Plan
Recherche
Contact
En ce jour du printemps, voici (enfin) la "rétrospective monopage" des sujets Informatique et Libertés 2008...
Bonne lecture !
A comme
ARDOISE
L'Application de Recueil de la Documentation Opérationnelle et d'Information Statistique sur les Enquêtes (ARDOISE) est un nouveau logiciel destiné aux services de police.
Expérimenté depuis le mois de janvier 2008, il remplace l'ancien Logiciel de Rédaction des Procédures (LPR). Il permet de saisir des informations concernant toutes les personnes impliquées dans des enquêtes de police.
Cette nouvelle application a créé la polémique, car certains renseignements collectés sont de nature sensible au sens de la loi "Informatique et Libertés" du 6 janvier 1978 modifiée : le traitement de ces données est prohibé par la loi sauf en cas d'autorisation administrative. Certaines associations de défense des droits de l'Homme et des syndicats de police se sont indignés à l'encontre du logiciel ARDOISE : une rubrique du logiciel précise si la personne est homosexuelle, transsexuelle, travestie, SDF, handicapée ou membre permanent d'un syndicat.
Les associations ont alors saisi la HALDE et la CNIL afin d'empêcher l'enregistrement de ces informations sensibles. La CNIL a rappelé au Ministère de l'intérieur que ce type de traitement ne pouvait être mis en oeuvre que par Décret en Conseil d'Etat, pris après avis de la CNIL. A la suite de ces vives réactions, le Ministère a préféré, dans un premier temps, suspendre l'utilisation du logiciel ; par la suite et après consultation de la HALDE, l'administration a décidé de supprimer la possibilité de collecter les données controversées.
Désormais, la nouvelle version d'ARDOISE distingue l'état de la personne et la qualification de l'infraction. Il n'est plus possible de connaître l'orientation sexuelle, l'état de santé ou l'appartenance syndicale de la personne, sauf dans le cadre de la qualification de l'infraction, comme lorsque celle-ci a un caractère homophobe.
En savoir plus :
Collectif contre l'homophobie
Communiqué de la CNIL
B comme
Biométrie
La biométrie est une technique permettant d'identifier ou d'authentifier un individu en fonction de ses caractéristiques biologiques comme par exemple les empreintes digitales, l'iris, la reconnaissance faciale, la voix, le réseau veineux...
Cette technologie connait un essor important depuis quelques années. En effet, il est de plus en plus fréquent de rencontrer des systèmes biométriques dans les entreprises ou les établissements publics. De plus, dans son livre bleu en 2004, le Groupement des Industries Electroniques recommande que " les pouvoirs publics et les industriels s'entendront sur une action incitative en faveur de l'utilisation des moyens biométriques dans la vie courante, [...], utilisation de la biométrie dès le plus jeune âge. ". Force est de constater que l'usage de la biométrie dans les écoles se développe notamment dans le cadre de la gestion des cantines scolaires.
A quelques rares exceptions, l'article 25-8° de la loi "Informatique et Libertés" du 6 janvier 1978 modifiée impose que tout traitement comportant des données biométriques doit faire l'objet d'une autorisation de la CNIL. Il n'est cependant pas rare de rencontrer des situations dans lesquelles certains dispositifs biométriques sont installés sans autorisation : ainsi à Grasse, la commune a décidé d'installer des systèmes de contrôle d'empreintes digitales dans des écoles sans en aviser la CNIL. La Commission reste donc très vigilante concernant la mise en oeuvre des systèmes traitant des données biométriques.
L'année 2008 a vu les débuts du passeport biométrique, censé améliorer l'intégrité des documents d'identité et renforcer la lutte contre le terrorisme. La législation européenne impose désormais à tous les pays membres d'adopter ce type de document. Le passeport comporte une puce RFID mémorisant les empreintes digitales du titulaire ; les communes sont chargées de délivrer ce nouveau passeport. Sur ce sujet, la CNIL reste très réservée; par principe, elle est méfiante à l'égard des données à caractère personnel qui laissent des traces et qui sont falsifiables, telles que les empreintes digitales.
En savoir plus :
Un article de Nice matin
Le passeport biométrique en pratique (CNIL)
B, c'est aussi...
Bluetooth, une technologie de communication sans fil qui, comme le WiFi, relie des appareils à distance pour échanger des données. La RATP a installé des nouveaux panneaux publicitaires dans le métro parisien qui détectent les téléphones portables à proximité. Ces panneaux envoient des messages publicitaires via Bluetooth. La CNIL voit d'un mauvais oeil ce dispositif qu'elle qualifie de traitement de données à caractère personnel. Elle recommande que la réception de ces messages publicitaires, envoyés par SMS, soit soumise au consentement préalable de l'intéressé - par exemple par un rapprochement du terminal mobile de l'émetteur.
Edouard Balladur a présidé le Comité chargé d'apporter les éléments de réflexion pour réviser la Constitution française. Ce Comité avait proposé la création d'une nouvelle institution sur le modèle espagnol : le Défenseur des droits fondamentaux. Dans le projet rendu par le Comité, ce nouveau personnage se voyait confier un certain nombre d'attributions et notamment celles de la CNIL... qui était alors destinée à disparaître. Un rude débat s'est engagé entre le président de la CNIL, Alex Türk, et l'ancien Premier ministre sur la nécessité de conserver l'autorité administrative indépendante. La révision de la Constitution a eu lieu le 23 juillet 2008 et la CNIL a heureusement survécu.
Big Brother Awards est le prix décerné par l'association Privacy International qui "récompense" les institutions et les entreprises qui, par leurs démarches, portent atteinte à la vie privée des individus. En mars 2008, l'association Privacy International en France a donné les résultats des prix Orwell 2007. Les lauréats sont : le Conseil Constitutionnel, les prototypes de drônes de Quadri France et ELSA, Google Inc, le président de l'université de Lyon II et France 2.
Pour en savoir plus :
Communiqué Big Brother Awards France
C comme
Collectivité territoriales
Les Collectivités Territoriales ont été à l'honneur en 2008 : la CNIL a réalisé 20 contrôles.
