Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

May 27 2013

Privacy Alert #1 : le consentement explicite

Cette analyse fait partie d'une série.

Paris, 28 mai 2013 — Quand vous naviguez sur Internet, pouvez-vous dire qui collecte des informations à votre sujet, quelle est la nature de ces informations et qui peut y avoir accès ? Pouvez-vous contrôler qui peut savoir quoi de vous ? La Commission européenne a proposé de vous en donner le pouvoir, mais le Parlement européen, sous la pression des lobbies de l'industrie, risque de voter autrement.

Avec le développement du commerce des données, le contrôle des citoyens sur leurs données personnelles a progressivement diminué, alors même que leur droit fondamental à la vie privée ne peut être défendu s'ils n'ont pas eux-mêmes les moyens de le protéger. Mais la protection de notre vie privée n'est pas le seul enjeu lié à cette question : ce manque de contrôle entraîne un manque de confiance aux conséquences négatives tant pour la liberté d'expression1 que pour le développement économique des services en ligne2.

Pour faire face à cette situation critique, la Commission européenne propose de donner aux citoyens un véritable contrôle sur leurs données personnelles en établissant un principe clair : que les utilisateurs aient à donner un consentement explicite pour toute collecte, traitement ou échange d'informations les concernant.

L'enjeu

Pour mieux comprendre le sens de la proposition de la Commission européenne, il faut revenir à l'actuelle législation européenne – la directive de 1995 obsolète – qui n'exige pas que le consentement soit donné « explicitement » mais « indubitablement »3. Qu'est-ce qu'un consentement « indubitablement donné » ? Le sens d'une notion si vague « est souvent mal interprété ou simplement ignoré », comme le déplore le groupe de travail « Article 29 »4 – l'organe européen réunissant l'ensemble des autorités nationales européennes de protection des données personnelles.

Un consentement peut être considéré comme « indubitablement donné » lorsqu'une personne informée du traitement de ses données ne s'y oppose pas. Cependant, la législation actuelle n'obligeant pas les entreprises à s'assurer que ces personnes soient effectivement informées, la plupart de ces entreprises ne sont pas vraiment enclines à exposer de façon claire, pratique et visible la nature ou le but des traitements de données qu'elles réalisent.

Par conséquent, les citoyens ignorent la plupart des traitements que leurs données subissent : en pratique, ils ne pourraient pas s'y opposer s'ils le désireraient.

Prenons l'exemple d'Amazon. Lorsque vous consultez un article sur ce site, votre navigation est enregistrée pour vous suggérer des produits similaires :

Recommandations d'Amazon basée sur l'historique de navigation

Bien que la formule « inspirés par votre historique de navigation » vous indique que certaines de vos données personnelles sont traitées, elle n'indique pas qu'Amazon collecte en réalité bien plus de données que la simple liste d'articles que vous avez consultés et, ce même s'il s'agit de votre première visite et que vous n'êtes pas inscrit sur ce site :

Données personnelles collectées par Amazon

Ces informations ne sont accessibles qu'à la toute fin des pages du site Internet :

Lien vers la page Vie Privée de Amazon

Google, quant à lui, ne prend même pas la peine d'indiquer qu'il collecte, stocke et traite l'ensemble des informations liées à toutes vos requêtes et visites de site Internet. Le seul moyen de le savoir est de rechercher puis de lire ses règles de confidentialité :

Données personnelles collectées par Google

La proposition de la Commission

La proposition élaborée par la Commission européenne changerait radicalement cette situation en posant le principe d'un consentement explicite de l'utilisateur. Le consentement des utilisateurs devraient alors être exprimé « par une déclaration ou par un acte positif univoque »5, et ce pour chacune des finalités pour lesquelles une entreprise souhaiterait collecter leurs données. Le « silence informé » ne serait plus considéré comme un consentement valide.

Les entreprises devraient alors activement rechercher le consentement de leurs utilisateurs, assurant ainsi qu'aucune donnée personnelle ne puisse plus être traitée sans que les utilisateurs n'en aient été véritablement et directement informés. Adoptée, cette proposition assurerait que rien ne se passe hors de vue ou de contrôle des utilisateurs.

À cet égard, de bonnes pratiques existent déjà et constituent des exemples concrets de ce que serait un consentement explicitement donné sur Internet. Des navigateurs tels que Firefox et Chrome requièrent déjà votre consentement explicite avant d'envoyer des informations concernant votre géolocalisation à un site Internet.

Consentement à la géolocalisation sous Firefox
Consentement à la géolocalisation sous Firefox. Essayez-le par vous-même en cliquant sur 'Give it a try!' en haut de cette page du site de Mozilla [en].

Ceci permet de garantir que, pour tout traitement, vous êtes réellement informé de la nature des données collectées et, ainsi, que vous puissiez véritablement y consentir. Ensuite, si vous le souhaitez, vous pouvez aussi simplement choisir de « toujours accepter » que le site que vous visitez puisse collecter votre position géographique sans avoir à chaque fois à obtenir votre consentement.

Même si le concept de cette « boîte de requête » est largement perfectible – en ce qu'elle n'indique pas comment vos données seront traitées ni qui pourra y accéder – cela nous montre, au moins, le type de contrôle que nous pourrions exercer si l'exigence d'un consentement explicite était adoptée.

