabilité qui pèse sur les moteurs de recherche. D'ailleurs, plusieurs pages web retirées (au sujet desquelles Google avait fait du bruit) ont été réintroduites, Google invoquant des erreurs de sa part.
Mais un début de réponse "politique" se précise. Google devant agir dans le brouillard, et traiter des données, informations et pages web sans connaitre tout le contexte et sans avoir toutes les données en main pour soupeser les demandes, il faut essayer de trouver un équilibre. Si l'on souhaite vraiment responsabiliser les moteurs de recherche, ou en attendant qu'on corrige ce biais, il faut leur donner des guides, et poser des barrières.
Le 24 juillet, les différentes autorités européennes de protection des données (G29, pour Groupe 29) se sont réunies avec les moteurs de recherche. L'objectif est d'élaborer des lignes directrices afin de traiter les plaintes de personnes qui peuvent saisir ces autorités en cas de refus des moteurs de recherche à leur demande de déréférencement. Car Google agace beaucoup avec son attitude. Et le fait que le droit à l'oubli ne s'applique que sur les version européennes des moteurs de recherche rend quasiment inefficace la décision de la Cour.
Ces lignes directrices sont attendues à l'automne 2014. Sur le principe, le droit à l'oubli est une bonne chose si Internet n'a pas réellement cette "faculté d'oublier". Mais les modalités d'application actuelles doivent être précisées pour que cet outil visant à protéger la vie privée ne devienne pas un outil de censure, un outil qui écorne la liberté d'information, voire qui permet de réécrire l'histoire.
Il n'a pas été créé dans ce but, il faudrait donc éviter qu'il y parvienne. Mais sans le dénier de son sens. Et sans ouvrir d'autres boîtes de Pandore. Un beau challenge.
- What information do you request from a data subject pri or to considering a delisting request e.g. URLs, justification? Do you ask further motivation from the data subjects to substantiate their request?
- Do you filter out some requests based on the location, nationality, or place of residence of the data subject? If so, what is the legal basis for excluding such requests?
- Do you delist results displayed following a search:
- Only on EU / EEA domains?
- On all domains pages accessible from the EU / EEA or by EU/EEA residents?
- On all domains on a global basis?
- What criteria do you use to balance your economic interest and/or the interest of the general public in having access to that information versus the right of the data subject to have search results delisted?
- What explanations / grounds do you provide to data subjects to justify a refusal to delist certain URLs?
- Do you notify website publishers of delisting? In that case, which legal basis do you have to notify website publishers?
- Do you provide proper information about the delisting process on an easily accessible webpage? Have you developed a help center explaining how to submit a delisting claim?
- Can data subjects request delisting only using the electronic form that you provide, or can other means be used?
- Can data subjects request delisting in their own language?
- If you filter out some requests based on the location, nationality, or place of residence, what kind of information must be provided by the data subject in order to prove his nationality and / or place of reside nce?
- Do you ask for a proof of identify or some other form of authentication and if yes, what kind? For what reason? What safeguards do you put in place to protect any personal data that you process for the purpose of processing delisting requests?
- Do you accept general claims for delisting (e.g. delist all search results linking to a news report)?
- When you decide to accept a delisting request, what information do you actually delist? Do you ever permanently delist hyperlinks in response to a removal request, as opposed to delisting?
- Do you delist search results based only on the name of the data subject or also in combination of the name with another search term (i.e. Costeja and La Vanguardia)
- How do you treat removal requests with regard to hyperlinks to pages that do not (no longer) contain the name of the data subject? [Examples: hyperlink to anonymised ruling, hyperlink to page where name of data subject was removed]. Do you immediately recrawl the sites after a removal request?
- Does your company refuse requests when the data subject was the author of the information he/she posted himself/herself on the web? If so, what is the basis for refusing such requests?
- Do you have any automated process defining if a request is accepted or refused?
- What technical solution do you use to ensure that links to material to which a removal agreement applies are not shown in the search results?
- Which of your services do you consider delisting requests to be relevant to?
- Do you notify users through the search results’ page inf ormation that some results have been removed according to EU law? In that case, which is the legal basis for this? What is the exact policy? In particular, it appears that this notice is sometimes displayed even in the absence of removal requests by data subjects. Can you confirm or exclude that this is actually the case and, if so, could you elaborate on the applicable criteria?
- Have you considered sharing delisted search results with other search engines providers?
- What is the average time to process the requests?
- What statistics can you share at this stage (percentage of requests accepted / partially accepted / refused)? How many have you answered in total? How many per day?
- Will you create a database of all removal requests or removal agreements?
- What particular problems have you faced when implementing the Court’s ruling? Are there particular categories of requests that pose specific problems?
- Could you please provide us with contact details in case we need to exchange on a specific case?
