PROTECT_U: Un système communautaire pour la protection des usagers de Facebook

Article publié dans le journal « Journal of Information Security Research ». March 2012.

Plateforme pour se protéger tant de soi-même que de ses "amis" sur Facebook

Les réseaux sociaux accueillent chaque jour des millions d’utilisateurs. Les usagers de ces réseaux, qu’ils soient des particuliers ou des entreprises, sont directement affectés par leur fulgurante expansion. Certains ont même développé une certaine dépendance à l’usage des réseaux sociaux allant même jusqu’à transformer leurs habitudes de vie de tous les jours. Cependant, cet engouement pour les réseaux sociaux n’est pas sans danger. Il va de soi que leur expansion favorise et sert également l’expansion des attaques en ligne. Les réseaux sociaux constituent une opportunité idéale pour les délinquants et les fraudeurs de porter préjudice aux usagers. Ils ont accès à des millions de victimes potentielles. Les menaces qui proviennent des amis et auxquelles font face les utilisateurs de réseaux sociaux sont nombreuses. On peut citer, à titre d’exemple, la cyberintimidation, les fraudes, le harcèlement criminel, la menace, l’incitation au suicide, la diffusion de contenu compromettant, la promotion de la haine, l’atteinte morale et physique, etc. Il y a aussi un « ami très proche » qui peut être très menaçant sur les réseaux sociaux : soi-même. Lorsqu’un utilisateur divulgue trop d’informations sur lui-même, il contribue sans le vouloir à attirer vers lui les arnaqueurs qui sont à la recherche continue d’une proie. On présente dans cette thèse une nouvelle approche pour protéger les utilisateurs de Facebook. On a créé une plateforme basée sur deux systèmes : Protect_U et Protect_UFF. Le premier système permet de protéger les utilisateurs d’eux-mêmes en analysant le contenu de leurs profils et en leur proposant un ensemble de recommandations dans le but de leur faire réduire la publication d’informations privées. Le second système vise à protéger les utilisateurs de leurs « amis » dont les profils présentent des symptômes alarmants (psychopathes, fraudeurs, criminels, etc.) en tenant compte essentiellement de trois paramètres principaux : le narcissisme, le manque d’émotions et le comportement agressif.

Le dépôt électronique pour les cours au Canada (une idée qui arrive à point nommé) : une réponse à un document de travail publié par la Cour suprême du Canada recommandant des stratégies pour choisir un FSDE

"Ce texte se veut une réflexion sur les points à considérer avant l'adoption d'un système de dépôt électronique accessible à toutes les cours du Canada. En prenant pour exemple l'expérience torontoise, l'auteur souligne une série d'éléments à considérer avant la mise en œuvre d'un tel processus, à savoir : La nécessité de tenir compte des coûts associés à la formation des avocats, des juges, ainsi que du personnel juridique; L'attachement au document "" papier "" et le manque d'unanimité quant à la valeur du document électronique; et L'impact négatif que peut avoir l'informatisation des données sur la vie privée des contribuables. L'auteur conclu en ventant l'aspect centralisé du projet de dépôt électronique proposé par la Cour suprême en soulignant toutefois qu'un tel projet devra nécessairement évaluer les besoins des utilisateurs du système afin d'en tenir compte lors de sa conception."

The right to be forgotten under European Law: a Constitutional debate

Cet article met en lumière la perspective européenne sur un des plus importants défis que l’Internet et le Web 2.0 présente pour la vie privée et le droit à la protection des données. L’auteur y soulève des problématiques liées à la mémoire numérique et distingue à partir de plusieurs cas où les individus seraient intéressés de réclamer l'oubli tant dans les réseaux sociaux, les journaux officiels des gouvernements et dans les bibliothèques médiatiques numériques. Il trace l’histoire de l’identification du droit à l’oubli dont les fondements ont été définis par les agences françaises, italiennes et espagnoles de protection des données. En conclusion, il pose son regard sur un nouveau cadre européen de la protection des données comprenant le droit individuel à voir leurs données supprimées lorsqu’elles ne sont plus nécessaires à des fins légitimes.