La loi Informatique et Libertés concerne chaque personne morale établie en France - de la plus petite mairie, du moindre pharmacien, jusqu'à la ville de Paris (qui a désigné un CIL) et aux plus grandes multinationales.
Investies de missions de service public qui leurs sont conférées par les lois de la République, les Collectivités n'ont guère le choix de mettre en oeuvre un traitement quand il s'agit de gestion de l'état-civil ou de réseaux d'assainissement. Ce caractère obligatoire n'empêche pas l'obligation de déclaration, et au-delà, de respect des règles de protection des données personnelles. La CNIL reconnait parfois le côté obligatoire des applications en les encadrant par des normes simplifiées, ou en les dispensant de déclaration : en 2008, elle a dispensé les traitements de gestion du fichier électoral (quel pouvait bien être le taux antérieur de déclarations ? 10 % ?), et le surprenant traitements "gestion et communication des chambres d'hôtes". C'est aussi l'occasion de vérifier qu'à ce jour aucune mesure d'allègement ne concerne les Offices de Tourisme...
Notons également que les Collectivités détiennent et concentrent de nombreuses informations fiscales, patrimoniales, électorales, sociales, scolaires... Les conséquences d'une interconnexion "sauvage" de ces fichiers serait potentiellement plus dangereuse pour les libertés publiques que les classiques recoupements de fichiers marketing.
La CNIL conclut sa synthèse des contrôles par un appel à plus de désignations de Correspondants Informatique et Libertés : ceci concerne un peu plus de 50 mairies, une quinzaine de communautés de communes, une dizaine de Conseils Généraux, trois Régions.
C, c'est aussi :
CRISTINA, (Centralisation du Renseignement Intérieur pour la Sécurité du Territoire et les Intérêts Nationaux) est un traitement mis en oeuvre à la suite de la création de la Direction Centrale du Renseignement Intérieur (DCRI). Ce fichier a été institué en même temps que le très controversé EDVIGE. Ce traitement concerne la sûreté de l'Etat, la défense et la sécurité publique. Contrairement à EDVIGE, le décret créant CRISTINA n'a pas été publié en raison de sa classification " secret défense ". La CNIL a bien évalué le texte, mais sa délibération n°2008-177 du 16 juin 2008 mentionne uniquement et laconiquement "Avis favorable avec réserves". Les organismes de défense des droits de l'Homme ont formé des recours en référé devant le Conseil d'Etat mais les requérants furent déboutés par la Haute juridiction au mois d'octobre 2008.
Conseil d'Etat Ordonnance du juge des référés du 29 octobre 2008
Constitionnalisation des principes consacrés par la loi "Informatique et Libertés" du 6 janvier 1978 modifiée le 6 août 2004. Lors de la présentation à la presse de son rapport annuel au mois de mai, le président de la CNIL, Alex Türk, a indiqué que la Commission militait pour que le préambule de la Constitution garantisse la protection des données à caractère personnel.
D comme
Durée de conservation
Le "droit à l'oubli" est l'expression utilisée par la doctrine pour désigner la nécessité de limiter dans le temps la conservation des données à caractère personnel.
La loi "Informatique et Libertés" interdit aux responsables des traitements de conserver ces données indéfiniment. Le droit à l'oubli est en conflit avec une autre notion tout aussi importante, le devoir de mémoire : il est nécessaire de trouver l'équilibre entre les deux pour assurer le respect des libertés et enrichir l'Histoire.
Au mois d'avril, le G29, groupement européen composé des 27 autorités de protection des données à caractère personnel, a rendu un avis concernant la durée de conservation des données des moteurs de recherches. Le G29 considère que les données doivent être détruites ou rendues anonymes au bout de 6 mois. Cette position a été suivie des faits puisque quelques mois plus tard Google a décidé de limiter la conservation des données à 9 mois. Puis, Microsoft a fait savoir qu'il réduirait la durée de conservation à 6 mois et enfin Yahoo supprime les données au bout de 3 mois.
La CNIL a apprécié les efforts produits par les moteurs de recherches. Le problème semble plus épineux du côté des réseaux sociaux. En effet, les sites communautaires se sont développés rapidement et détiennent une quantité importante d'informations personnelles concernant les utilisateurs. C'est le cas sur le portail communautaire Facebook où il apparaît que les données ne sont pas totalement effacées malgré le souhait des personnes concernées.
En savoir plus :
La réaction de la CNIL
Le droit à l'oubli
L'avis du G29
E comme
EDVIGE
EDVIGE (Exploitation Documentaire et Valorisation de l'Information Générale) est un nouveau fichier créé par le décret n°2008-632 du 27 juin 2008 dans le cadre de la fusion des services de renseignements donnant naissance à la nouvelle Direction Centrale du Renseignement Intérieur (DCRI).
La mise en oeuvre de ce traitement a profondément choqué les organismes et les mouvements de défense des libertés. Syndicats, associations et même certains partis politiques ont édifié un front commun contre EDVIGE. Cette résistance s'est manifestée de différentes manières, notamment par un nombre important de recours déposés devant le Conseil d'Etat.
C'est le contenu du fichier qui a provoqué ces vives réactions. Outre le fichage des mineurs dès l'âge de 13 ans, EDVIGE enregistre des données sensibles au sens de la législation "Informatique et Libertés". Les informations personnelles inscrites dans le traitement ont trait à l'orientation sexuelle, aux origines ethniques, à l'état de santé des personnes et aux opinions politiques, syndicales, religieuses des personnes publiques. Le décret passe outre le principe du droit à l'oubli en omettant de fixer une durée de conservation des données.
EDVIGE pose de réels problèmes concernant la protection des données à caractère personnel. Avant sa publication, le texte a fait l'objet d'un avis préalable de la CNIL rendu le 16 juin 2008, faisant état de fortes réserves. Quelques unes de ses recommandations ont été respectées: ainsi, le décret a été publié afin que le débat public s'installe. Mission réussie. Face à la pression, le gouvernement a cédé en retirant le décret n°2008-632 ; il a procédé à une modification du traitement.
