View
474
Download
1
Category
Preview:
Citation preview
CLOUD COMPUTING &
CONSOMMATEURSA n t h o n y H É M O N Da v o c a t u n i o n d e s
c o n s o m m a t e u r s ( l l . b , L L . M , D . E . A )
CLOUD COMPUTING&
CONSOMMATEURS
Contexte: Recherche financée par le Bureau de la consommation d’Industrie Canada
Précisions:
Pas une présentation technologique (SaaS, IaaS, PaaS, Cloud public, Cloud privé,...)
N’aborde pas les problématiques propres aux compagnies
CLOUD COMPUTING&
CONSOMMATEURS
Qu’est ce que le «Cloud Computing»?
CLOUD COMPUTING&
CONSOMMATEURS
= Internet
«lonely cloud» © 2004 fuzzcat (CC BY 2.0)
CLOUD COMPUTING&
CONSOMMATEURS
COMPUTING =
fonctionnalités offertes par les ordinateurs, capacités
de calcul, stockage de données
CLOUD COMPUTING&
CONSOMMATEURS
Définition du Cloud Computing?
Ce n’est pas parce que tout le monde parle du «cloud computing» qu’il y a consensus sur la définition
CLOUD COMPUTING&
CONSOMMATEURS
Notre choix: la définition du Commissariat à la vie privée du Canada
CLOUD COMPUTING&
CONSOMMATEURS
Vous en connaissez tous, et vous en utilisez certainement!
CLOUD COMPUTING&
CONSOMMATEURS
CLOUD COMPUTING&
CONSOMMATEURS
Pourquoi choisir le «cloud computing»?
CLOUD COMPUTING&
CONSOMMATEURS
Quelques avantages du «cloud computing»
Élasticité
Prix
Travail collaboratif
Pratique
Accessibilité, partage d’informations
Fiabilité
CLOUD COMPUTING&
CONSOMMATEURS
Quels sont les services utilisés par les consommateurs?
Selon une étude de KPMG de 2010
70% stockage de photos en ligne
68% services de courriel en ligne
56% réseaux sociaux
CLOUD COMPUTING&
CONSOMMATEURS
Inquiétudes?
«Dark clouds» © 2008 Quinn Dombrowski CC BY-SA 2.0
CLOUD COMPUTING&
CONSOMMATEURS
National Institute of Standards and Technology: «the biggest obstacle facing public cloud computing is security»
Étude de Gfk: 61% des personnes interrogées sont préoccupées par la sécurité des contenus stockés dans le nuage
Sondage Harris Interactive: 58% des personnes sondées en désaccord avec l’affirmation selon laquelle les fichiers stockés dans le nuage sont plus en sécurité que ceux conservés sur un disque dur local
CLOUD COMPUTING&
CONSOMMATEURS
Étude PEW/Internet: 90% des utilisateurs sont préoccupés par le fait que la compagnie qui détient leurs données puisse les vendre à une tierce partie.
80% des utilisateurs de Cloud sont préoccupés par le fait que les compagnies puissent utiliser leurs photos et les autres données à des fins publicitaires
CLOUD COMPUTING&
CONSOMMATEURS
Mais surtout: 68% des utilisateurs de «cloud computing» se disent inquiets par la publicité ciblée suite à l’analyse de leurs données personnelles
CLOUD COMPUTING&
CONSOMMATEURS
Tous ces services sont soumis à l’acceptation d’un contrat
Ma question: Avez-vous lu ces contrats?
CLOUD COMPUTING&
CONSOMMATEURS
Qualification juridique des contrats de «cloud computing»
Conditions d’utilisation
Conditions de service
Notices juridiques
Politiques de vie privée...
CLOUD COMPUTING&
CONSOMMATEURS
Contrats de «cloud computing» des contrats de consommation?
