Gardant une trace des engagements des FSI envers leurs utilisateurs, TEDIC, la principale organisation de droits numériques du Paraguay, lance sa deuxième édition de ¿Quién Defiende Tus Datos? (Who Defends Your Data?), Un rapport en collaboration avec EFF. Des pratiques transparentes et des engagements fermes en matière de confidentialité sont particulièrement cruciaux à l'heure actuelle. En période de crise et d'urgence, les entreprises doivent, plus que jamais, montrer que les utilisateurs peuvent leur faire confiance avec des informations sensibles sur leurs habitudes et leurs communications. Bien que les FAI paraguayens aient progressé dans leurs politiques de confidentialité et participent à des forums promettant la promotion des droits de l'homme, ils ont encore un long chemin à parcourir pour donner aux utilisateurs ce dont ils ont besoin pour bâtir pleinement cette confiance.
Les FAI paraguayens devraient faire plus d'efforts pour être transparents sur leurs pratiques et procédures ainsi que pour avoir des engagements publics plus forts envers leurs utilisateurs, comme prendre des mesures pour informer les utilisateurs des demandes de données du gouvernement.
Dans l'ensemble, Tigo reste la société la mieux classée dans le rapport, suivie de Claro et Personal . Copaco et Vox ont reçu les pires notes. La deuxième édition apporte deux nouvelles catégories: évaluer si les entreprises ont des lignes directrices accessibles au public pour les demandes d'application de la loi, et si leurs politiques de confidentialité et leurs conditions de service sont fournies conformément aux normes d'accessibilité Web appropriées. Le rapport de cette année se concentre sur les entreprises de télécommunications comptant plus de quinze mille utilisateurs d'Internet à travers le pays, qui représentent ensemble la base entière des clients du haut débit mobile (à l'exception de Copaco, qui ne fournit que des services fixes).
L'étude complète est disponible en espagnol et nous présentons ci-dessous les principales conclusions.
Constatations principales
Chaque FAI a été évalué dans les sept catégories suivantes: politiques de confidentialité, ordonnance judiciaire, notification des utilisateurs, politiques de promotion des engagements politiques, transparence, directives d'application de la loi et normes d'accessibilité.
En ce qui concerne les politiques de confidentialité , cette édition a examiné les documents accessibles au public des entreprises et a vérifié s'ils fournissaient des informations claires et facilement accessibles sur la collecte, le traitement et le partage des données personnelles avec des tiers, ainsi que le temps de conservation et les pratiques de sécurité. Bien qu'aucune entreprise n'ait marqué dans le rapport précédent, plus de la moitié d'entre elles ont montré des améliorations dans l'édition de cette année. Tigo se démarque avec une étoile complète, suivie de près par les politiques de confidentialité de Claro . Claro n'a pas obtenu la pleine étoile, car il n'a pas fourni suffisamment d'informations sur la façon dont les données personnelles sont collectées et stockées. Personal a également reçu un score partiel pour les politiques de publication qui détaillent correctement la façon dont les données des utilisateurs sont partagées avec des tiers.
Lorsqu'il s'agit d'exiger un mandat avant de remettre le contenu des communications des utilisateurs aux autorités répressives, Tigo est le seul FAI à s'engager clairement et publiquement à le faire. Claro a déclaré que l'entreprise se conformait à la législation applicable, aux procédures judiciaires et aux demandes du gouvernement. Le rapport de TEDIC souligne que, en réponse à l'équipe de recherche, Claro et d'autres sociétés ont affirmé qu'elles demandaient une autorisation judiciaire pour la remise du contenu des communications. Pourtant, ces affirmations ne se reflètent toujours pas dans les politiques publiques et vérifiables de ces entreprises.
En ce qui concerne l'accès du gouvernement aux données sur le trafic, un arrêt de la Cour suprême en 2010 a autorisé les procureurs à demander directement ces données malgré l' affirmation de la loi sur les télécommunications du pays selon laquelle la garantie constitutionnelle d'inviolabilité des communications se réfère non seulement au contenu lui-même, mais aussi à ce qui indique l'existence d'une communication qui couvrirait les données de trafic. La décision de 2010 a été appliquée au contexte en ligne, allant également à l'encontre de la jurisprudence de la Cour interaméricaine des droits de l'homme , reconnaissant que les métadonnées des communications devraient bénéficier du même niveau de protection que celui accordé au contenu. Le rapport de la TEDIC recommande aux entreprises de s'engager publiquement à demander une autorisation judiciaire lors de la remise des métadonnées aux autorités. Clarifier cette divergence en faveur de la vie privée des utilisateurs reste un défi et les entreprises devraient jouer un rôle plus important dans la prise en charge et la lutte pour leurs utilisateurs devant les tribunaux ou au Congrès.
Tigo est le seul FAI à avoir reçu des étoiles partielles dans les catégories de directives de transparence et d'application des lois pour les documents publiés par sa société mère Millicom. Concernant le rapport sur la transparence, Millicom ne fournit pas d'informations détaillées pour le Paraguay. Le rapport regroupe les données par région, révélant des chiffres statistiques d'interception et des métadonnées qui fusionnent les demandes reçues au Paraguay, en Colombie et en Bolivie. Les rapports de transparence sont des outils précieux pour donner un aperçu de la fréquence à laquelle les gouvernements demandent des données et de la façon dont les entreprises y répondent, mais ce n'est pas le cas si les chiffres pour chaque pays ne sont pas divulgués.
Cependant, Millicom fournit des informations pertinentes lorsqu'elle déclare que les autorités du Paraguay imposent un accès direct à leur réseau mobile , bien qu'elle ne spécifie pas le fondement juridique qui oblige les entreprises à le faire.
En ce qui concerne les directives d'application de la loi, Millicom publie les principales étapes mondiales que ses filiales doivent suivre lorsqu'elles se conforment aux demandes du gouvernement, mais le FAI ne met pas à la disposition du public ses procédures détaillées globales et localement adaptées.
Obtenir l'engagement des entreprises à informer les utilisateurs des demandes de données du gouvernement reste un défi difficile. Tout comme dans la dernière édition du rapport, aucune entreprise n'a reçu de crédit dans cette catégorie. Alors que les normes internationales relatives aux droits de l'homme renforcent l'importance cruciale de la notification des utilisateurs pour garantir une procédure régulière et des recours efficaces, les FAI sont généralement réticents à prendre des mesures pour mettre en place une procédure de notification appropriée.
Trois entreprises sur cinq ( Claro , Tigo et Personal ) ont obtenu des résultats dans la catégorie d'accessibilité Web, bien qu'il y ait encore place à l'amélioration.
Le travail de TEDIC fait partie d'une initiative plus large à travers l'Amérique latine et l'Espagne lancée en 2015 et inspirée par Who Has Your Back? Projet. Plus tôt cette année, la Fundación Karisma en Colombie et l' ADC en Argentine ont publié de nouveaux rapports . La deuxième édition de la Fondation Eticas en Espagne vient ensuite, avec de nouveaux versements au Panamá , au Pérou et au Brésil déjà en préparation.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/05/second-paraguay-who-defends-your-data-report-isps-still-have-long-way-towards le Wed, 06 May 2020 18:40:08 +0000.