EDVIRSP (Exploitation Documentaire et Valorisation de l'Information Relative à la Sécurité Publique) a remplacé EDVIGE. Ce nouveau fichier ne contient plus les informations concernant l'orientation sexuelle et l'état de santé. Un droit à l'oubli a été introduit pour les mineurs. Suite au retrait administratif du décret instituant EDVIGE, le Conseil d'Etat, statuant en la forme des référés, a débouté les associations requérantes.
En savoir plus :
Avis de la CNIL
Conseil d'Etat Ordonnance du juge des référés du 29 octobre 2008
F comme
Facebook
Facebook est un site internet permettant à chacun de se constituer un réseau social, soit pour élargir son cercle d'amis, soit pour obtenir des contacts commerciaux.
L'utilisation de Facebook nécessite la création d'un profil, collectant un grand nombre d'informations sur la personne. Cependant, chaque utilisateur est censé être libre de maitrîser la quantité de renseignements qu'il communique.
En 2008, l'actualité de Facebook a été fortement chargée. En effet, le site a fait l'objet d'un grand nombre de critiques concernant sa gestion des données à caractère personnel.
Tout d'abord, la presse britannique a découvert l'existence de failles de sécurité sur le site laissant l'accès libre aux données personnelles des adhérents. Des individus mal intentionnés pouvaient alors utiliser et détourner ces informations à des fins criminelles.
Ensuite, au Canada, des étudiants ont porté plainte contre Facebook pour violation de la vie privée. Les plaignants ont reproché au site l'absence d'information sur l'utilisation ultérieure des données à caractère personnel collectées.
Les nouveaux services proposés par Facebook ont aussi soulevé des difficultés. En effet, grâce à un système de géolocalisation, l'application Sniff offre la possibilité de connaître les lieux où se trouvent ses "amis" en pistant leur téléphone portable.
Une action collective (class action) a été engagée en Californie à l'encontre du site pour violation de la vie privée en ligne. Le programme marketing Beacon surveille, sans autorisation, les achats effectués par les adhérents du site tout en prévenant leurs amis inscrits sur leur profil.
Enfin, il semble que Facebook n'efface pas les informations des adhérents lorsque ces derniers en font la demande. En effet, bien que les données n'apparaissent plus, elles restent malgré tout accessibles. Nous avons également vérifié qu'un profil abandonné est toujours réactivable...
En savoir plus :
Un article sur le Monde Informatique
Un article cnetfrance.fr
Un article de challenges.fr
F, c'est aussi
Fichier positif, serait une base de données accessible à tous les établissements de crédits regroupant l'ensemble des emprunts souscrits par les particuliers. L'idée de mettre en oeuvre ce traitement pour lutter contre le surendettement revient périodiquement. Rejeté par la CNIL l'année dernière, l'idée du fichier positif a refait son apparition à l'Assemblée nationale.
Formalité substantielle, c'est la qualification donnée par la Cour de cassation, dans son avis du 6 octobre 2008, à l'obligation d'informer l'automobiliste verbalisé que cette mesure fait l'objet d'un traitement au sens de la loi "Informatique et Libertés" du 6 janvier 1978 modifiée. Si cette exigence formelle n'est pas remplie, il y a nullité du retrait et le nombre de points reste inchangé.
G comme
Google
En 2008, la société Google Inc a (encore) fait l'actualité dans le domaine de la protection des données à caractère personnel. De nombreux projets présents et avenirs ont soulevé quelques problématiques dans le domaine "Informatique et Libertés".
Google continue de développer Street View afin d'offrir à chaque internaute la capacité de naviguer virtuellement dans les rues des grandes villes du monde. La technologie utilisée permet d'avoir une vue à 360° à hauteur d'homme. En France, la CNIL a rappelé à l'ordre Google en lui imposant, au nom du respect du droit à l'image et de la vie privée, la nécessité de garantir l'anonymat des personnes apparaissant sur les photos. Le géant américain a respecté la recommandation de la CNIL puisque les visages et les plaques d'immatriculations des véhicules sont désormais floutés.
Google, c'est surtout le célèbre moteur de recherche. En tant que tel, il conserve un grand nombre d'informations. En avril, le G29 a rendu un avis dans lequel les 27 autorités européennes de protection des données à caractère personnel souhaitaient que les moteurs de recherche ne conservent pas les données au-delà de 6 mois. En réponse, Google a annoncé qu'il limiterait la conservation des données à 9 mois. Cependant, l'affaire Bénédict S a montré les limites de l'effectivité de la loi "informatique et Libertés". Dans cette espèce, madame S. demandait que Google supprime ses messages personnels figurant dans les forums Usenet. Le Tribunal de Grande instance de Paris a jugé, le 14 février 2008, que la loi du 6 janvier 1978 modifiée n'était pas applicable car le lieu de l'archivage des messages se trouvait aux Etats Unis.
Mais d'autres projets sont en cours de réalisation. D'abord, Google a lancé un projet sur la portabilité des données, Friend Connect, qui permet aux éditeurs de sites de rajouter des fonctionnalités sociales. Facebook a abandonné son intérêt pour ce dispositif car il semble que le système autorise le transfert des données vers des tiers à l'insu des personnes. Enfin depuis 5 ans, Google souhaite lancer GDrive qui est un service de stockage en ligne. Ce projet propose un certain nombre de défis, notamment la confidentialité et la sécurité des données stockées.
En savoir plus :
Affaire Bénédict S - un article du journal du Net
Friend Connect - un article de ZdNet.fr
L'actualité de la CNIL
G, c'est aussi :
Géolocalisation, système qui permet d'être localisé géographiquement. Le développement des technologies de géolocalisation, apparemment rassurantes, inquiète la CNIL. Ces techniques remettent en cause la liberté d'aller et de venir et engendre un risque d'atteinte à la vie privée. En effet, la géolocalisation a tendance à se généraliser dans la vie quotidienne. L'arrivée du bracelet électronique pour surveiller les personnes fragiles (personnes atteintes de la maladie d'Alzheimer, nourrissons) présente un intérêt pour de nombreux professionnels. Il existe aussi des offres commerciales qui proposent à toute personne qui le souhaite d'être géolocalisée grâce à leur téléphone portable.