Article 1384 du Code civil du Québec
CLOUD COMPUTING&
CONSOMMATEURS
Décision de la Cour supérieure: St-Arnaud c. Facebook inc. 2011 QCCS 1506
CLOUD COMPUTING&
CONSOMMATEURS
[51] Although, there exists an adhesion contract, Facebook does not have a consumer relationship with its Users.
[52] Access to the Facebook website is completely free. [53] Therefore, there exists no consumer contract when joining and accessing the website, because it's
always free.[54] A consumer contract is premised on payment and consideration. It must be an onerous contract
as written by the Author Nicole L'Heureux. « Le mot «service» n'est pas défini dans la L.p.c., on doit lui donner son sens courant d'exercice
d'une activité, d'un travail, acheté ou loué pour le bénéfice d'une personne, ou d'une prestation fournie en relation avec la vente ou la réparation d'un bien. Le service se classe dans la catégorie des biens meubles incorporels. On le définit en effet comme «toute prestation qui peut être fournie à titre onéreux, mais qui n'est pas un bien corporel. (…) »
[55] Users pay Facebook nothing at all. In joining and accessing the website, Users: « (a) do not pay Facebook; (b) do not undertake to pay Facebook at a later date; (c) do not undertake to remain Users for any period of time; (d) do not undertake to post anything on the Website; (e) do not undertake to encourage friends or family to join the Website; and (f) do not undertake to promote the Website in any way. »
CLOUD COMPUTING&
CONSOMMATEURS
La question essentielle: un service qui est offert sans frais est-il nécessairement offert à titre gratuit?
CLOUD COMPUTING&
CONSOMMATEURS
L’absence de certaines obligations ne signifie toutefois pas l’absence de toute obligation.
CLOUD COMPUTING&
CONSOMMATEURS
Le modèle économique de Facebook repose sur deux éléments: la publicité et les informations personnelles des utilisateurs pour finalement faire de la publicité ciblée.
CLOUD COMPUTING&
CONSOMMATEURS
Facebook: Déclaration des droits et responsabilités: article 10: Notre objectif est de proposer des publicités de façon avantageuse pour les annonceurs, mais aussi pour vous.
Article 4: Les utilisateurs de Facebook donnent leur vrai nom et de vraies informations les concernant, et nous vous demandons de nous aider à ce que cela ne change pas.
Article 4.1: Vous ne fournirez pas de fausses informations personnelles sur Facebook et ne créerez pas de compte pour une autre personne sans son autorisation.
CLOUD COMPUTING&
CONSOMMATEURS
William J. Robison: «In essence, a customer’s privacy is the true cost of “free” cloud computing services.» (Free at What Cost?: Cloud Computing Privacy Under the Stored Communications Act, 98 Georgetown Law Journal 1195(2010) 1214)
CLOUD COMPUTING&
CONSOMMATEURS
Contrats de «Cloud Computing» au Québec:
Contrat d’adhésion
Contrat de consommation
Contrat de service
Contrat à exécution successive
Contrat conclu à distance
Contrat à exécution successive de service fourni à distance
CLOUD COMPUTING&
CONSOMMATEURS
Analyse des contrats de «cloud computing» à la lumière de la Loi sur la protection du consommateur
Contrats examinés: MobileMe d’Apple,Facebook, Adrive, Dropbox, Google Docs, Gmail, Picasa, Hotmail, Office Web Apps, Yahoo!Mail, Flickr, Zoho, Zumodrive
CLOUD COMPUTING&
CONSOMMATEURS
Langue du contrat:
Contrats rédigés en anglais exception faite de Microsoft, Google et Apple
Article 26 LPC: le contrat et les documents qui s’y rattachent doivent être rédigés en français. Ils peuvent être rédigés dans une autre langue si telle est la volonté expresse des parties. (...)
