Hiperderecho , la principale organisation de défense des droits numériques au Pérou, a lancé aujourd'hui sa troisième ¿ Quién Defiende Tus Datos ? ( Who Defends you Data) – un rapport qui vise à tenir les entreprises de télécommunications responsables de la confidentialité de leurs utilisateurs. La nouvelle édition péruvienne montre des améliorations par rapport à l'évaluation de 2019 .
Movistar et Claro s'engagent à exiger un mandat pour remettre le contenu de communication et les métadonnées des utilisateurs au gouvernement. Les deux sociétés ont également obtenu du crédit pour avoir défendu la vie privée des utilisateurs au Congrès ou pour avoir contesté les demandes du gouvernement. Aucun n'a obtenu d'étoile l'an dernier dans cette catégorie. Claro se distingue par des directives détaillées sur l'application de la loi , y compris un tableau explicatif des procédures que l'entreprise adopte avant les demandes des forces de l'ordre pour les données de communication. Cependant, Claro devrait être plus précis sur le type de données de communication couvertes par les directives. Toutes les entreprises ont reçu des étoiles complètes pour leurs politiques de confidentialité, alors que seules trois l'ont fait dans le rapport précédent. Dans l'ensemble, Movistar et Claro sont à égalité en tête. Entel et Bitel sont à la traîne, le premier bénéficiant d'un léger avantage .
Quien Defiende Tus Datos fait partie d'une série à travers l'Amérique latine et l'Espagne réalisée en collaboration avec EFF et inspirée de notre Who Has Your Back? Projet. L'édition de cette année évalue les quatre plus grands fournisseurs d'accès Internet (FAI) au Pérou: Telefónica-Movistar, Claro, Entel et Bitel.
Hiperderecho a évalué les FAI péruviens sur sept critères concernant les politiques de confidentialité, la transparence, la notification des utilisateurs, l'autorisation judiciaire, la défense des droits de l'homme, la sécurité numérique et les directives d'application de la loi. Contrairement à l'année dernière, le rapport a ajouté deux nouvelles catégories – si les FAI publient des directives d'application de la loi et une catégorie vérifiant les engagements des entreprises envers la sécurité numérique des utilisateurs. Le rapport complet est disponible en espagnol , et nous présentons ici les principaux résultats:
En ce qui concerne les rapports de transparence, Movistar ouvre la voie, remportant une étoile complète tandis que Claro reçoit une étoile partielle. Le rapport devait fournir des données utiles sur le nombre de demandes reçues et le nombre de fois où l'entreprise s'y conformait. Il devrait également inclure des détails sur les agences gouvernementales qui ont fait les demandes et les justifications de l'autorité. Pour la première fois, Claro a fourni des chiffres statistiques sur les demandes du gouvernement qui exigent la «levée du secret de la communication (LST)». Cependant, Claro n'a pas précisé quel type de données (adresses IP et autres identifiants techniques) est protégé en vertu de ce régime juridique. Étant donné que la loi sur les télécommunications du Pérou et sa réglementation protègent en vertu du secret des communications à la fois le contenu et les informations personnelles obtenus grâce à la fourniture de services de télécommunications, nous supposons que Claro pourrait inclure les deux. Pourtant, en tant que meilleure pratique, le FAI devrait être plus explicite sur le type de données, y compris les identifiants techniques, protégés par le secret des communications. Comme le fait Movistar, Claro devrait également décomposer les données statistiques des demandes du gouvernement dans l'interception de contenu et les métadonnées.
Movistar et Claro ont publié leurs directives d'application de la loi. Alors que Movistar n'a publié qu'une politique globale générale applicable à ses filiales, Claro se distingue par des directives détaillées pour le Pérou, y compris un tableau explicatif des procédures de l'entreprise avant les demandes des forces de l'ordre pour les données de communication. En revanche, le document fait largement référence aux demandes de «levée du secret de la communication» sans en définir ce que cela implique. Il devrait permettre aux utilisateurs de mieux comprendre quel type de données est inclus dans les procédures décrites et si elles sont principalement axées sur l'accès des autorités au contenu des communications ou se réfèrent à des demandes de métadonnées spécifiques.
Entel, Bitel, Claro et Movistar ont publié des politiques de confidentialité applicables à leurs services qui sont faciles à comprendre. Toutes les politiques du FAI fournissent des informations sur les données collectées (telles que le nom, l'adresse et les enregistrements liés à la fourniture de services) et les cas dans lesquels l'entreprise partage des données personnelles avec des tiers. Claro et Movistar reçoivent un crédit complet dans la catégorie des autorisations judiciaires pour avoir des politiques ou d'autres documents indiquant leur engagement à demander une ordonnance judiciaire avant de transmettre des données de communication, à moins que la loi n'en dispose autrement. De même, Entel déclare partager les données des utilisateurs avec le gouvernement conformément à la loi. La loi péruvienne accorde à l'unité d'enquête policière spécialisée le pouvoir de demander aux opérateurs de télécommunications l'accès aux métadonnées dans des situations d'urgence spécifiques fixées par le décret législatif 1182 , avec un contrôle judiciaire ultérieur.
Les pays d'Amérique latine ont encore un long chemin à parcourir pour faire la lumière sur les pratiques de surveillance du gouvernement. La publication de rapports de transparence significatifs et de directives d'application de la loi sont deux mesures essentielles auxquelles les entreprises devraient s'engager. La notification des utilisateurs est la troisième. Au Pérou, aucun des FAI ne s'est engagé à notifier les utilisateurs d'une demande gouvernementale dans les meilleurs délais autorisés par la loi. Pourtant, Movistar et Claro ont fourni de plus amples informations sur leurs raisons et leur interprétation de la loi de ce refus.
Dans la catégorie de la sécurité numérique, toutes les entreprises ont reçu un crédit pour l'utilisation du HTTPS sur leurs sites Web et pour la fourniture de méthodes sécurisées aux utilisateurs dans leurs canaux en ligne, telles que l'authentification en deux étapes. Toutes les entreprises sauf Bitel ont marqué pour la promotion des droits de l'homme. Alors qu'Entel reçoit un score partiel pour avoir rejoint les forums multi-acteurs locaux, Movistar et Claro remplissent leurs étoiles pour cette catégorie. Entre autres, Movistar a envoyé des commentaires au Congrès en faveur de la confidentialité de l'utilisateur, et Claro a contesté une demande aussi disproportionnée émise par l'agence d'administration fiscale du pays (SUNAT) devant l'autorité de protection des données du Pérou.
Nous sommes heureux de voir que le troisième rapport du Pérou montre des progrès significatifs, mais qu'il reste encore beaucoup à faire pour protéger la vie privée des utilisateurs. Entel et Bitel doivent rattraper les plus grands fournisseurs régionaux. Et Movistar et Claro peuvent également aller plus loin pour compléter leur carte des étoiles. Hiperderecho restera vigilant à travers leurs ¿Quien Defiende Tus Datos? Rapports.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/10/perus-third-who-defends-your-data-report-stronger-commitments-isps-imbalances-and le Wed, 21 Oct 2020 20:55:25 +0000.