H comme
HADOPI
Le projet de loi " Création et Internet " ou loi " HADOPI " a pour principal objectif de protéger les droits d'auteurs sur internet. Elle propose de créer une nouvelle autorité administrative : la Haute Autorité pour la Diffusion des Oeuvres et la Protection des Droits sur Internet (HADOPI).
Ce texte consacre le principe de la "riposte graduée", régime préventif complétant les sanctions civiles et pénales déjà existantes. Il consiste à avertir, dans un premier temps, le titulaire de l'abonnement à internet dont la connexion a servi à des échanges illégaux. Dans un deuxième temps, en cas de récidive, l'abonnement du contrevenant est suspendu.
L'HADOPI aurait pour mission de surveiller les droits d'auteurs sur le réseau internet. Cette autorité aura la charge d'appliquer les sanctions sur requête des sociétés protectrices des droits d'auteurs. Après délibération, l'HADOPI pourra décider la transmission des informations nécessaires par les fournisseurs d'accès à internet pour identifier les abonnés.
Le Ministère de la culture a consulté pour avis l'Autorité de Régulation des Communications Electroniques et des Postes (ARCEP) et la CNIL. Les deux autorités administratives ont rendu des avis critiques sur le projet de loi. Malgré tout, le projet a été adopté par le Sénat le 30 octobre 2008 et transmis à l'Assemblée nationale.
Pour en savoir plus :
L'avis de la CNIL publié sur le site de la Tribune.fr
I comme
Italie
En mai 2008, le retour de Silvio Berlusconi à la présidence du Conseil des Ministres a été l'occasion d'un chantier très controversé de prise d'empreintes et de constitution d'un fichier des "Roms", sous la houlette du ministre de l'intérieur Roberto Maroni, membre du parti de droite extrême "La Ligue du Nord". Un débat houleux s'est ensuivi, sur l'opportunité, sur le racisme anti-roms, sur le thème "tous les gitans sont des voleurs"; la Roumanie faisant désormais partie de l'Union Européenne, le Parlement Européen a voté une résolution déclarant que "que cette pratique n'était pas permise par les traités des Droits de l'Homme de l'Union européenne et insistant sur le fait que « les citoyens de l'Union européenne d'origine romanichelle ou tzigane doivent être traités en égaux des autres citoyens italiens. »"
Articles : Une synthèse sur GlobalVoice, un article critique sur Mediapart.
I, c'est aussi :
Adresse IP, est un numéro unique qui identifie chaque équipement sur internet. En 2008 s'est posé la question du statut juridique de l'adresse IP: ce numéro peut-il être qualifié ou non de donnée à caractère personnel ? Pour la CNIL et les autres autorités de protection européenne, la réponse est positive. Cependant, la jurisprudence des tribunaux français montre la réticence des juges à abonder dans ce sens. Cette divergence reste en attente d'arbitrage par la Cour de cassation.
Au niveau européen, un arrêt très important a été rendu par la Cour de Justice des Communautés Européennes (CJCE) le 29 janvier 2008. Dans l'affaire Productores de Música de España (Promusicae) c/Telefónica de España SAU, la CJCE a décidé que les données de connexion ont un caractère personnel.
En savoir plus :
CJCE 29 janvier 2008 arrêt Productores de Música de España (Promusicae) c/ Telefónica de España SAU
J comme
Juridiction
Le juge des référés du Conseil d'Etat a rejeté, le 19 février 2008, la requête d'une société qui demandait la suspension de l'exécution d'une sanction de la CNIL. Dans son ordonnance, le juge administratif a considéré que "eu égard à sa nature, sa composition et à ses attributions, la CNIL pouvait être qualifiée de tribunal au sens de l'article 6-1 de la Convention Européenne des Droits de l'Homme".
Depuis 2004, l'autorité administrative dispose d'un éventail plus large de sanctions. La procédure de sanction mise en place par le législateur garantit le respect des principes d'impartialité, du contradictoire ainsi que les droits de la défense.
A ce jour, nous n'avons cependant pas trace de la décision sur le fond, succédant normalement à la décision en référé : le Conseil d'Etat rechignant généralement à partager ses prérogatives, il n'est pas certain que ce fragile statut de Tribunal soit confirmé...
En savoir plus :
L'actualité de la CNIL
K comme
ku klux klan
Un ku klux klan "à la française" pourrait-il mettre en oeuvre des traitements de données automatisées ?
En l'absence d'idées pour cette satanée lettre K, nous vous proposons un petit eksercice...
La kollecte de données à la fois religieuses et politiques serait un premier frein; ces données ne peuvent être kollectées que par les organes religieux ou politiques pour leur seul objet, les kollectes "kroisées" n'étant pas autorisées. Quant aux données ethnikes, il est encore plus difficile d'obtenir l'autorisation de la KCNIL pour les kollecter et les traiter...
La législation franko-européenne impose également la publicité du traitement: toute personne figurant dans un fichier dispose d'un droit d'aksès, ainsi que de droits de rektification et d'opposition. Un fichier de sympathisants ne poserait pas de problèmes majeurs, alors qu'un fichier des viktimes potentielles et de leurs habitudes serait plus problématik...
Pour klore cet eksercice, il faudrait de toute façon que l'objektif du fichier, ou "finalité du traitement", soit légal et licite: ce dont on peut douter...
C'était notre démonstration par l'absurde de l'importance de cette loi, de plus en plus nécessaire dans notre démokratie, et kandidate à l'inklusion dans la Konstitution selon une proposition d'Alex Türk lors de la présentation du Rapport Annuel en 2008.
L comme
Listes noires
La liste noire est un fichier qui recense un nombre déterminé de personnes considérées comme à risque ou indésirables. En principe, la législation en vigueur n'interdit pas de mettre en oeuvre ce type de traitement; toutefois, les listes noires présentent le danger de marginaliser quelques personnes. En effet, elles peuvent empêcher certains individus de bénéficier d'un droit ; elles s'opposent aussi à l'idée du "droit à l'oubli".