CLOUD COMPUTING&
CONSOMMATEURS
Clauses d’exonération de responsabilité
Dans les contrats de Dropbox, MobileMe, Zoho et Zumodrive
Zumodrive: You expressly understand and agree that Company shall not be liable for any direct, indirect, incidental, special, consequential or exemplary damages, including but not limited to, damages for loss of profits, goodwill, use, data or other intangible losses (even if Company has been advised of the possibility of such damages), resulting from: (i) the use or the inability to use the Service; (ii) the cost of procurement of substitute goods and services resulting from any goods, data, information or services purchased or obtained or messages received or transactions entered into through or from the Service; (iii) unauthorized access to or alteration of your transmissions or data; (iv) statements or conduct of any third party on the Service; (v) or any other matter relating to the Service
CLOUD COMPUTING&
CONSOMMATEURS
Article 10 LPC: «Est interdite la stipulation par laquelle un commerçant se dégage des conséquences de son fait personnel ou de celui de son représentant.»
CLOUD COMPUTING&
CONSOMMATEURS
Certains contrats mentionnent la non-application de la clause d’exonération de responsabilité:
Flickr, Yahoo!Mail, MobileMe, Adrive, Google, Microsoft
CLOUD COMPUTING&
CONSOMMATEURS
Mais attention à l’article 19.1 LPC: «Une stipulation qui est inapplicable au Québec en vertu d’une disposition de la présente loi ou d’un règlement qui l’interdit doit être immédiatement précédée, de manière évidente et explicite, d’une mention à ce sujet.»
Absence de ce la mention du Québec dans les contrats examinés!
CLOUD COMPUTING&
CONSOMMATEURS
Clause d’exclusion de garantie
Contrats de Dropbox, Zoho, Zumodrive, Microsoft, Google, Yahoo, Apple, Facebook, Adrive...bref tous contiennent une telle clause
CLOUD COMPUTING&
CONSOMMATEURS
Article 34 LPC: «La présente section [des garanties] s’applique au contrat de vente ou de louage de biens et au contrat de service.»
Article 40 LPC: «Un bien ou un service fourni doit être conforme à la descritpion qui en est faite dans le contrat.»
Article 41 LPC: «Un bien ou un service doit être conforme à une déclaration ou à un message publicitaire faits à son sujet par le commerçant ou le fabricant.»
CLOUD COMPUTING&
CONSOMMATEURS
Comme la garantie légale est un droit que la Loi accorde au consommateur et que la Loi prévoit qu’on ne peut déroger à la présente loi par une convention particulière (art. 261 LPC) et que à moins qu’il n’en soit prévu autrement dans la présente loi, le consommateur ne peut renoncer à un droit que lui confère la présente loi (art.262 LPC)
CLOUD COMPUTING&
CONSOMMATEURS
Conséquence: les clauses qui tentent d’écarter la garantie légale sont inapplicables au Québec
CLOUD COMPUTING&
CONSOMMATEURS
Clause soumettant le contrat à l’application de lois ou de juridiction étrangères
Tous les contrats examinés ont une telle clause!
Exemple: art. 20.7 Conditions d’utilisation de Google
CLOUD COMPUTING&
CONSOMMATEURS
Article 19 LPC: «(...) une clause d’un contrat assujetissant celui-ci, en tout ou en partie, à une loi autre qu’une loi du Parlement du Québec ou du Canada est interdite.»
Également application de l’article 19.1 de la LPC!