Le statut juridique du courriel au Canada et aux États-Unis

Cet article aborde le degré de protection en matière de vie privée accordé au courrier électronique par les tribunaux nord-américains. L’auteur dresse un portrait général de la jurisprudence canadienne et américaine actuellement disponible en la matière, en concentrant ses propos sur l’expectative de vie privée des employés ainsi que sur les droits de l’employeur d’accéder à leurs courriels dans un contexte de relations de travail. Alors que les tribunaux canadiens abordent la problématique en procédant par analogie, c’est-à-dire par comparaison du courriel avec des modes de communication plus traditionnels (i.e. le téléphone et le courrier), les tribunaux américains font une analyse interprétative du 4ème amendement de la constitution des États-Unis et des droits statutaires accordés par l’Electronic Communications Privacy Act de 1986 et le Privacy Protection Act de 1986. L’auteur précise que les dispositions législatives actuelles présentent d’importantes lacunes rendant difficile leur application aux courriels.

Le respect de la vie privée et les inforoutes en République Démocratique du Congo

Le respect  de la vie privée est garanti dans presque tous les pays du monde, dont la République Démocratique du Congo. Les textes juridiques internes et internationaux qui assurent la protection de la vie privée ont généralement été édictés à une époque où l'on ne pouvait tenir compte de l’avènement des inforoutes. Cet article tend à rechercher, autant que faire se peut, les divers formes de violations de la vie privée pouvant être commises sur les réseaux numériques et les mécanismes de protection y relatifs. Sont abordées, en premier lieu, les violations effectuées par les pouvoirs publics. Nombreuses sont les atteintes à la vie privée autorisées par les normes juridiques étatiques pour raison de sécurité publique. Il en est ainsi des perquisitions électroniques, des visites de lieux et des saisies opérées par des agents des services étatiques porteurs des titres réguliers et dans le strict respect tant de la procédure que des lois. Toutefois, il arrive que les agents d'État débordent le cadre de l’objet de leur mission ou agissent sans titre régulier. Du côté des atteinte perpétrées par les personnes privées, l'on pourra citer, à titre indicatif, la commission des délits de presse et la violation du secret professionnel, la prise de connaissance ou la soustraction frauduleuse des données à caractère personnel. Ces atteintes procèdent de divers fondements, parmi lesquels on retrouvera les conceptions libertaires, les intérêts égoïstes, l’ignorance des législations étrangères, le principe de la liberté de l’information, les raisons scientifiques ou celles d’ordre public. Un certain nombre de mécanismes juridiques permet néanmoins de combattre ou de réfréner les violations de la vie privée. Tout semble graviter autour de la mise en œuvre d’une procédure pouvant enclencher des sanctions pénales, civiles, disciplinaires ou administratives, hormis l’existence de certains mécanismes de protection particuliers tel que le droit de réponse.

La protection des données de santé des athlètes dans le cadre de la lutte contre le dopage

Le dopage fait l’objet d’une intense lutte par les autorités sportives. Cet article s’intéresse à l’encadrement des renseignements personnels des athlètes qui y sont soumis. En effet, la lutte au dopage s’opère principalement par le traitement des nombreuses informations de santé que les athlètes fournissent dans le cadre de certaines procédures. L’article étudie dans une première partie les fondements de la lutte antidopage et la structure du sport aux niveaux international et canadien dans le but de contextualiser l’analyse de la protection des renseignements personnels. La seconde partie porte dans un premier temps sur le cadre général de la protection des renseignements personnels, puis sur les deux « outils » de la lutte au dopage : les autorisations pour usage à des fins thérapeutiques et les contrôles antidopage. Dans le premier cas, la protection des renseignements personnels s’effectue selon le modèle des aires de partage, où plusieurs personnes ont un accès simultané aux renseignements afin de fournir une prestation donnée. Dans le second cas, la protection est plus classique mais a la particularité de se confondre partiellement avec les mesures visant à protéger l’intégrité ­ et la validité ­ des contrôles.