Ces traitements posent un réel problème dans le domaine de la protection des données à caractère personnel. La CNIL veille au respect des obligations de la loi "Informatique et Libertés"; elle exige que l'existence des listes "noires" soit apparente et que l'accès au traitement soit restreint. Elle insiste aussi sur la nécessité de définir une durée de conservation des informations saisies. Enfin, il est primordial que la sécurité et la confidentialité des données soient assurées.
En 2008, quelques listes noires ont fait parler d'elles. Suite à une plainte déposée auprès de la CNIL, un centre naturiste hélio-marin du Cap d'Agde a fait l'objet d'un contrôle qui a révélé l'existence d'une liste noire. Le centre de naturiste s'est conformé aux exigences de la CNIL, qui lui a dès lors donné l'autorisation de traiter ce fichier.
De même, la mairie de Paris et la Somupi ont obtenu l'accord de la CNIL pour créer un fichier de gestion les clients indélicats du service Velib'.
En synthèse : une telle liste peut être mise en place si elle est officielle, dûment déclarée à la CNIL ou au CIL, et respecte les obligations légales. Bref, la loi Informatique et Libertés "blanchit" ces listes noires en des listes "grises" !
En savoir plus :
La position de la CNIL
Un article de la CNIL - Vélib' : Halte aux vélos volés !
Un article du figaro
M comme
Maroc
La Chambre des Conseillers du Maroc a adopté, le 31 décembre 2008, un projet de loi relatif à la Protection des personnes physiques vis à vis du traitement des données à caractère personnel. Bien que cette loi a pour principal but la protection des données à caractère personnel, la démarche montre aussi la volonté du Maroc à s'adapter aux législations internationales. Le texte prévoit la création d'une commission, une CNIL marocaine, qui aura pour mission de sauvegarder la conformité des traitements à la loi et de se prononcer à l'encontre des traitements mis en oeuvre par le gouvernement.
C'est aussi la première étape vers une éventuelle reconnaissance du Maroc comme "Pays offrant un niveau de protection Equivalent" à la législation européenne, facilitant grandement les transferts de données personnelles vers le royaume, et le développement des Centres d'appel et autres plateformes offshore (25.000 emplois en 2007).
En savoir plus :
Un article de Actualité du Maroc
N comme
Note2be
Note2be est un site internet qui offre la possibilité aux élèves de noter leurs professeurs. En réaction, de nombreux syndicats d'enseignants ont porté plainte à la CNIL. Celle-ci a effectué en urgence un contrôle sur place afin de vérifier la conformité du site aux exigences légales.
Cette investigation a permis de constater que le traitement mise en oeuvre n'était pas légitime au sens de la loi. La Commission n'a prononcée aucune sanction administrative à l'encontre de Note2be car le juge des référés du Tribunal de grande instance de Paris a rendu une ordonnance le 3 mars 2008.
Dans sa décision, le juge a considéré, en premier lieu, que le site ne présentait pas un système de notation suffisamment objectif ; en deuxième lieu, que le responsable du traitement n'avait pas pris les précautions suffisantes pour éviter tout risque de controverses et enfin, que les noms des enseignants n'avaient pas à être associés à la dérive commerciale du site. Pour ces motifs, le juge a décidé que le site internet note2be ne poursuivait pas d'intérêt légitime, et que donc son propriétaire n'avait pas d'intérêt réel à gérer des coordonnées d'élèves et de professeurs.
Malgré une confirmation du jugement en appel (CA Paris,14e ch, 25 juin 2008), le propriétaire de Note2be ne s'est pas découragé. Il a présenté une nouvelle version du site. Les syndicats d'enseignants ont saisi une nouvelle fois la CNIL pour obtenir la fermeture définitive du site. En effet, ils prétendent qu'il révèle la situation géographique de certains enseignants protégés par l'Education Nationale.
En savoir plus :
Actualité de la CNIL
Décision du juge des référés du 3 mars 2008
N, c'est aussi :
Navigo, est le nouveau système mis en place par les transports en commun de l'Ile de France destiné à remplacer la Carte Orange. Il s'agit d'une carte à puce sans contact qui contient les informations relatives à l'abonnement du porteur. En 2004, la CNIL avait rappelé dans un avis que les voyageurs avaient le droit de circuler de manière anonyme dans le cadre de la liberté d'aller et de venir. Or, le passe Navigo associe les données de validation au numéro de l'abonné facilitant son identification ; le dispositif conserve l'historique des déplacements pendant 48 heures. Suite aux critiques de la CNIL, la RATP a alors proposé aux usagers des passes Navigo anonymes : le passe Navigo " Découverte ". Cependant, une certaine partie des usagers n'a pas eu le choix. En effet, les titulaires de la Carte Solidarité Transport ne peuvent pas bénéficier de l'anonymat car la délivrance de cette carte est conditionnée à leur situation sociale. De plus, il apparaît difficile de demander à cette catégorie d'usagers, en difficulté, de payer un supplément pour se déplacer anonymement. Enfin, en 2008, la police a tenté d'accéder aux données personnelles du passe Navigo mais la RATP a heureusement refusé d'y faire droit. A suivre... Voir CNIL : La traçabilité des déplacements
O comme
OpTag
OpTag est un projet de la Commission européenne qui vise à perfectionner la sécurité et le flux des passagers dans les aéroports.
La mise en oeuvre d'OpTag se justifierait par le coût élevé des retards au moment de l'embarquement. Pour lutter contre ce phénomène, les chercheurs ont mis au point des caméras capables de filmer à 360°, couplées à une puce RFID incorporée dans la carte d'embarquement. OpTag peut très rapidement retrouver le retardataire, et lui notifier de se présenter immédiatement à la porte d'embarquement. Ce système est critiqué par la CNIL qui n'approuve pas le couplage entre un système de géolocalisation par puce et de la vidéosurveillance. Bien que testé dans un aéroport hongrois, pour l'heure aucune mise en oeuvre officielle n'a été annoncée malgré un investissement de 2 millions d'euros.