Les recommandations des géants de l'Internet

Le contrôle des utilisateurs semble être problématique pour les géants de l'Internet, dont les bénéfices reposent largement sur la quantité de données personnelles qu'ils collectent. Ils redoutent qu'un plus grand contrôle donné aux utilisateurs amoindrisse les quantités de données qu'ils traitent. Ceci nous montre bien comment notre vie privée est considérée par ces entreprises : si leurs activités respectaient véritablement notre vie privée, pourquoi craindraient-elles que nous n'y consentions pas ? Exiger un consentement explicite ne porterait atteinte qu'aux entreprises qui ne respectent pas notre vie privée. Les autres, en revanche, ne pourraient que bénéficier du gain de confiance résultant du véritable contrôle donné aux utilisateurs.

Google, Facebook, Microsoft, Amazon et eBay ont unanimement demandé aux députés européens de retirer du règlement le consentement explicite6. Leur principal argument est que les utilisateurs « veulent des services Internet qui soient rapides, simples d'accès et efficaces [et que rechercher systématiquement leur consentement explicite] les conduirait à le donner automatiquement, par habitude », « étant surchargés de demandes de consentement » (traduits par nos soins).

Dès lors que rechercher le consentement explicite des utilisateurs est le seul moyen de garantir qu'ils seront veritablement avertis de chacun des traitements réalisés sur leurs données personnelles, ces demandes ne peuvent pas représenter une « surcharge ». Quiconque choisirait de consentir « automatiquement, par habitude », serait tout de même averti de ces traitements, alors que nous ne le sommes que rarement aujourd'hui.

De plus, une fois qu'ils auraient accepté qu'une entreprise puisse traiter certaines de leurs données pour une finalité claire et spécifique, les utilisateurs n'auraient pas à consentir aux nouveaux traitements qui poursuivraient exactement cette même finalité7. Ainsi, déclarer qu'ils seraient « surchargés de demandes de consentement » est simplement faux. En pratique, les utilisateurs n'auraient généralement à consentir, tout au plus, qu'une seule fois : en visitant un site Internet pour la première fois ou en utilisant pour la première fois une nouvelle fonctionnalité de ce site.

Les propositions des députés européens

Malcolm HARBOUR
Malcolm HARBOUR (UK/ECR),
Président de la commission IMCO

Les commissions « consommateurs » (IMCO) et « industrie » (ITRE) ont suivi les recommandations des géants de l'Internet et ont voté contre l'exigence d'un consentement explicite. IMCO a proposé de subordonner cette exigence au « contexte », ce qui est aussi vague et dangereux que d'exiger un consentement « indubitablement donné »8 ; alors que la commission ITRE a suggéré que le consentement ait simplement à être donné « sans équivoque », d'une façon similaire à ce que prévoit déjà la directive de 19959.

Ces deux avis semblent avoir véritablement influencé le débat, de sorte que sept amendements ont été déposés dans la commission « libertés civiles » (LIBE), par dix-sept députés européens, proposant de retirer l'exigence d'un consentement explicite du règlement10. Ce qui démontre que ces membres de LIBE, principalement libéraux et conservateurs, ne souhaitent pas conférer aux utilisateurs le contrôle sur leurs données.

Aujourd'hui, il apparaît que la plupart des députés européens sont opposés au principe d'un consentement explicite, dupés par des centaines de lobbyistes, et ne changeront pas de position si nous ne nous mobilisons pas et n'agissons pas dès maintenant.

Ce que vous pouvez faire

Manifestation anti-ACTA
Manifestation anti-ACTA

Tout d'abord, vous ne devriez utiliser que des logiciels et des services dans lesquels vous pouvez avoir confiance. Préférez des logiciels libres et hébergez vos propres services autant que possible. De nombreux outils, tels que Tor11, DuckDuckGo12 ou des extensions de navigateurs, tels que NoScript ou HTTPS Everywhere, vous permettent de remplacer, contourner ou bloquer certains services Internet essayant de collecter vos données personnelles.

Malheureusement, ces solutions ne suffiront jamais à protéger pleinement votre vie privée en ce qu'elles ne sont pas installées par défaut, demandent un certain effort et sont parfois perçues comme complexes à utiliser. Ainsi, nous devons agir afin de nous assurer que le futur règlement protégera véritablement la vie privée des citoyens européens : appelez ou écrivez à vos représentants dès maintenant – les inquiétudes de leurs électeurs et la défense des libertés fondamentales devraient toujours primer sur les intérêts économiques des géants de l'Internet –, partagez cette analyse, écrivez-en afin de donner votre opinion sur le sujet, parlez-en autour de vous ou inventez quelque chose à base d'image, de vidéo, de son, etc. C'est maintenant que nous devons agir ! Les membres de LIBE des différents groupes politiques ont déjà commencé à chercher des compromis sur ce sujet précis : nous devons les contacter avant qu'ils ne tombent d'accord sur les pires amendements.

Pour plus d'informations et en discuter, vous pouvez vous rendre sur notre forum.

