15 août 2013

GPEN: résultats de l'action commune visant les politiques de confidentialité

En mai dernier, plusieurs autorités de protection des renseignements personnels, membres du Global Privacy Enforcement Network (GPEN), ont participé à une action commune visant les politiques de confidentialité (billet). 

Cette opération visait à "apprécier la qualité de l'information délivrée aux personnes quant aux conditions de traitement de leurs données personnelles" (Source: CNIL, 13 août 2013), elle "ne constituait pas une enquête, et [elle] ne visait pas non plus à relever de façon concluante les problèmes liés à la conformité ou les infractions aux lois. Les participants au ratissage cherchaient plutôt à reproduire l'expérience vécue par les consommateurs en naviguant quelques minutes sur chaque site et en vérifiant la conformité du site en fonction d'un ensemble d'indicateurs communs" (CPVPC, Communiqué du 13 août 2013). C'est dans cette optique que 2180 sites Internet ou application mobiles ont fait l'objet de ce ratissage international d'internet ou Internet Sweep day. 


Les résultats de cette action commune viennent d'être publiés et on peut notamment lire que: 
  • cette opération "a mis en lumière des lacunes quant à la façon dont certaines organisations présentes en ligne fournissent de l'information sur leurs pratiques de protection de la vie privée (Source: CPVPC, Communiqué du 13 août 2013);
  • "plus de 20 % des sites Internet et application mobiles audités ne fournissent aucune information à leurs visiteurs quant à la politique de protection des données suivie, alors même que ces sites ou applications collectent des données personnelles" (Source: CNIL, 13 août 2013);
  • "lorsque ces politiques de protection des données existent, elles sont parfois trop généralistes ou, à l'inverse, trop focalisées sur un seul aspect technique, comme par exemple celui des "cookies". Dans les deux cas, les informations délivrées ne mentionnent pas certains éléments essentiels comme les finalités poursuivies par la collecte des données, l'existence ou non d'un transfert de ces données vers des tiers ou encore l'existence de droits au bénéfice des personnes dont les données sont traitées" (Source: CNIL, 13 août 2013);
  • "les participants ont trouvé trop de sites Web sur lesquels aucune politique de confidentialité n'apparaissait; des préoccupations relatives à la pertinence des renseignements fournis ont été soulevées pour le tiers des politiques examinées; des préoccupations ont été soulevées en ce qui concerne la clarté d'environ 33% des politiques de confidentialité examinées; les politiques de confidentialité relatives aux applications pour appareils mobiles accusaient un retard par rapport à celles qui figuraient sur les sites Web traditionnels" (Source: CPVPC, Document d'information, 13 août 2013);
  • "Many policies were complex, making it difficult for most people to understand what they are signing up to [but at the same time] we did see some instances where organisations provided both a simplified and full policy to assist their customers to understand what will happen to their personal information. This attempt to use 'layered' privacy policies is encouraging" (Source: OAIC,Media Release August 14 2013)
  • "The websites that collect information from people need to be less defensive and become more pro-active in shifting the emphasis on informing consumers about their information, why it is necessary to collect it and how it will be protected" (Source: PCNZ, News, August 14, 2013).
En plus de ces résultats, il convient de préciser que certaines pratiques exemplaires ont été observées par les autorités de protection des renseignements personnels, à savoir que: 
"Beaucoup d'organisations disposaient d'une politique de confidentialité qui était facile à trouver et à lire, et qui contenait de l'information sur la protection de la vie privée utile pour le consommateur, ce qui montre qu'il est possible d'élaborer des politiques de confidentialité transparentes.
Bon nombre décrivaient comment les renseignements étaient recueillis, à quelles fins ils étaient utilisés et à qui ils étaient communiqués.
Certains des meilleurs exemples repérés pendant le ratissage étaient des politiques qui tentaient de présenter l’information d’une façon facile à comprendre et à lire pour le consommateur moyen, notamment grâce à l’utilisation d’un langage simple, d’explications claires et concises, d’en-têtes, de paragraphes courts, de FAQ et de tableaux.
La majorité des organisations (80 %) avaient inclus dans leur politique de confidentialité, à l'intention des particuliers, les coordonnées d'une personne-ressource responsable des pratiques de l'organisation dans ce domaine. Le fait de fournir plus d’un moyen pour communiquer avec la personne-ressource (p. ex., une adresse postale, un numéro sans frais ou une adresse de courrier électronique) est une bonne façon de veiller à ce que les particuliers puissent communiquer facilement avec l’organisation au sujet de ses pratiques de protection de la vie privée.
Certaines organisations ne se sont pas contentées de fournir un lien vers la politique déjà affichée sur leur site Web et ont adapté leur politique de confidentialité à leurs applications et à leurs sites destinés aux utilisateurs d’appareils mobiles. Reconnaissant qu’il peut être difficile d’expliquer des pratiques en matière de protection de la vie privée sur une plateforme mobile dotée d’un petit écran, nous encourageons les organisations à trouver des façons novatrices de communiquer leur politique de confidentialité aux utilisateurs d’appareils mobiles."
 En ce qui a trait aux suites de cette opération, on peut lire que "la CNIL, comme plusieurs de ses homologues, a décidé de se rapprocher de certains des sites présentant des manquements à la loi "informatique et libertés" afin que ceux-ci améliorent l'information fournie aux personnes dont elles collectent des données. À défaut, les procédures contraignantes prévues par la loi pourront être utilisées par la CNIL" (Source: CNIL, 13 août 2013)

À suivre donc. 

Pour aller plus loin, voir notamment: 

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.