En savoir plus :
Un article du Figaro
P comme
Passenger Name Record
Les Passenger Name Record (PNR) sont les informations collectées par les compagnies aériennes auprès de leurs passagers. Elles sont enregistrées dans des bases de données qui sont accessibles par tous les acteurs intervenant dans la réalisation des prestations souhaitées : compagnies aériennes, restauration... Après les attentats du 11 septembre 2001, les Etats Unis ont voté une loi relative à la sécurité aérienne, étendue aux relations avec l'Europe suite à un compromis de 2006 entre les Etats Unis et l'Union Européenne, déterminant un cadre légal.
Depuis, la CNIL et le G29 restent vigilants sur l'utilisation de ces informations. Au mois de novembre 2008, les euro-députés se sont ardemment opposés à une décision-cadre de la Commission européenne visant à utiliser les PNR à des fins répressives. Le texte obligerait les compagnies aériennes à permettre l'accès aux PNR, pour les vols arrivant ou partant de l'UE, à des agences spécialisées dans les missions de répression et de lutte contre le terrorisme. Le Parlement n'a pas été convaincu : les euro-députés restent sceptiques quant à la sécurité juridique pour le citoyen européen, notamment concernant le respect des libertés publiques.
En savoir plus :
Le dossier PNR de la CNIL
P, c'est aussi :
La création d'un Prix Nobel "Informatique et libertés", idée soutenue par les représentants des autorités de protection des données à caractère personnel des 60 pays présents à la trentième Conférence Mondiale Informatique et Libertés. Ce prix aurait pour objet de récompenser la meilleure initiative en faveur de la protection de la vie privée. L'International Privacy Association (IPA) serait créée pour décerner ce prix. Pour le président de la CNIL, Alex Türk, cette récompense permettrait aussi d'établir des standards internationaux de protection des données à caractère personnel.
Q comme
Quarante mille euros
Fin 2006, la CNIL a contrôlé la société Service Innovation Group France (SIG): les contrôleurs de la Commission ont examiné les fichiers informatiques gérant le personnel. Un fichier en particulier a attiré leur attention: il concernait les personnes n'ayant pas donné satisfaction dans l'accomplissement de leur travail. Le fichier contenait des appréciations très subjectives concernant les personnes inscrites, tels les commentaires suivants : "menteuse et pas fiable", "problème d'hygiène et d'odeur", "trop chiante", "dépressive", "problème alcoolisme"...
Le 11 décembre 2007, la CNIL a prononcé à l'encontre de la société SIG une sanction pécuniaire d'un montant de 40.000 €. Il s'agit d'une des plus importantes sanction pécuniaire prononcée et publiée par la CNIL. Bien que la délibération ait été rendue en 2007, la CNIL a communiqué sur celle-ci le 7 avril 2008.
Espérons que la Commission prenne en 2009 la bonne résolution de publier ses délibérations plus rapidement...
En savoir plus :
Délibération de la CNIL
R comme
RFID
La RFID (Radio Frequency Identification), ou radio-identification, est une technologie qui mémorise et transmet des données à distance. Le dispositif se compose d'un lecteur et d'une puce ou "tag". Les informations entre la puce et le lecteur sont réalisées par radio fréquence. L'usage initial de la RFID concernait les domaines de la logistique ou des transports publics comme par exemple le passe Navigo de la RATP. Les billets et les passes des spectateurs des JO de Pékin contenaient de telles puces. Cette technologie se développe aujourd'hui dans bien d'autres secteurs : le passeport biométrique intègre ainsi une puce RFID qui contient les données biométriques du titulaire.
Partout à travers le monde, la radio-identification est en expansion. Au Moyen Orient, des systèmes d'identification par radio fréquence ont été déployés dans des centres de tri postaux afin de mesurer la qualité de ces services. Aux Etats Unis une société commercialise une puce utilisant la technologie RFID qui s'injecte sous la peau. Cette puce autoriserait l'accès au dossier médical du porteur par les médecins et les infirmières.
Ce système pose des questions quant à la confidentialité des données : la technologie étant sans contact, il est facile de lire les données à l'insu du porteur de la puce, parfois à des dizaines de mètres. Des techniques de désactivation définitive (par aimant) ou temporaire (emballage aluminium) se développent et font l'objet d'un important buzz internet.
Enfin, au mois d'octobre, pendant un sommet européen, les 27 ministres chargés de la société d'information ont insisté sur la nécessité de protéger les données à caractère personnels des citoyens. En particuliers, les puces RFID devront pouvoir être désactivées. Nul doute qu'à l'avenir l'utilisation de cette technologie s'accroisse, touchant de plus en plus des secteurs de la vie quotidienne.
En savoir plus :
Un article de la CNIL
S comme
SACEM
Depuis le 6 août 2004, la loi "Informatique et Libertés" permet aux sociétés de perception et de répartition des droits d'auteurs et des droits voisins et aux organismes de défense professionnelle de mettre en oeuvre des traitements portant sur des données relatives aux infractions, condamnations et mesures de sûreté. Cette nouveauté a été ajoutée à la loi pour permettre à l'industrie du disque de lutter contre la contrefaçon des oeuvres sur Internet.
Dans sa décision du 29 juillet 2004, le Conseil Constitutionnel avait confirmé que les sociétés protectrices des droits d'auteurs devaient obtenir l'autorisation de la CNIL avant de mettre en oeuvre ce type de traitement. Dans deux affaires jugées les 22 mai et 23 juin 2008, la Cour d'appel de Rennes a décidé la relaxe de deux internautes qui procédaient à des téléchargements illégaux. Dans ces deux affaires, les agents assermentés des sociétés protectrices des droits d'auteurs SCPP, SACEM et SDRM avaient réussi à identifier des contrefacteurs grâce à la collecte de leur adresse IP.
Or, au moment des faits, en 2005, la CNIL avait refusé l'autorisation à ces sociétés de mettre en oeuvre des traitements automatisés relatifs aux infractions du Code de la propriété intellectuelle. La collecte des adresses IP était donc réalisée en dehors de la conformité aux exigences légales.
C'est pourquoi, la Cour d'Appel de Rennes n'a pas fait droit aux demandes des sociétés protectrices des droits d'auteurs et des producteurs.