  • 1. L'UNESCO a publié en 2012 une étude mondiale sur le respect de la vie privée sur l'internet et la liberté d'expression [en], qui commence ainsi : « Le droit au respect de la vie privée sous-tend d’autres droits et libertés, dont la liberté d’expression, la liberté d’association et la liberté de conviction. L’aptitude à communiquer anonymement sans que les gouvernements connaissent notre identité, par exemple, a joué historiquement un grand rôle dans la sauvegarde de la libre expression et le renforcement de la responsabilisation politique, les individus étant plus enclins à s’exprimer sur les questions d’intérêt public s’ils peuvent le faire sans crainte de représailles. »
    Ce qui a toujours été vrai pour la surveillance gouvernementale se vérifie probablement aujourd'hui pour la surveillance privée. Pouvons-nous vraiment nous exprimer librement si toute entreprise, ou même toute personne, peut connaître notre identité et quantité d'autres informations sensibles à notre sujet ?

  • 2. Une étude [en] du Boston Consulting Group montre que « la valeur créée par l'identité digitale peut en effet s'avérer considérable : un milliard d'euro en Europe d'ici 2020 [mais] deux tiers de la valeur totale liée à l'identité numérique ne se réalisera pas si les acteurs n'arrivent pas à établir un climat de confiance pour la circulation des données personnelles » (traduit par nos soins).

  • 3. Directive de 1995 :
    Article 2 - Définitions
    Aux fins de la présente directive, on entend par:
    h) «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.
    Article 7
    Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:
    a) la personne concernée a indubitablement donné son consentement

  • 4. Opinion of the Article 29 Data Protection Working Party on the Definition of Consent [en] : « Cet avis est en partie rendu en réponse à une requête de la Commission dans le cadre de la révision en cours de la directive concernant la protection des données personnelles. Elle contient donc des recommandations à prendre en compte dans cette révision. Ces recommandations comprennent :
    (i) clarifier la définition de consentement "indubitablement donné" et expliquer que seul un consentement basé sur des actions ou déclarations faites pour signifier un accord constitue un consentement valable ;
    (ii) exiger que les responsables de traitement mettent en place des mécanismes pour démontrer le consentement (dans le cadre d'une obligation générale de responsabilité) ;
    (iii) ajouter une exigence explicite concernant l'accessibilité et la qualité de l'information sur laquelle se fonde le consentement, et
    (iv) un certain nombre de suggestions concernant les mineurs et autres personnes dépourvues de leur capacité juridique. »

    « La notion de consentement "indubitablement donné" est utile pour mettre en place un système qui, sans être trop rigide, permet une protection forte. Alors qu'il pourrait potentiellement conduire à un système raisonnable, malheureusement, son sens est souvent mal interprété ou simplement ignoré. »

    « La clarification doit se concentrer sur le fait qu'un consentement "indubitablement donné" requiert l'utilisation de mécanismes qui ne laissent aucun doute sur l'intention de la personne concernée de donner son consentement. Cependant, il doit être clair que l'utilisation de paramétrage par défaut exigeant que la personne concernée les modifient afin de signifier son désaccord (un consentement fondé sur le silence) ne peut constituer en soi un consentement "indubitablement donné". Ceci est particulièrement vrai dans l'environnement en ligne. »

    « La position commune 10 du Conseil de 1995 a introduit la définition (actuelle) du consentement. Il a été défini comme "toute indication donnée de façon spécifique, libre et informée de ses souhaits par laquelle la personne concernée signifie son accord au traitement de données personnelles le concernant". La principale modification apportée à la position de la Commission de 1992 ayant été d'effacer le mot "expresse" qui qualifiait le mot "indication". En même temps, le terme "indubitablement" a été rajouté à l'article 7(a) qui devenait ainsi : "la personne concernée a indubitablement donné son consentement". »

    (traduit par nos soins)

  • 5. Proposition de Règlement pour la protection des données
    Article 4 - Définitions
    Aux fins du présent règlement, on entend par:
    8. «consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

  • 6. Lire les recommandations contre le consentement explicite envoyées aux députés européens par les géants de l'Internet [en] sur le wiki de la Quadrature. Vous pouvez également lire bien d'autres documents envoyés par les lobbies [en] aux députés européens, sur d'autres sujets concernant la protection des données personnelles.

  • 7. La Quadrature du Net publiera bientôt une analyse de Privacy Alert abordant précisément ce point.

  • 8. Voir la réaction de La Quadrature du Net au vote de IMCO du 23 janvier.
    Avis de IMCO : amendement 63
    Article 4 - Définitions
    (8) "consentement de la personne concernée": toute manifestation de volonté libre, qui doit être spécifique, informée et aussi explicite que possible selon le contexte, par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, et de manière explicite lorsque les données visées à l'article 9, paragraphe 1, doivent être traitées, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

    (Comment lire un amendement : ajouté au texte initial / supprimé du texte initial)

  • 9. Voir la réaction de La Quadrature du Net au vote de ITRE du 21 février.
    Avis de ITRE : amendement 82
    Article 4 - Définitions
    (8) "consentement de la personne concernée": toute manifestation de volonté, libre, spécifique, informée et explicite sans équivoque par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. Le silence ou l'inaction n'équivalent pas en soi à un consentement;