Voilà typiquement le genre de recyclage honteux et dégoûtant que font les puissants de ce monde qui cherchent à diminuer les droits et libertés fondamentales des citoyens : on déclare que c'est pour le bien de vos enfants ! Ironiquement, c'est lorsque des fabricants comme Apple et Google annoncent que leurs smartphones seront chiffrés par défaut (et qu'ils ne connaitront pas la clé de déchiffrement) que les gouvernements régurgitent des arguments exécrables en ayant des trémolos dans la voix.
Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.(Benjamin Franklin)
Eric Holder, donc, a déclaré le 30 septembre 2014 lors de la Conférence bisannuelle de l'Alliance globale contre les abus sexuels contre les enfants commis en ligne (Biannual Global Alliance Conference Against Child Sexual Abuse Online) que
Moreover, we would hope that technology companies would be willing to work with us to ensure that law enforcement retains the ability, with court-authorization, to lawfully obtain information in the course of an investigation, such as catching kidnappers and sexual predators. It is fully possible to permit law enforcement to do its job while still adequately protecting personal privacy. When a child is in danger, law enforcement needs to be able to take every legally available step to quickly find and protect the child and to stop those that abuse children. It is worrisome to see companies thwarting our ability to do so.
De plus, nous aimerions que les sociétés du domaine de la technologie travaillent de concert avec nous pour faire en sorte que les autorités de poursuite gardent la possibilité d'obtenir des informations, sur autorisation d'un tribunal, dans le cours d'une enquête pour trouver et attraper les kidnappeurs et prédateurs sexuels, par exemple. Il est tout à fait envisageable de permettre à ces autorités de faire leur travail en protégeant de manière adéquate la sphère privée. Quand un enfant est en danger, ces autorités ont besoin de faire toutes les démarches légales à leur disposition pour retrouver rapidement et protéger l'enfant et arrêter ceux qui en abusent. Il est regrettable de voir des sociétés limiter notre possibilité de le faire. (Traduction et mises en page par mes soins)
Après le FBI qui se plaint que le chiffrement des données permet aux délinquants d'agir au-dessus des lois, voilà qu'on emploie des discours d'un cynisme que je n'oserais sans doute même pas utiliser au tribunal. Le directeur du FBI a même osé déclarer que l'iPhone est désormais le "smartphone du pédophile". Il n'y en a décidément pas un pour rattraper l'autre.
Ce mois encore, le Département américain de la Justice en a remis une couche et a averti Apple qu'un enfant allait mourir parce que la police ne pourra pas accéder aux données sur un smartphone1. Quelle finesse. Exhumer les cadavres d'enfants et les brandir pour justifier un programme de surveillance montre précisément que les gouvernements n'ont aucune morale.
Utiliser la corde sensible. Voilà la méthode d'Eric Holder. Et son discours irrespectueux n'a absolument rien et en aucune manière à voir avec la problématique du chiffrement par défaut des smartphones.
Notez dans son discours (car le Diable se cache dans le détail) le mot "adequatly" ou "de manière adéquate" lorsqu'il parle de la protection de la sphère privée. Pour un gouvernement qui utilise des portes dérobées (backdoors) pour surveiller ses citoyens, entre autres, je trouve que la formulation "adequately protecting personal privacy" a une saveur particulière.
Alors qu'Holder vient de reconnaitre qu'il faut protéger de manière adéquate la sphère privée, il attaque, et de la pire des manières, l'un des moyens qu'a le citoyen de parvenir à protéger effectivement et efficacement sa sphère privée, tant du gouvernement que d'autres personnes. La sphère privée se protège grâce au chiffrement des données, pas au moyen de portes dérobées.
Auparavant, Apple et Google (entre autres) avaient les clés pour ouvrir votre smartphone sur requête des gouvernements. Aujourd'hui, l'utilisateur a les clés de son smartphone. Quoi de plus normal !
Pour revenir à l'abuseur d'enfants, voici dans le désordre ce à quoi les propos abjects d'Eric Holder m'ont fait réfléchir.
Tout d'abord, il ne semble pas avoir pensé que si, par exemple, les communications entre smartphones étaient chiffrées, il serait beaucoup plus compliqué pour d'éventuelles personn es malveillantes d'écouter ces communications et s'en servir pour faire du mal aux enfants.
Ensuite, de supposés abuseurs d'enfants ne sont PAS une problématique qui justifie une surveillance massive et généralisée de tout un chacun.
D'ailleurs, dans le cas d'enlèvements d'enfants, on répète que ce sont les premières 24 à 48 heures qui sont déterminantes et qui permettent souvent de retrouver les enfants. Dans ce genre de situations, ce n'est pas l'accès à un smartphone qui va permettre de retrouver l'enfant, mais un travail d'enquête "classique". D'autant que l'accès, l'analyse des données du smartphone, même non chiffré, va prendre plus de temps que 24 petites heures. Un travail de police classique ramènera un enfant à sa famille. L'analyse du smartphone permettra peut-être, des jours plus tard, de retrouver le corps de l'enfant et le kidnappeur.