Ces décisions de la Cour d'appel ne sont toutefois pas une porte ouverte au piratage : après le désaveu du Conseil d'Etat, arrêt du 23 mai 2007, la CNIL a autorisé, ces mêmes sociétés à collecter des informations dans le cadre des dispositifs de surveillance des réseaux "peer to peer", qui sont désormais opérés légalement sur ces points. Aucune de ces sociétés n'est cependant allée jusqu'à désigner un Correspondant Informatique et Libertés...
En savoir plus :
Un article de Pcimpact.fr
S, c'est aussi :
La CNIL a accueilli un nouveau Commissaire, le Sénateur socialiste Claude Domeizel. Il remplace l'ancien sénateur Philippe Nogrix, non réélu en 2008.
T comme
Taxe CNIL
Bien qu'Autorité Administrative Indépendante, la CNIL est une administration financée par l'Etat ; son budget dépend de celui du ministère de la justice. Malgré une augmentation de ce budget en 2008, la CNIL reste le parent pauvre des autorités européennes protectrices des données à caractère personnel.
C'est pourquoi, la Commission souhaite, par la voix de son président, obtenir son indépendance financière. Alex Türk propose un financement calqué sur le modèle anglais déjà mis en oeuvre, en France, par l'Autorité des Marchés Financiers (AMF). Dans le dispositif proposé, les entreprises et les collectivités territoriales qui mettent en oeuvre des traitements automatisés de données à caractère personnel s'enregistrent à la CNIL et en contrepartie versent une petite somme d'argent de 50 ou 60 € chaque année.
Le président de la CNIL rassure en précisant qu'il ne s'agirait pas d'une privatisation de l'autorité indépendante. Ce système assurerait à la CNIL non seulement son indépendance financière mais aussi une augmentation substantielle de son budget. En effet, la Commission aspire à se développer et à créer des entités régionales afin d'être au plus près du citoyen.
En savoir plus :
Un article de ZDnet.fr
T, c'est aussi :
Trente ans, l'âge de la Commission Nationale de l'Informatique et des Libertés. La CNIL assure la protection des données à caractère personnel des citoyens français depuis la promulgation de la loi 78-17 du 6 juin 1978. Elle est aussi la plus ancienne des autorités administratives indépendantes. Voir : La CNIL a 30 ans
U comme
Usurpation d'identité
En matière de lutte contre la cybercriminalité la France accuse un certain retard; sur la Toile, les usurpations d'identités se développent de plus en plus.
Il est en effet facile, grâce au nombre important de données personnelles qui transitent sur le Net, de voler l'identité électronique d'une personne. La technique du " phishing " ou " hameçonnage " est la plus fréquemment employée: l'internaute berné par un faux site reproduisant celui de sa banque ou de son paypal favori communique sans méfiance les données à caractère personnel demandées.
La législation française réprime l'usurpation d'identité dans le monde réel, mais uniquement lorsqu'elle détermine ou aurait pu déterminer des poursuites pénales à l'encontre de la victime usurpée (434-24 du Code pénal). Il reste donc au législateur à étendre cette infraction au cyberespace. En 2008, une proposition de loi relative à la pénalisation de l'usurpation d'identité électronique a été déposée par la Sénatrice Jacqueline Panis. Cette proposition ajouterait un article au Code pénal qui dispose que "Est puni d'un an d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique."
En savoir plus :
Proposition de loi
V comme
Vidéo-surveillance
Depuis quelques années, le déploiement de la vidéo-surveillance s'accentue pour garantir la sécurité publique. Le préfet de police de Paris annoncé au mois d'octobre l'installation de 1100 caméras supplémentaires d'ici 2011. L'objectif du ministère de l'intérieur est de multiplier par 3 le nombre de caméras dans les centres villes.
Le développement de la vidéo-surveillance a préoccupé la CNIL en 2008. Dans une note, elle a constaté un accroissement important des installations de caméras qui fait craindre le développement d'une "société de surveillance ", et demandé un meilleur encadrement juridique de cette technique, pour assurer le respect des droits des citoyens.
Force est de constater que le régime juridique de la vidéo-surveillance reste flou : la CNIL reconnaît qu'il est difficile de déterminer avec certitude l'autorité compétente chargée du contrôle et de l'octroi de l'autorisation de mise en place des caméras. La note de la Commission au ministère de l'intérieur synthétise les principales problématiques juridiques. Dans ce document, la CNIL démontre qu'elle reste la mieux placée, au vu des technologies utilisées, pour apprécier et contrôler les projets d'implantation de la vidéo-surveillance.
Le Sénat a pris ce dossier au sérieux. En décembre, la Commission des lois a rendu un rapport, dont l'une des onze recommandations préconise que le parc des caméras installées en France passe sous le contrôle de la CNIL; la Chambre Haute a également prévu de légiférer prochainement.
Le Royaume-Uni reste "pionnier" en Europe dans ce domaine. A Portsmouth, un système révolutionnaire est testé; il permettrait d'anticiper les infractions. Le dispositif analyse l'attitude des personnes ou des véhicules filmés et il alerte les autorités lorsque les comportements apparaissent suspects. Fiable ou pas, cette technologie pousse à la réflexion tant sur le plan juridique que philosophique.
En savoir plus :
Un communiqué de la CNIL
Le rapport du Sénat - La vidéo-surveillance : pour un nouvel encadrement juridique
Un article du Figaro.fr
W comme
www.23andme.com
Le célèbre magazine Time a attribué le prix de la meilleure invention à la startup 23andme. Financée à hauteur de 3.9 millions de dollars par Google, la société 23andme a été cofondée par Anne Wojcicki, épouse de Sergey Brin (co-fondateur de... Google). Leur futur bébé (à la date de l'article de Time) présentait 50% de risque de développer la maladie de Parkinson.
23andme propose à chacun de réaliser un test ADN personnel. Grâce à un échantillon de salive, prélevé à la maison et envoyé par la poste, puis à des techniques industrialisées de séquençage de l'ADN, la société offre la possibilité de connaître ses caractéristiques génétiques. La prestation évalue les risques de développer l'une ou plusieurs des maladies héréditaires majeures ainsi que les informations génétiques concernant ses ancêtres : le test de paternité fait ainsi l'objet d'une promotion. Ces résultats peuvent être publiés sur internet, liés sur un quelconque Facebook et comparés avec d'autres personnes...