    (Comment lire un amendement : ajouté au texte initial / supprimé du texte initial)

  • 10. Amendements 757, 758, 760, 762, 764, 765 et 766, déposés en LIBE par :
    Lidia Joanna Geringer de Oedenberg (S&D - Pologne)
    Adina-Ioana Vălean (ALDE - Roumanie)
    Jens Rohde (ALDE - Danemark)
    Louis Michel (ALDE - Belgique)
    Sarah Ludford (ALDE - Royaume-Uni)
    Charles Tannock (ECR - Royaume-Uni)
    Timothy Kirkhope (ECR - Royaume-Uni)
    Axel Voss (EPP - Allemagne)
    Seán Kelly (EPP - Irlande)
    Wim van de Camp (EPP - Pays-Bas)
    Hubert Pirker (EPP - Autriche)
    Monika Hohlmeier (EPP - Allemagne)
    Georgios Papanikolaou (EPP - Grèce)
    Véronique Mathieu Houillon (EPP - France)
    Anna Maria Corazza Bildt (EPP - Suède)
    Agustín Díaz de Mera García Consuegra (EPP - Espagne)
    Teresa Jiménez-Becerril Barrio (EPP - Espagne)

  • 11. Tor est un logiciel libre et un réseau ouvert qui vous aide à vous protéger d'une forme de surveillance du réseau, telle que l'analyse du trafic réalisée par certains gouvernements, menaçant nos libertés individuelles et notre vie privée.

  • 12. DuckDuckGo est un moteur de recherche utilisant des informations récoltées sur des sites web participatifs, tel que Wikipédia, afin de répondre à vos requêtes. Le moteur de recherche déclare protéger votre vie privée et ne pas enregistrer d'information vous concernant.

May 22 2013

Privacy Alert #1: Explicit Consent, the Cornerstone

This analysis is a part of a series.

Paris, 22 May 2013 — When you are browsing the web, can you say who collects information about you, what is the nature of that information and who may access it? Can you control who may know what about you? The European Commission intended to give you the power to do so, but European Parliament may vote otherwise, under pressure by corporate lobbies.

With the development of the data industry, citizens' control over their personal information has progressively decreased, while their fundamental right to privacy cannot be respected if they do not have proper legal instruments to protect their privacy themselves. But protection of privacy is not the only issue: this lack of control leads to a lack of trust that already damages both freedom of expression1 and growth of Internet services2.

To address this critical situation, the EU Commission proposes to give citizens actual control over their personal data by setting a simple principle: users must give their explicit consent for each collection, processing or trading of information related to them.

The issue

To better understand the sense of the European Commission Proposal, let's go back to the current European legislation – the outdated 1995 Directive – where consent does not have to be “explicit” but merely “unambiguous”3. What is an “unambuguous consent”? The meaning of such a vague definition “is often misunderstood or simply ignored”, as deplored by the Article 29 Working Party4, a European body gathering the data protection authorities of each Member State. An “unambiguous consent” can be considered as given when users, informed of the processing of their personal data, do not oppose it. However, since the current legal framework does not force companies to ensure users are effectively informed, most companies are not particularly enthusiastic about disclosing what data they collect, for what purpose, in a visible, accessible and handy way.

As a result, users are not aware of most of the processing their personal data undergo: in practice, would they want to, they would not be able to oppose such processing.

Take Amazon for instance. When you look at an item on its website, your visit is saved by the company in order to suggest you similar products:

Amazon recommendation based on browsing history

Although the caption “recommended based on your browsing history” shows an undergoing processing of some of your personal data, you don't know that Amazon is collecting in fact much more data than your viewed items, even if it is your very first visit and you are therefore not even logged in:

Personal data collected by Amazon

This information is only accessible on the very bottom of the website's pages:

Link to the Amazon Privacy Notice

As for Google, it does not indicate at all that it collects, stores and processes information on whatever request you make or website you visit. You can only know that by looking for Google's privacy policy page:

Personal data collected by Google

The Commission's Proposal

The Proposal made by the European Commission would radically change this situation by introducing the principle of user's explicit consent. This would require citizens' consent to be expressed “either by a statement or by a clear affirmative action”5, and for each and every purpose companies intend to collect their data. “Informed silence” could not be considered as consent anymore. Companies shall then have to actively seek users' consent, which means no personal data could be processed until users have been really and directly informed. If adopted, the Proposal would ensure that nothing happens out of users' sight and control.

To that respect, some good practices already exist and may provide clear examples of what “explicit consent” can be on the Internet. Web browsers such as Firefox and Chrome already require your explicit consent before sending information on your geographic location to a given website.

Consent request on Firefox for geolocation
Consent request on Firefox. Try it yourself by clicking on 'Give it a try!' on the top of this Mozilla page.

This ensures that, for every processing, you are really informed on what is collected and, thus, have truly given your consent. Then, if you want, you can also simply choose to “always agree” that the website you are visiting may collect your geographic location again without having to ask for your consent.

Even if the concept of that “request box” is largely perfectible – as it does not indicate how your data will be used and who may access them – it shows, at least, the kind of control we would have over our data if the explicit consent requirement was adopted.