Nature et impacts juridiques de la certification dans le commerce électronique sur Internet

Le sujet sur lequel porte la présente étude est inspiré de la problématique à la base du développement du commerce électronique : la confiance. En effet, l’accroissement exponentiel du nombre d’internautes et des sites Web commerciaux pose un sérieux problème à ce niveau. Ces sites présentent au public une information et des services divers, mais peu vérifiables. Ainsi, le principal obstacle au développement du commerce électronique avec les particuliers est le manque de confiance qu’inspirent les lieux visités. En effet, comment savoir si l’entreprise existe, quelles sont ses politiques concernant la sécurité ou la gestion des renseignements personnels, etc. La vérification et la certification des sites apparaissent comme une solution de plus en plus attrayante et utilisée pour ajouter cet élément de confiance. Déjà, de nombreux sceaux de qualité sont apparus sur les sites commerciaux. Certains sceaux portent sur la confidentialité tandis que d’autres ciblent la protection des consommateurs. La certification peut provenir de la compagnie même, d’un tiers certificateur ou d’un organisme public. Ces éléments constituent des balises et repères importants pour le consommateur sur Internet. Toutefois, les incidences légales sont multiples et certains concepts demeurent flous. Pour apporter une réponse à ces questions, nous définirons le concept de certification des sites Web et ses enjeux dont plus particulièrement la problématique de la confiance des consommateurs. Les différents objets de la certification seront analysés, tant au niveau de l’entité, du contenu du site que de la dimension transactionnelle de celui-ci. Les processus possibles et les impacts de la certification occupent la seconde partie du travail. Il s’agit d’examiner successivement les étapes menant à la certification, soit l’établissement des standards, de l’évaluation de l’entité et de la certification elle-même. L’analyse des impacts de la certification, tant sur le plan de la portée, de la responsabilité légale et des effets sur la concurrence de la certification constitue quant à eux, l’aboutissement de la recherche, soit de savoir quel est l’impact juridique d’un tel mécanisme. Le but de la recherche est de permettre au lecteur de mieux cerner ce phénomène de l’utilisation de la certification sur Internet avec ses avantages et ses limites. Certes, cet outil peut s’avérer très utile pour bâtir la confiance des consommateurs, promouvoir l’essor du commerce électronique et constituer une forme d’autoréglementation. Toutefois, mal utilisé ou mal encadré, il peut engendrer l’effet inverse et détruire cette confiance si fragile à construire dans un environnement dématérialisé.

Étude de faisabilité du modèle de fournisseur de services de dépôt électronique

"Le présent rapport a pour objet de fournir un commentaire détaillé sur la faisabilité globale d'un portail unique de dépôt électronique hébergé par le secteur privé (modèle transactionnel central de dépôt électronique) fondé sur la norme LegalXML. Le résultat attendu principal est une opinion concernant la faisabilité du modèle à guichet unique (portail électronique). D'autres résultats attendus comprennent : une connaissance accrue chez les intéressés du modèle de fournisseur de services et une évaluation préliminaire de l'appui que le modèle reçoit. Nous avons utilisé deux véhicules d'analyse principaux pour réaliser les objectifs de l'étude susmentionnés : des analyses documentaires et des entretiens auprès d'intéressés. Les analyses visent explicitement à : examiner des approches différentes au dépôt électronique, notamment un système de dépôt électronique comme extension de chaque instance, et l'hébergement par le secteur privé par opposition au secteur public d'un guichet unique; recenser les questions et les facteurs de risque critiques se rapportant à la mise en place de services de dépôt électronique dans les cours, notamment la protection des renseignements personnels, la propriété intellectuelle et la sécurité, et en discuter; opposer chacun de ces points au modèle de FSA; faire des recommandations sur la stratégie permettant de régler les questions et les facteurs de risque critiques. L'étude a révélé que : de nombreux intéressés appuient le dépôt électronique; de nombreux intéressés (p. ex. les avocats) ne font aucune distinction entre les formes différentes de dépôt électronique, tandis que d'autres s'en soucient beaucoup (p. ex. administrateurs de certaines cours); un modèle de fournisseur de services de dépôt électronique (FSDE) à guichet unique offre quelques avantages importants par rapport à une approche de dépôt électronique individuelle, surtout pour ce qui concerne les coûts et la plate-forme de l'avenir; un modèle de FSDE du secteur privé offre des avantages considérables par rapport à un modèle de FSDE du secteur privé, surtout en matière de succès et de coût de la mise en œuvre."