CLOUD COMPUTING&
CONSOMMATEURS
Clauses d’arbitrage
Dans deux contrats seulement...(Zoho, Adrive)
CLOUD COMPUTING&
CONSOMMATEURS
Pour mémoire: Article 11.1 de la LPC: «Est interdite la stipulation ayant pour effet soit d’imposer au consommateur l’obligation de soumettre un litige éventuel à l’arbitrage, soit de restreindre son droit d’ester en justice, notamment en lui interdisant d’exercer un recours collectif, soit de le priver du droit d’être membre d’un groupe visé par un tel recours. Le consommateur peut, s’il survient un litige après la conclusion du contrat, convenir alors de soumettre ce litige à l’arbitrage»
CLOUD COMPUTING&
CONSOMMATEURS
Actualité: Sony: Clause de son nouveau contrat: TOUTE PROCÉDURE DE RÉSOLUTION DE LITIGES, QUE CE SOIT PAR ARBITRAGE OU AU TRIBUNAL, SERA UNIQUEMENT EFFECTUÉE SUR UNE BASE INDIVIDUELLE ET NON DE FAÇON COLLECTIVE OU REPRÉSENTATIVE OU EN TANT QUE MEMBRE NOMMÉ OU NON D'UNE ACTION COLLECTIVE, CONJOINTE, REPRÉSENTANTE OU MANDATAIRE, À MOINS QUE VOUS ET L'ENTITÉ SONY AVEC LAQUELLE VOUS AVEZ UN LITIGE VOUS ACCORDIEZ SUR CE POINT PRÉCIS PAR ÉCRIT À LA SUITE DU DÉBUT DE L'ARBITRAGE. CETTE CLAUSE NE FAIT PAS OBSTACLE À VOTRE PARTICIPATION À UN RECOURS COLLECTIF DÉPOSÉ LE OU AVANT LE 20 AOÛT 2011.
CLOUD COMPUTING&
CONSOMMATEURS
Non respect de 19.1 LPC: «Si une disposition de la présente Section 15 (autre que la clause de renonciation à un recours collectif ci-dessus) est jugée illégale ou inapplicable, cette disposition sera supprimée de la Section 15, sans aucune incidence sur l'applicabilité des autres dispositions de ladite Section. Si la disposition sur la renonciation au recours collectif est jugée illégale ou inapplicable, toute la Section 15 sera réputée inapplicable, et le Litige sera réglé par un tribunal ; vous et l'entité Sony avec laquelle vous avez un Litige acceptez de renoncer en ce cas, dans toute la mesure autorisée par la loi, à tout jugement par un jury.»
CLOUD COMPUTING&
CONSOMMATEURS
De façon générale, les clauses qui contreviennent aux dispositions des lois sur la protection du consommateur seront inopposables aux consommateurs – on pense ici, notamment, aux clauses d’arbitrage, aux clauses d’exonération de responsabilité, aux clauses soumettant le contrat à l’application de lois ou de juridictions étrangères.
CLOUD COMPUTING&
CONSOMMATEURS
Clauses abusives: «celle qui désavantage le consommateur (…) d’une manière excessive et déraisonnable, allant ainsi à l’encontre de ce qu’exige la bonne foi ; est abusive, notamment, la clause si éloignée des obligations essentielles qui découlent des règles gouvernant habituellement le contrat qu’elle dénature celui-ci. » Dans un contrat de consommation, une telle clause est nulle ou « l’obligation qui en découle réductible. »
CLOUD COMPUTING&
CONSOMMATEURS
Article 8 de la LPC: «Le consommateur peut demander la nullité du contrat ou la réduction des obligations qui en découlent lorsque la disproportion entre les prestations respectives des parties est tellement considérable qu’elle équivaut à de l’exploitation du consommateur, ou que l’obligation du consommateur est excessive, abusive ou exorbitante.»
CLOUD COMPUTING&
CONSOMMATEURS
Recours individuels des consommateurs?
avantages coûts/bénéfices
Recours collectifs comme dans cas Facebook?
Plaintes à l’OPC?
CLOUD COMPUTING&
CONSOMMATEURS
Contrats de «Cloud computing» et LPRPDE
CLOUD COMPUTING&
CONSOMMATEURS
Pourquoi LPRPDE?