Internet giants' recommendations

Users' control seems to be problematic for Internet giants whose profits largely depend on the amount of personal data they collect. They dread a greater control by users, which for them would equate with less data processed. It also shows how these companies deal with our privacy: if their activity was really respectful of our private life, why should they fear us not giving our consent? Requiring an explicit consent would only harm those businesses which do not respect our privacy. The other ones, by contrast, could only capitalize the gain of confidence resulted from a real users' control.

Google, Facebook, Microsoft, Amazon and eBay unanimously asked MEPs to withdraw explicit consent from the Regulation6. Their main argument is that users “demand Internet services that are fast, easy-to-use and efficient [therefore, systematically requiring an explicit consent would] lead users to opt in as a matter of routine”, “as a consequence of consumers being overloaded with consent requests”.

But, since asking for their consent is the only way to guarantee users are truly warned of every processing their personal data undergo, there can not be too many consent requests. Whoever opts in “as a matter of routine” would still be warned of processing while we currently rarely are.

In addition, once they have agreed that a website may process some of their data for a specific and clear purpose, users would not have to consent to further processing pursuing the exact same purpose7. Thus, stating that consumers would be “overloaded with consent requests” is simply wrong. In practice, users may generally only be asked once, if any, when visiting a website for the first time, and/or when using new features and functionnalities of the service for the first time.

MEPs' proposals

Malcolm HARBOUR
Malcolm HARBOUR (UK/ECR),
Chair of the IMCO Committee

The “Consumer Protection” (IMCO) and the “Industry” (ITRE) Committees have followed Internet giants' recommendations and voted against the explicit consent requirement. IMCO proposed to make consent's explicitness dependent on “the context”, which is as vague and dangerous as requiring an “unambiguous” consent8; while ITRE Committee simply proposed to keep the same “unambiguous consent” required by the 1995 Directive9.

Those two opinions seem to have had a major impact on the debate since seven amendments have been tabled in the The “Civil Liberties” (LIBE) Committee, by seventeen MEPs, to propose the withdrawal of the explicit consent requirement from the Regulation10. Which proves those LIBE members, mainly liberals and conservatives, do not want to give users control over their data.

Today, it appears that most of MEPs are against the explicit consent principle, deceived by hundreds of lobbyists, and will not change their mind unless we do mobilize and act now.

What you can do

Manifestation anti-ACTA
Manifestation anti-ACTA

First of all, you should use only software and services you can trust. Choose free-as-free-speech software, and host your own services as much as possible. Many tools, such Tor11, DuckDuckGo12, or browser add-ons such as NoScript or HTTPS Everywhere, allow you to replace, circumvent and block Internet services trying to collect your personal data.

Unfortunately, these solutions will never be enough to fully protect your privacy, as they are not installed by default, require effort, and are sometimes perceived as complex to use. So, we have to act to ensure real protection of citizens' privacy on the future regulation: write or call your representatives now – their voters' concerns and defense of fundamental freedoms should always weigh more than Internet giants' economic interest –, share this article, write some about your thoughts on data protection, talk about it around you, or invent something else using images, video, sound, etc. Now is time to Act! The LIBE members of different political groups have already started seeking compromises on this very issue: we must contact them before they agree on the worst amendments.

  • 1. The UNESCO published in 2012 a "Global survey on Internet privacy and freedom of expression", which starts by: “The right to privacy underpins other rights and freedoms, including freedom of expression, association and belief. The ability to communicate anonymously without governments knowing our identity, for instance, has historically played an important role in safeguarding free expression and strengthening political accountability, with people more likely to speak out on issues of public interest if they can do so without fear of reprisal.”

    What has always been true about governments' surveillance may now stand for private surveillance. May people really speak freely if any company, or anyone, can know who they are or access any other sensitive information related to them?