Après quoi, et peut-être que je me trompe totalement, mais je doute que des parents choisissent pour leur enfant un monde emprunt de totalitarisme si l'autre choix possible est un potentiel, mais statistiquement faible risque d'abus. Autrement dit, que choisir entre la très forte probabilité de mener une vie dans un État policier qui fournit l'illusion qu'on vit dans une bulle, protégé, ou de vivre plus librement, mais avec un risque minime d'être la victime d'un abuseur ?
Ensuite, je suis convaincu que plus personne n'a confiance en la NSA, le FBI, et les agences nationales de nos pays. Après les éléments révélés par Snowden en 2013, la réponse du berger à la bergère ne s'est pas fait attendre : on nous surveille, on viole nos droits fondamentaux, alors on se protège, on chiffre nos données, on se réapproprie ce qu'on nous avait "secrètement" dérobé. Voilà la conséquence de l'espionnage à grande échelle. L'auteur de cet espionnage vient maintenant pleurnicher qu'il ne peut plus le faire et utilise des arguments fallacieux et sordides pour nous convaincre de faire machine arrière.
Enfin, la panique (compréhensible au vu du changement de paradigme) du gouvernement est due au fait qu'il perd la possibilité de s'adresser directement à quelques sociétés pour obtenir les renseignements dont il a "besoin". Avec ce nouveau système qui se développe, le gouvernement devra s'adresser à un nombre considérablement plus élevé d'interlocuteurs qui seront également beaucoup moins coopératifs, à l'inverse des sociétés comme Google, Microsoft et Apple, quoi qu'elles en disent.
Et c'est une excellente chose. Tant pour les citoyens que pour nos têtes blondes.
In einem detaillierten und ausführlichen Artikel hat das auf Enthüllungen spezialisierte Newsportal The Intercept aufgedeckt, dass die Britischen und Amerikanischen Geheimdienste den holländischen SIM-Karten Hersteller Gemalto gehackt haben.
Das Vorgehen der Geheimdienste ist absolut skrupellos. Es handelt sich bei diesem heimtückischen Angriff keinesfalls um Verteidigungsarbeit; es ist kein gezielter Angriff auf gefährliche Ziele. Es ist ein flächendeckender, verdachtsunabhängiger Angriff auf die Freiheit und Sicherheit von Millionen und Abermillionen Menschen. Ein Angriff, welcher die Vertraulichkeit von Millionen und Abermillionen Verbindungen und Kommunikationen unterwandert. Kommunikation mit der Bank, mit dem Anwalt, mit dem Arzt, mit der Familie.
Die Geschichte hat jedoch für die Schweiz eine zusätzliche Brisanz: Gemalto hat kürzlich angekündigt, die Aarauer Traditionsfirma Trüb AG zu übernehmen. Die Trüb AG stellt unter anderem die Schweizer Identitätskarte her und liefert Komponenten für den Schweizer Pass. Auch wenn die Schweizer Identitätskarte derzeit keine Verschlüsselung beinhaltet, so stellt die Firma Trüb auch elektronische Identitätsausweise für andere Nationen (beispielsweise Nigeria) her. Auch in der Schweiz sind Bestrebungen im Gange, der Bevölkerung eine staatlich ausgegebene eID zugänglich zu machen.
Nach diesen neusten Enthüllungen sollte sich endlich die Erkenntnis durchsetzen, dass die Sicherheit der Bevölkerung für die Geheimdienste höchstens von marginalem Interesse ist. Vielmehr geht es ihnen um Kontrolle und Überwachung. Es ist an der Zeit, dass der Staat den Geheimdiensten Einhalt gebietet und an ihrer Stell ein Institut für zivile Informationssicherheit schafft, welches innovative, freie und offene Sicherheitslösungen für alle Menschen, Unternehmen und Behörden entwickelt, produziert und erklärt. Der Staat würde sich so endlich für, statt gegen, seine Bürger einsetzen.
Dieser Artikel ist ursprünglich bei deutli.ch erschienen.
The proposers argue therefore for the creation of an open forum composed of individuals, companies, lawyers, academics, journalists, and health practitioners, international, governmental and non-governmental organizations, to continue after the CEN Workshop ends. They would share their best practices and how these practices can evolve according to the different dimensions of their activities and the contexts. The objective of such forum (with a broader scope than a CEN Workshop) would thus be to combine the respect of fundamental human rights with the integration of the dynamism of situations and contexts, sharing dynamic go-ahead usages and fostering a positive momentum.