Entreprises situées à l’étranger
Transfert de RP à l’étranger
CLOUD COMPUTING&
CONSOMMATEURS
Article 3 LPRPDE: Objectif de la Loi
logiques opposées circulation des RP et protection vie privée
CLOUD COMPUTING&
CONSOMMATEURS
LPRPDE repose sur 10 principes:
responsabilité, détermination des fins de la collecte des renseignements, consentement, limitation de la collecte, limitation de l’utilisation, de la communication et de la conservation, exactitude, mesures de sécurité, transparence, accès aux renseignements personnels, possibilité de porter plainte à l’égard du non-respect des principes
CLOUD COMPUTING&
CONSOMMATEURS
Analyse en fonction des principes: transparence, consentement, mesures de sécurité, responsabilité
CLOUD COMPUTING&
CONSOMMATEURS
Principe de transparence: Une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne
Ces renseignements doivent être fournis sous une forme généralement compréhensible.
CLOUD COMPUTING&
CONSOMMATEURS
Décision Facebook de la Commissaire à la vie privée du Canada: «D’abord, en considération des principes 4.1.4d), 4.2.1, 4.3.2, et 4.8, je suis préoccupée à l’idée que, eu égard au rôle essentiel et prédominant que la publicité joue dans les activités de Facebook, Facebook ne fasse pas d’efforts raisonnables pour documenter et expliquer, dans sa Politique de confidentialité, son usage de la publicité, l’utilisation des renseignements des utilisateurs à des fins de publicité ciblée et la mesure dans laquelle les utilisateurs peuvent refuser de recevoir de la publicité sociale»
«En somme, en matière de documentation et d’explication des fins relatives à la publicité, je constate que Facebook ne respecte pas des normes raisonnables en l’espèce, tel que le prévoient les principes 4.1.4d), 4.2.1, 4.3.2 et 4.8.»
CLOUD COMPUTING&
CONSOMMATEURS
En réalité peu de transparence dans les contrats de cloud computing qu’il s’agisse de MobileMe, Microsoft, ou Google
CLOUD COMPUTING&
CONSOMMATEURS
Principe de Consentement: pierre d’assise de la Loi
CLOUD COMPUTING&
CONSOMMATEURS
Consentement à plusieurs formes...Article 4.3.7 de l’Annexe I LPRPDE
CLOUD COMPUTING&
CONSOMMATEURS
Consentement positif ou négatif
Négatif sous conditions...énoncées par la Commissaire à la vie privée du Canada
CLOUD COMPUTING&
CONSOMMATEURS
Constatation dans les contrats de Cloud Computing examinés
utilisation du consentement négatif pour des utilisations secondaires aux fins de publicité
CLOUD COMPUTING&
CONSOMMATEURS
Problème: il faut lire attentivement les contrats pour trouver les options permettant d’effectuer le «opt-out», et les parcourir longuement.
CLOUD COMPUTING&
CONSOMMATEURS
Mesures de sécurité:
Rappel la sécurité est importante pour les consommateurs!
Article 4.7 de l’Annexe I de la LPRPDE
CLOUD COMPUTING&
CONSOMMATEURS
Problème pour le consommateur: Comment savoir si les renseignements personnels qui transitent par les services de «Cloud Computing» sont bien protégés par les compagnies et si celles-ci mettent en place des mesures de sécurité propres au niveau de sensibilité de ces renseignements personnels?
CLOUD COMPUTING&
CONSOMMATEURS
Le septième principe crée pour les entreprises qui offrent des services de cloud computing une obligation de protéger les renseignements personnels « au moyen de mesures de sécurité correspondant à leur degré de sensibilité ».
CLOUD COMPUTING&
CONSOMMATEURS
Équilibre à trouver entre la transparence et les impératifs de sécurité
CLOUD COMPUTING&
CONSOMMATEURS
Compagnies limitent la divulgation à une déclaration qui indique que des mesures raisonnables sont prises pour protéger la sécurité des renseignements personnels des utilisateurs du service
Est-ce suffisant pour rassurer les consommateurs?
Pratiques inégales
Meilleurs élèves: Google et Yahoo plus loquaces sur le sujet
CLOUD COMPUTING&
CONSOMMATEURS
Principe de responsabilité (art. 4.1 Annexe1 LPRPDE): «une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous»
CLOUD COMPUTING&
CONSOMMATEURS
Art. 4.1.3 Annexe 1 LPRPDE : « [l’]organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.»