  • 2. A report by the Boston Consulting Group showed that “the value created through digital identity can indeed be massive: €1 trillion in Europe by 2020 [but that] two-thirds of digital identity’s total value potential stands to be lost if stakeholders fail to establish a trusted flow of personal data”.
  • 3. 1995 Directive:
    Article 2 - Definitions
    (h) 'the data subject's consent' shall mean any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed.
    Article 7
    Member States shall provide that personal data may be processed only if:
    (a) the data subject has unambiguously given his consent; or [...]
  • 4. Opinion of the Article 29 Data Protection Working Party on the Definition of Consent (2011):
    'This Opinion is partly issued in response to a request from the Commission in the context of the ongoing review of the Data Protection Directive. It therefore contains recommendations for consideration in the review. Those recommendations include:
    (i) clarifying the meaning of “unambiguous” consent and explaining that only consent that is based on statements or actions to signify agreement constitutes valid consent;
    (ii) requiring data controllers to put in place mechanisms to demonstrate consent (within a general accountability obligation);
    (iii) adding an explicit requirement regarding the quality and accessibility of the information forming the basis for consent, and
    (iv) a number of suggestions regarding minors and others lacking legal capacity.'
    'The notion of unambiguous consent is helpful for setting up a system that is not overly rigid but provides strong protection. While it has the potential to lead to a reasonable system, unfortunately, its meaning is often misunderstood or simply ignored.'
    'Clarification should aim at emphasizing that unambiguous consent requires the use of mechanisms that leave no doubt of the data subject’s intention to consent. At the same time it should be made clear that the use of default options which the data subject is required to modify in order to reject the processing (consent based on silence) does not in itself constitute unambiguous consent. This is especially true in the on-line environment.'
    'The Council Common Position10 in 1995 introduced the final (today's) definition of consent. It was defined as "any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed". The main change from the 1992 Commission position involved deleting the word "express" that had preceded the word "indication". At the same time, the word "unambiguous" was added to Article 7(a), so it reads as follows: "if the data subject has given his consent unambiguously".'
  • 5. Data Protection Proposal Regulation
    Article 4 - Definitions
    8. 'the data subject's consent' means any freely given specific, informed and explicit indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed.
  • 6. Read internet giant's recommendations send to MEPs against explicit consent on La Quadrature's wiki. You may also read many other documents send by lobbies to MEPs about this Regulation.
  • 7. La Quadrature du Net will publish a dedicated Privacy Alert on this very subject.
  • 8. Read our reaction to the 23 January IMCO's vote.
    IMCO's opinion: amendment 63
    Article 4 - Definitions
    8. ‘the data subject's consent’ means any freely given indication that must be specific, informed and as explicit as possible according to the context, of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, explicitly whenever the data referred to in Article 9(1) are to be processed, signifies agreement to personal data relating to them being processed;

    (How to read an amendment: added to the initial text / deleted from the initial text)
  • 9. Read our reaction to the 21 February ITRE's vote.
    ITRE's opinion: amendment 82
    Article 4 - Definitions
    (8) ‘the data subject's consent’ means any freely given specific, informed and explicit unambiguous indication of his or her wishes by which the data subject , either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed. Silence or inactivity does not in itself indicate consent ;

    (How to read an amendment: added to the initial text / deleted from the initial text)
  • 10. Amendments 757, 758, 760, 762, 764, 765 & 766, tabled in LIBE by:
    Lidia Joanna Geringer de Oedenberg (S&D - Poland)
    Adina-Ioana Vălean (ALDE - Romania)
    Jens Rohde (ALDE - Denmark)
    Louis Michel (ALDE - Belgium)
    Sarah Ludford (ALDE - United Kingdom)
    Charles Tannock (ECR - United Kingdom)
    Timothy Kirkhope (ECR - United Kingdom)
    Axel Voss (EPP - Germany)
    Seán Kelly (EPP - Ireland)
    Wim van de Camp (EPP - Netherlands)
    Hubert Pirker (EPP - Austria)
    Monika Hohlmeier (EPP - Germany)
    Georgios Papanikolaou (EPP - Greece)
    Véronique Mathieu Houillon (EPP - France)
    Anna Maria Corazza Bildt (EPP - Sweden)
    Agustín Díaz de Mera García Consuegra (EPP - Spain)
    Teresa Jiménez-Becerril Barrio (EPP - Spain)
  • 11. Tor is a free software and an open network that helps you protect yourself against a form of network surveillance that threatens personal freedom and privacy, confidential business activities and relationships, and state security known as traffic analysis.
  • 12. DuckDuckGo is an Internet search engine that uses information from crowdsourced websites such as Wikipedia to obtain its results. The search engine policy says that it protects privacy, and does not record user information.

May 07 2013

Privacy Alert: #0 Introduction

Paris, 7 May 2013 — For more than a year, the EU Parliament have been examining the Proposal for a Regulation of the EU Commission aimed at reforming the European data protection legal framework. Until now, the parliamentary committees examining the Proposal have so far proposed to restrict the protections of our fundamental right to privacy. As a crucial vote is approaching1 in the “Civil Liberties” (LIBE) Committee, La Quadrature du Net launches a series of analysis dealing with key points, stakes, development and threats of the reform.

Viviane Reding
Viviane Reding

In the face of the development of dangerous practices to the detriment of our privacy, in January 2012, the EU Commission introduced a Proposal for a Regulation – meant to reform the 1995 Directive – intended to supervise collection, processing and trade of European citizens' personal data. This Regulation, which should come into force in 2015, will be immediately enforceable in all EU Members States and will replace every current national law relating to this matter2. As proposed by Viviane Reding, Commissioner for Justice, Fundamental Rights and Citizenship, it could constitute a real advance for the protection of our privacy.

If the Regulation was adopted as it stands, it would;

  • allow to significantly strengthen citizens' rights, businesses' obligations and powers of supervisory authorities, such as the CNIL3 in France;
  • define a wider scope for this legal framework, which would apply to any companies – regardless of its geographical location – monitoring the behavior of European citizens or offering them goods or services.

An unprecedented lobbying campaign

In response to the proposal of the EU Commission, powerful companies, mainly based in United States (banks, insurances and Internet services), have led an unprecedented lobbying campaign4. Their goal is to make withdraw from the final version of the Regulation those proposals aimed at protecting citizens' personal data. As the Internet website LobbyPlag has clearly showed, some key MEPs have directly cut and pasted those requests made by US lobbies in their amendments.