Tout cela pour seulement 399 dollars. Outre que cette initiative laisse planer certaines inquiétudes (que deviennent les données collectées), elle marque le début de l'ADN en tant que marché. Bienvenue à Gattaca...
Pour en savoir plus :
L'article de Time (en anglais)
Le site de www.23andme.com
X comme
X-files
Dans le domaine de la protection des données à caractère personnel, certains "dossiers" n'ont toujours pas trouvé leur solution. Cette rubrique "X-files" reprend ces dossiers non classés, qui hantent la mémoire des amateurs de conformité et de complétion du cadre légal.
C'est le cas, par exemple, du pouvoir de labélisation de la CNIL. Aux termes de l'article 11-3° de la loi " Informatique et Libertés " modifiée en 2004, la CNIL peut délivrer des labels à des produits et des procédures à la demande des organismes professionnels et des institutions.
Malheureusement, à ce jour, le décret d'application n'a toujours pas été publié; en l'absence de ce texte, la Commission est dans l'impossibilité d'assurer cette mission d'accompagnement. Pour autant, l'autorité administrative n'a pas renoncé et a relancé le ministère de la justice par le biais d'une question écrite le 11 décembre 2008. Dans ce document, Alex Türk, le président de la CNIL, demande à la Garde des Sceaux de lui préciser le délai dans lequel le décret relatif à la labélisation sera publié. Il informe aussi que la CNIL s'est dotée d'un nouveau service d'expertise technologique qui évalue les systèmes informatiques existants.
Le ministère n'a pas indiqué de date de publication. Sa réponse rappelle à la CNIL que cette dernière "a estimé ne pas être en mesure de procéder elle-même aux expertises et qu'elle souhaitait déléguer cette faculté à des prestataires externes". Or, cette possibilité n'est pas prévue par la loi... Le ministère de la justice n'a pas hésité à en conclure que la mise en oeuvre de l'externalisation reste impossible. Depuis bientôt 5 ans, l'article 11-3° est donc inapplicable...
Y comme
Youtube
Dans l'affaire opposant Jean-Yves Lafesse à Youtube, pour ne pas avoir interdit la diffusion sans autorisation d'extraits vidéos de ses sketches, le Tribunal de Grande d'Instance de Paris, dans son jugement du 14 novembre 2008, a considéré que le site communautaire n'avait pas respecté ses obligations légales à l'égard du demandeur.
Le tribunal a confirmé que Youtube avait la qualité d'hébergeur au sens de la Loi de Confiance pour l'Economie Numérique (LCEN) du 21 juin 2004. En effet, la loi énonce que les hébergeurs sont des personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne: stockage de signaux d'écrits, d'images, de sons ou de messages de toute nature fournis par des utilisateurs de ces services. Youtube est donc soumis au régime de responsabilité des hébergeurs et non des éditeurs.
En l'espèce, les éditeurs sont les internautes qui déposent du contenu sur le site. La LCEN impose aux éditeurs la transmission (à l'hébergeur) d'un certain nombre d'informations personnelles : noms, prénoms, domicile et numéros de téléphone (LCEN, art. 6-III). A l'heure actuelle, aucun décret d'application n'a été publié ; le tribunal a jugé que même en l'absence de ce texte, la société Youtube devait collecter ces données, expressément et clairement définies à l'article 6-III de la LCEN, afin de permettre l'identification des internautes sur son site. En ne recueillant que l'adresse IP, l'adresse mail et le pseudonyme, le site communautaire a ainsi failli à ses obligations d'hébergeur, engageant donc sa responsabilité.
De cette affaire, il faut déduire que les hébergeurs auraient l'obligation de mettre en oeuvre des moyens techniques suffisants pour recueillir les noms, prénoms, domicile et numéro de téléphone des internautes éditeurs aux fins d'identification. Ceci aurait ainsi des conséquences en termes de conformité CNIL...
Faisons une entorse anachronique : cette interprétation du TGI de Paris a été contredite quelques semaines plus tard par une ordonnance contraire du 7 janvier 2009 des juges des référés de la Cour d'appel de Paris. Dans une autre affaire de même nature, mettant également en cause la responsabilité de Youtube, la Cour d'appel a estimé qu'en l'absence du décret d'application de la LCEN, la collecte des données à caractère personnel des éditeurs telle que définies par la LCEN ne s'impose pas à l'hébergeur. Affaire à suivre...
En savoir plus :
www.legalis.net (Lien vers la page d'accueil. Legalis n'autorise pas les liens vers les pages internes de son site)
Z comme
Zataz
Zataz.com est un site indépendant, disposant d'un réseau de fidèles lecteurs, pourvoyeur depuis 1996 de scoops et de nouvelles sur ce merveilleux monde de l'informatique... ainsi que les trous, failles et gouffres de sécurité associés, que le site dénonce avec constance. Sa forte sensibilité aux questions Informatique et Libertés et la finesse de ses analyses en fait l'un des sites que nous monitorons très régulièrement.
Lors d'une discussion téléphonique en décembre 2008 avec Damien Bancal, animateur du site, nous avons échangé sur le sujet de la CNIL: Damien regrette lui aussi que la Commission dispose d'aussi peu de moyens, face à la croissance toujours plus forte des moyens d'intrusion dans la vie privée des citoyens - tant de la part de l'Etat que des acteurs privés.
En 2008, un article sur une faille de sécurité a valu à Zataz un procès devant le Tribunal de Grande Instance de Paris - procès perdu sur le rapport d'un "expert informatique" pour le moins bizarre... Zataz a lancé un appel à dons, et c'est bien volontiers que nous le relayons ici.
Au fait... Zataz est le palindrome de taz, pour Temporary Anonymous Zone... ces zones d'anonymat qui se réduisent à chaque nouveau progrès technique.
Cette page a été vue 252 fois.
Commentaires
Ajouter un commentaire
Ajouter un commentaire