CLOUD COMPUTING&
CONSOMMATEURS
Ex: Apple: Apple partage des données personnelles avec des sociétés qui fournissent des services tels que le traitement de l’information, l’extension du crédit, l’exécution des commandes clients, la livraison des produits, la gestion et le développement des données clients, la fourniture du service client, l’évaluation de votre intérêt pour nos produits et services et la réalisation d’enquêtes de satisfaction ou de développement de clientèle. Ces sociétés sont obligées de protéger vos données et peuvent se trouver dans tout pays dans lequel Apple exerce des activités
Microsoft: Il nous arrive de faire appel à des sociétés qui fournissent des services pour notre compte, par exemple le traitement et la distribution des publipostages, l'assistance clientèle, l'hébergement de sites Web, le traitement des transactions ou l'analyse statistique de nos services. Ces prestataires de service n'ont accès qu'aux données personnelles dont elles ont besoin pour fournir le service. Il leur est demandé de respecter la confidentialité de ces informations, qu'elles ne doivent en aucun cas utiliser à d'autres fins
CLOUD COMPUTING&
CONSOMMATEURS
Bon élève Google: Nous transmettons lesdites informations à nos filiales, sociétés affiliées ou autres sociétés ou personnes de confiance qui les traitent pour notre compte. Nous veillons à ce que ces dernières acceptent de traiter lesdites informations uniquement selon nos instructions et conformément aux présentes Règles de confidentialité et s’engagent à mettre en œuvre des mesures appropriées de sécurisation et de protection de la confidentialité des données
CLOUD COMPUTING&
CONSOMMATEURS
Formuler une plainte au Commissariat à la vie privée du Canada?
Article 4.10 Annexe 1 LPRPDE: « toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée.»
CLOUD COMPUTING&
CONSOMMATEURS
Pistes de solutions
La règlementation: l’Europe semble tentée par cette solution
RP: Europe : clauses contractuelles types pour le tranfert de données à caractère personnel vers des pays tiers
CLOUD COMPUTING&
CONSOMMATEURS
Obligation de notification en cas de risque relatif à la sécurité des données
exception: cryptage
CLOUD COMPUTING&
CONSOMMATEURS
Privacy by design
7 principes sur lesquels repose ce concept
Groupe de travail « Article 29 »
CLOUD COMPUTING&
CONSOMMATEURS
«Do Not Track»: One way to facilitate consumer choice is to provide it in a uniform and comprehensive way. Such an approach has been proposed for behavioral advertising, whereby consumers would be able to choose whether to allow the collection and use of data regarding their online searching and browsing activities. The most practical method of providing such universal choice would likely involve the placement of a persistent setting, similar to a cookie, on the consumer’s browser signaling the consumer’s choices about being tracked and receiving targeted ads. Commission staff supports this approach, sometimes referred to as “Do Not Track”
CLOUD COMPUTING&
CONSOMMATEURS
«Bill of rights»
droit de connaître l’emplacement exact des données
droit de connaître précisément les mesures de sécurité des RP
droit d’être informé du nom des compagnies qui sous-traitent certains des services et des mesures prises pour assurer la sécurité des RP
droit de notification en cas de violation de la confidentialité
droit à indemnisation et restriction des exclusions de responsabilité en cas de violation de la confidentialité
CLOUD COMPUTING&
CONSOMMATEURS
reconnaissance que les RP appartiennent aux consommateurs et qu’ils ne peuvent être utilisés que pour des finalités précises
Notification des consommateurs en cas d’accès aux RP par les autorités
Procèdures pour destruction des RP et pour accès par consommateurs aux RP
CLOUD COMPUTING&
CONSOMMATEURS
MERCI!
hemond@consommateur.qc.ca
Recommended