Lobbyplag

Four committees5 of the EU Parliament have already given their opinion about modification to be made to the Proposal. Directly influenced by lobbies, they have all voted to weaken of the data protection legal framework and to limit companies' obligations with regards to the personal data they collect.

However, those opinions have a mere consultative value, which means the situation can still be reversed. The amendments the EU Parliament will adopt during the plenary session at the end of the year shall be previously adopted by the MEPs sitting in “Civil Liberties” (LIBE) Committee during a voting session which should likely take place before the end of June.

Act now!

Before this vote, we have to make certain that LIBE MEPs will not break under lobby pressure, like their colleagues in committees for opinion. We need guarantees regarding the efficient implementation of the regulation and on the other good points proposed by the EU Commission, rather than shattering them. As from now and until the vote, EU citizens must contact their MEPs to lay claim to a real protection of their fundamental right to privacy. As the ACTA rejection demonstrated last summer, citizens' calls for protecting the general interest rather than the private interest of the few can be heard by MEPs, as long as the citizen mobilization is significant, sustained and relayed enough.

In order to allow everyone to seize the stakes and key points of the debate, La Quadrature du Net is starting the release of a series of analysis focused on the major aspects of the Proposal. Each analysis will illustrate how the proposals made by the EU Commission would represent a real improvement of the current legal framework, why big companies are opposing to them and what positions MEPs set so far.

To get more information and discuss this, you can visit our forum.



Privacy Alert: #1 Explicit consent

The first analysis (coming soon) of the series will address the “explicit consent” issue and its importance for the control over our personal data.

  • 1. The LIBE committee vote was scheduled for 29-30 May but should finally take place before the end of June.
  • 2. The European Commission is the European Union institution detaining the right of legislative initiative. The European Parliament and the Council of the EU (composed by ministers of each Member State) can amend the legislation proposed by the Commission, which may come into force if they manage to agree on a text.

    Two kind of legislative acts can be adopted through this process: directives, setting principles and purposes each Member State must implement into its national law, and that may require to pass a new law; or regulations, which are immediately enforceable in all Member States simultaneously.

    The choice of a Regulation seems to be the better one to regulate personal data flow on Internet which is cross-border by nature. Indeed, the current European law – the 1995 directive – suffers from disparate implementations and interpretations among Member States, which some companies are playing on.

  • 3. The Commission Nationale de l'Informatique et des Libertés (National Committee for Information Technologies and Liberties) is a French independent administrative authority. It is in charge of monitoring Internet for online services to be at citizens' service and they do not threaten neither human identity, nor privacy, nor individual and public liberties, nor any other Human Rights.
  • 4. See La Quadrature's wiki page listing many documents sent to MEPs by private companies.
  • 5. Before voting in plenary session, MEPs work within committees, each dealing with specific issues (civil liberties, employment, agriculture…) and gathering a few dozen of MEPs. Those committees examine legislative bills proposed by the EU Commission and table amendments the whole Parliament votes during the plenary session.

    The “Consumer” (IMCO), “Employment” (EMPL), “Industrie” (ITRE) and “Legal Affairs” (JURI) Committees have all proposed amendments to the “Civil Liberties” (LIBE) Committee, which is in charge of drafting the report the Parliament will vote on.

    Visit La Quadrature's wiki for a precise analysis of the most dangerous amendments proposed by those committees: IMCO; ITRE; JURI.

May 06 2013

Privacy Alert : #0 Introduction

Paris, 7 mai 2013 — Depuis plus d'un an, le Parlement européen étudie la proposition de règlement de la Commission européenne qui vise à réformer la législation encadrant la protection des données personnelles au niveau européen. Jusqu'à présent, les différentes commissions parlementaires ayant travaillé sur ce projet se sont exprimées pour l'assouplissement des règles protégeant notre vie privée. Alors qu'un vote crucial approche1 au sein de la commission « libertés civiles » (LIBE), La Quadrature du Net commence la publication d'une série d'analyses abordant les points clefs, enjeux, progrès et dangers de cette réforme.

Viviane Reding
Viviane Reding

Face au développement de pratiques dangereuses pour notre vie privée de la part d'entreprises peu scrupuleuses, et afin d'encadrer la collecte, le traitement, et la vente des données personnelles des citoyens européens, la Commission européenne a présenté en janvier 2012 une proposition de règlement destinée à réformer la législation en vigueur, datant de 1995. Ce règlement, qui devrait entrer en vigueur en 2015, sera directement applicable dans l'ensemble des États membres de l'Union européenne et se substituera immédiatement à toutes les lois nationales existantes en la matière2. Tel que proposé par Viviane Reding, commissaire à la Justice, aux Droits fondamentaux et à la Citoyenneté, il pourrait constituer une réelle avancée pour la protection de notre vie privée.

Adopté en l'état, le règlement permettrait de :

  • renforcer considérablement les droits des citoyens, les obligations des entreprises et les pouvoirs conférés aux autorités de contrôle, à l'instar de la CNIL3 en France ;
  • définir plus largement la portée de ce cadre légal afin de couvrir les activités de toute entreprise – quelque soit sa situation géographique – analysant les comportements des citoyens européens ou leur proposant des biens ou des services.