La protection des données sur Internet en droit suisse

La protection des données personnelles en Suisse trouve son fondement dans la constitution et se concrétise avant tout dans une loi fédérale adoptée avant l'avènement d'Internet et la généralisation de la transmission d'informations personnelles sur des réseaux numériques. Cette réglementation est complétée par les engagements internationaux de la Suisse et notamment la Convention européenne des Droits de l'Homme du Conseil de l'Europe. L'article délimite tout d'abord le champ d'application de la législation, qui joue un rôle pour le traitement de données personnelles par des particuliers comme par les autorités de l'administration fédérale. Suit une brève analyse des principes fondamentaux (licéité, bonne foi, proportionnalité, finalité, exactitude, communication à l'étranger, sécurité, droit d'accès) et de leur application sur Internet. Enfin, la protection du contenu des messages électroniques privés est brièvement abordée sous l'angle du secret des télécommunications et à la lumière d'une jurisprudence récente du Tribunal fédéral.

La protection de la vie privée : brève analyse de la situation italienne

L'Italie a été l'avant-dernier pays européen, suivi seulement de la Grèce, à se doter d'une loi sur la protection de la vie privée (loi du 31 décembre 1996). Paradoxalement, c'est en Italie qu'ont été écrites quelques-uns des meilleurs ouvrages sur ce sujet, notamment ceux du professeur Rodotà. En dépit du retard du législateur italien, il doit être précisé que la loi de 1996, faisant suite à la Directive communautaire relative à la protection des données personnelles, introduit un concept moderne de la vie privée, qui ne se limite pas simplement à un « right to be let alone », selon la célèbre conception de la fin du dix-neuvième siècle, mais qui se réfère plutôt à la protection de la personne humaine. Le concept de vie privée, entendu comme l’interdiction d’accéder à des informations personnelles, se transforme en un contrôle des renseignements relatifs à la personne. De cette manière, se développe une idée de la vie privée qui pose comme fondements : le droit de contrôle, de correction et d'annulation d'informations sur la personne. À cet égard, il est important de souligner le double système d’autorisation pour le traitement licite des informations. Le consentement de l'intéressé est requis pour les données personnelles. Pour les données dites « sensibles », en revanche, l'autorisation du Garant sera nécessaire en plus de l'expression du consentement de l’intéressé. En revanche, aucune autorisation n'est requise pour le traitement de données n'ayant qu'un but exclusivement personnel, ainsi que pour les données dites « anonymes », à condition qu'elles ne permettent pas d'identifier le sujet concerné. Le type de responsabilité civile prévu par la loi de 1996 se révèle particulièrement intéressant : l'article 18 prévoit l'application de l'article 2050 du Code civil italien (exercice d'activités dangereuses), alors que l'article 29 prévoit, lui, l'octroi de dommages et intérêts pour les préjudices non patrimoniaux (cette disposition est impérative, conformément à l'article 2059 du Code civil italien). Le présent article se propose d'examiner l'application des normes évoquées ci-dessus à Internet.

Le visiteur visité: quand les éditeurs de logiciel Internet passent subrepticement à travers les mailles du filet juridique

Cet article est un plaidoyer pour l’intégration de mesures protectrices de la vie privée au cœur même de la technologie. Cette adaptation est un pré-requis indispensable à la confiance du consommateur dans le réseau des réseaux. Sans véhicule Internet fiable et libéré de ses vices cachés, il demeure illusoire d’espérer, à moyen terme, attirer et conserver des clients électroniques.

The Jurisprudence of Surveillance:a Critical Look at the Laws of Intimacy

Affirmer que les citoyens des démocraties occidentales sont l’objet d’une surveillance systématique efficace et à grande échelle a de quoi provoquer une réaction incrédule. Démagogie, diront certains. Pourtant, les progrès réalisés dans les technologies de collecte, de traitement et de stockage d’information forcent une réflexion sur cette hypothèse. Il a été souligné justement que les coûts élevés liés aux moyens rudimentaires employés par les polices secrètes d’antan endiguaient en quelque sorte la menace. Les filatures, les infiltrations, les rapts nocturnes de dissidents pêchaient par manque de subtilité. Au contraire, le génie des techniques modernes vient de ce qu’elles n’entravent pas le quotidien des gens. Mais au-delà du raffinement technique, le contrôle panoptique de la masse atteint un sommet d’efficience dès lors que celle-ci est amenée à y consentir. Comme le faisait remarquer le professeur Raab : « [TRADUCTION] La surveillance prospère naturellement dans les régimes autoritaires qui ne s’exposent pas au débat public ni à la critique. Lorsqu’elle est utilisée dans des régimes dits démocratiques, elle est légitimée et circonscrite par des arguments de nécessité ou de justifications spéciales, tout comme la censure »[1]. Or, le droit, en tant que discours de rationalité, accomplit savamment ce travail de légitimation. C’est dans cet esprit qu’une analyse radicale des règles de droit encadrant le droit à la vie privée apporte une lucidité nouvelle sur notre faux sentiment de sécurité.

L'appréciation en droit québécois de l'arrêt Nikon: même résultat?

Ce texte aborde la question épineuse de l’équilibre à établir entre les droits de gérance de l’employeur et la protection du droit à la vie privée de l’employé dans le cadre particulier du courrier électronique. Alors que l’arrêt de la Cour de cassation du 2 octobre 2001 dans l’affaire Nikon semble avoir fait le point sur la problématique en droit français en donnant préséance aux droits de l’employé, il est possible d’avancer que ce résultat ne sera pas miroité en droit québécois. En effet, le législateur québécois, influencé par une vision nord-américaine plus libérale quand aux droits des entreprises, semble accorder moins d’importance a la notion de vie privée que ses homologues de l’Europe continentale. L’auteur reprend ainsi le contexte de l’affaire Nikon pour spéculer sur le verdict d’un juge québécois exposé aux même faits.

Le Projet de convention européenne sur la criminalité dans le cyberespace:l’organisation des poursuites internes

Le Conseil de l'Europe a publié le 27 avril 2000 un Projet de convention sur la cybercriminalité dans le cadre d’un appel public à contribution de ses pays membres. Le texte doit être finalisé par un groupe d’experts avant décembre 2000 pour être adopté et ouvert à la signature par le comité des ministres du Conseil de l’Europe à l’automne 2001. Ce projet constitue le futur traité international contre la criminalité dans le cyberespace dans l’espace européen. Le Projet de convention sur la cybercriminalité poursuit deux objectifs. Premièrement, il vise la prévention des actes portant atteinte à la confidentialité, à l’intégrité et à la disponibilité des systèmes informatiques, des réseaux et des données. En second lieu, il prône l’adoption de pouvoirs suffisants pour permettre une lutte efficace contre les infractions pénales de haute technologie. Le cadre de mise en œuvre est possible, d'une part, en facilitant la détection, la recherche et la poursuite, tant au plan du droit de la procédure interne, qu’au niveau international. D'autre part, en prévoyant la création de dispositions matérielles appropriées en vue d’une coopération internationale alliant rapidité et efficacité. Finalement, en garantissant un équilibre adéquat entre les nécessités d’une répression démocratique et le respect des droits fondamentaux. L’objet de cet article est d’examiner le Projet de convention en ses dispositions organisant l’exercice des poursuites à un niveau interne, afin de pouvoir en percevoir autant les avantages que les faiblesses éventuelles au plan de la protection des droits et libertés de la personne.