Une campagne de lobbying sans précédent

En réponse à la proposition de la Commission, de puissantes entreprises, principalement américaines (banques, assurances et services Internet), ont mené une campagne de lobbying sans précédent4 afin de faire exclure de la version finale du règlement les propositions destinées à protéger les données personnelles des citoyens. Comme l'a clairement démontré le site Internet LobbyPlag, certains députés européens clés ont ainsi recopié mot pour mot les demandes des lobbies dans leurs propositions d'amendements.

Lobbyplag

Quatre commissions5 du Parlement européen ont déjà exprimé leur avis sur les modifications à apporter à la proposition de la Commission. Directement influencées par les lobbies, elles se sont chaque fois exprimées en faveur de l'affaiblissement du cadre législatif protégeant la vie privée des citoyens européens et de la réduction des responsabilités incombant aux entreprises.

Ces avis n'ont cependant qu'une valeur consultative, et la situation peut encore être renversée : la liste des amendements que le Parlement européen dans son ensemble pourra adopter lors de la première lecture du texte, prévue pour la fin de l'année 2013, doit être adoptée par la commission « libertés civiles » (LIBE) lors d'un vote devant avoir lieu avant la fin du mois de juin.

Agissons !

Avant ce vote, nous devons nous assurer que ces députés ne céderont pas aux pressions des lobbies, comme ont pu le faire ceux des commissions ayant déjà exprimé leur avis, mais qu'ils garantiront une mise en œuvre efficace des avancées proposées par la Commission. Dès à présent et jusqu'au moment du vote, les citoyens doivent contacter leurs députés européens et réclamer une réelle protection de leur droit fondamental à la vie privée. Comme l'a démontré le rejet d'ACTA l'été dernier, les appels des citoyens à protéger l'intérêt général plutôt que les intérêts privés de quelques uns peuvent être entendus par les élus, à condition que cette mobilisation citoyenne soit suffisamment importante, soutenue et relayée.

Pour permettre à tous de s'approprier les enjeux et points clés de ce débat, La Quadrature du Net démarre la publication d'une série d'analyses présentant les principaux aspects du projet de règlement. Chacune abordera les avancées que pourraient constituer les propositions de la Commission, les raisons pour lesquelles les lobbies de l'industrie s'y opposent et les positions exprimées par les députés européens jusqu'à présent.

Pour plus d'informations et en discuter, vous pouvez vous rendre sur notre forum.

 



Privacy Alert : #1 Le consentement explicite

La première analyse (à venir) de cette série abordera la question du « consentement explicite » et son rôle central dans le contrôle de nos données personnelles.

  • 1. Le vote de la commission LIBE était initialement prévu pour les 29-30 mai, mais devrait finalement avoir lieu au mois de juin.
  • 2. La Commission européenne est l'institution disposant de l'initiative législative au niveau européen. Le Parlement européen et le Conseil de l'Union européenne (formé de ministres des différents États membres) peuvent amender les textes législatifs proposés par la Commission jusqu'à arriver à un accord sur le texte à adopter, qui entrera alors en vigueur, ou à le rejeter.
    Au terme de ce processus, deux types d'actes législatifs peuvent être adoptés : une directive, qui pose des objectifs et des principes que chaque État membre devra intégrer dans son droit national, quitte à adopter une loi nouvelle ; ou un règlement, qui s'appliquera directement à l'ensemble des États membres.
    Le choix du règlement semble particulièrement adapté pour contrôler la circulation des données personnelles sur Internet, qui est par essence transfrontalière. L'actuelle réglementation européenne en la matière – la directive de 1995 – pâti, entre autres, d'une transposition et d'une interprétation hétérogènes au sein des différents pays membres de l'Union européenne, dont certaines entreprises peu respectueuses de la vie privée profitent.
  • 3. La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni à la vie privée, ni aux libertés individuelles ou publiques, ni à aucun autre droit de l’Homme. (Source)
  • 4. Voir la page du wiki de La Quadrature [en] recensant un grand nombre des documents envoyés aux députés européens par des entreprises privées.
  • 5. Avant de voter en formation plénière, les députés du Parlement européen travaillent au sein de commissions parlementaires, chacune chargée de thèmes différents (libertés civiles, emploi, agriculture, etc) et composées de quelques dizaines de membres. Ces commissions parlementaires étudient les propositions législatives faites par la Commission européenne et proposent les amendements que l'ensemble du Parlement européen votera lors des sessions plénières.
    Les commissions « consommateurs » (IMCO), « emploi » (EMPL), « industrie » (ITRE) et « affaires juridiques » (JURI) ont chacune proposé des amendements à la commission « libertés civiles » (LIBE), chargée de rédiger le rapport destiné à l'ensemble du Parlement.
    Voir le wiki de La Quadrature pour une analyse détaillée des amendements les plus dangereux proposés par chaque commission : pour IMCO [en] ; pour ITRE [en] ; pour JURI [en].

January 18 2013

EU-Datenschutzreform: Was gilt für Polizei und Justiz?

Die Debatte zur EU-Datenschutzreform kreist bisher vor allem um Facebook und Google.

Weiterlesen

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl