Plan
Recherche
Contact
En cette Journée de la Protection des Données personnelles, nous avons le plaisir de vous livrer notre "rétrospective monopage" des sujets Informatique et Libertés 2009...
Bonne lecture !
Dans le cadre de la lutte contre le dopage, l'Agence Mondiale Antidopage (AMA) s'est dotée d'un système automatisé, ADAMS, qui permet la localisation géographique des sportifs, la gestion des autorisations thérapeutiques et la mise en oeuvre des contrôles antidopage. Cette base de données, gérée au Canada, contient des données sensibles (infraction, santé).
Les sportifs doivent renseigner ADAMS afin que les autorités puissent les localiser pour faciliter les contrôles antidopage. Plus précisément, le sportif a l'obligation de prévoir chaque jour une période d'une heure pendant laquelle il est disponible pour un contrôle en un lieu indiqué. Si le sportif change de lieu, il doit en informer les autorités. ADAMS a été autorisé en janvier 2009 par l'Agence Française de Lutte contre le Dopage (AFLD) après avis de la CNIL.
Les types de sports visés par ce système se diversifient ; ADAMS concerne, aujourd'hui, les sports collectifs. L'Union Nationale des Footballeurs Professionnels considère que ce système est attentatoire au droit du respect à la vie privée. Cet organisme a donc saisi la CNIL afin qu'elle invalide ce système de géolocalisation.
Le groupe de l'article 29 (G29), regroupant l'ensemble des autorités européennes de protection des données à caractère personnel, s'était penché sur la question fin 2008. Dans un document de travail relatif au projet de norme internationale de protection de vie privée du code mondial antidopage, le groupe avait posé comme principe que toute personne participant à la lutte contre le dopage a droit au respect de sa vie privée. Les dispositions de protection des données de la directive 95/46 du 24 octobre 1995 doivent être garanties tant pour le traitement des données mis en oeuvre par les organisations antidopage que pour l'utilisation de la base de données ADAMS. L'analyse du G29 a révélé que les conditions (liberté, information et spécificité) du recueil du consentement n'étaient pas respectées. Le G29 exprime aussi un doute sur la pertinence et la légitimité du traitement de données sensibles et recommande que le niveau de protection de ces informations soit élevé.
Les sportifs, présumés innocents, ont aussi des droits : celui d'aller et de venir et celui du respect de leur vie privée.
En savoir plus :
Un article de Libération
A, c'est aussi...
Adresse IP, dont la définition juridique pose encore et toujours problème. A la question : Est-ce que l'adresse IP est une donnée à caractère personnelle ? Le feuilleton continue...
Pour les instances européennes ainsi que la CNIL, cela fait quelque temps déjà que la question est réglée : il s'agit d'une donnée à caractère personnel. Pour le juge français rien n'est moins sûr.
Un arrêt de la Cour de cassation du 13 janvier 2009, est venu préciser que des opérations de collecte de l'adresse IP qui ne seraient pas réalisées au moyen " d'un traitement préalable de surveillance automatisé " mais manuellement " ne constituent pas un traitement de données à caractère personnel ".
Même le Sénat s'est emparé de cette question, puisque le 6 novembre 2009 une proposition de loi a été présentée visant à mieux garantir le droit à la vie privée à l'heure du numérique. L'article 2 de ce texte prévoit que " Constitue en particulier une donnée à caractère personnel toute adresse ou tout numéro identifiant l'équipement terminal de connexion à un réseau de communication. ".
Affaire à suivre ....
En savoir plus :
L'adresse IP : Donnée à caractère personnel
Après Navigo c'est une autre carte à puce qui fait parler d'elle. Lancé depuis 2004, le pass Badgeo est le titre de transport adopté par la Compagnie des Transports Strasbourgeois (CTS) pour ses voyageurs. La carte à puce contient un certain nombre d'informations personnelles comme le nom, la date de naissance ou l'adresse. Elle collecte aussi, à chaque utilisation, la date, l'heure et le lieu de passage. Ces dernières données retracent les déplacements de tout utilisateur.
Devant la multiplication de ce type de technologies et des problèmes connexes, la CNIL s'est penchée sur la question. Elle a adopté deux délibérations : une recommandation le 16 septembre 2003 et une autorisation unique (AU-015) le 3 juin 2008, restée inaperçues jusqu'en 2009. Dans ces deux décisions, la CNIL rappelle que le traitement automatisé des données pour assurer le fonctionnement des titres billetiques engendre des risques en matière de protection des libertés publiques. Les déplacements des utilisateurs peuvent être reconstitués générant une atteinte potentielle à la liberté d'aller et de venir. La CNIL préconise que les traitements relatifs aux données de déplacement devraient prévoir l'anonymisation de celles-ci sauf pour la gestion des fraudes. Le formulaire d'adhésion au système n'indique toutefois aucune durée de conservation des données.
Contrairement à Navigo, le pass Badgeo n'existe pas en carte anonyme mais la CTS "réfléchit et pourrait prochainement proposer un tel système". Fin 2009, ce nouveau système ne semble pas avoir vu le jour.
En savoir plus :
Lire un article e-alsace.net
B, C'est aussi...
Le Bracelet électronique est une technologie déjà utilisée pour les personnes condamnées et placées sous surveillance électronique mobile (PSEM) ; il est aussi expérimenté dans les maternités et dans certaines structures d'accueil pour les personnes âgées. Son usage tend à se diversifier puisque désormais, il est question de son application dans les hôpitaux psychiatriques. La finalité n'est pas de protéger les malades mentaux d'eux-mêmes mais de sauvegarder la société contre les agressions qu'ils pourraient commettre. Ce dispositif est comparable à celui mis en oeuvre pour les personnes condamnées. Dans cette hypothèse, il existe deux problématiques : l'atteinte à la liberté d'aller et de venir et l'absence du recueil du consentement de l'intéressé. Dans tous les cas, il ne faut pas oublier que les personnes atteintes d'altérations des facultés mentales demeurent des personnes qui ont, en grande partie, les mêmes droits que tous les citoyens.
Lire un article de Droit et Technologie
La Biométrie continue cette année à faire parler d'elle. Elle s'installe de plus en plus dans les aéroports. D'après les fournisseurs de technologie dans les transports aériens, un tiers des aéroports seront équipés de systèmes biométriques d'ici les cinq prochaines années. La biométrie sécurise déjà l'accès à des zones interdites et, désormais, elle est employée pour gérer les phases d'embarquement. Air France a choisi d'expérimenter un nouveau système pour traiter l'embarquement de ses passagers. Ce système, baptisé Smartboarding, permet aux passagers munis d'une carte à puce d'embarquer sans attendre les appels du personnel. Cette carte contient des nouvelles technologies : biométrie, RFID et impression thermique. Les données biométriques collectées sont les deux empreintes des index. La biométrie fait aussi une apparition dans la lutte contre la fraude aux examens. Suite à l'accroissement des fraudes aux examens d'entrée des grandes écoles, les centres d'examen ont obtenu de la CNIL l'autorisation de mettre en oeuvre un traitement biométrique de données à caractère personnel: le système choisi permet de reconnaître le réseau veineux de la main des candidats. Enfin, le président de l'Assemblée Nationale a annoncé la mise en place d'un vote biométrique pour l'année 2010. Mais la biométrie n'est pas une technologie infaillible. Une Sud Coréenne a réussi à tromper un scanner biométrique dans l'aéroport de Tokyo avec un simple ruban adhésif.
Big Brother Awards est le prix décerné par l'association Privacy International qui "récompense" les institutions et les entreprises qui, par leurs démarches, portent atteinte à la vie privée des individus. En 2009 les lauréats sont : le ministre du budget, Eric Woerth, prix « Orwell Etat, Elus », Bertrand Delanoë et Christophe Caresche, son ex-adjoint à la sécurité, lauréats du Prix « Orwell Localités », la Mutualité française, prix « Orwell entreprises », la Caisse nationale d’allocations familiales (CNAF), emporte le prix « Orwell Novlangue », ex-aequo avec le projet de recherche Humabio. Michèle Alliot-Marie, ministre de l’Intérieur, enfin décorée « pour l’ensemble de son oeuvre ».
Plus de détails.
Le domaine de la protection des données à caractère personnel a vu, en ce début d'année, une polémique entre le président de la CNIL, le sénateur Alex Türk, et la Commission européenne. Le droit communautaire de la protection des données à caractère personnel fut consacré par l'adoption de la directive 95/46/CE du 24 octobre 1995. Depuis lors, tous les Etats membres de l'Union Européenne ont une loi nationale garantissant cette protection. Cependant, le texte européen a aujourd'hui plus de dix ans. Les technologies ont évolué et de nouvelles pratiques ont fait leur apparition : les réseaux sociaux, l'interconnexion croissante des fichiers, la biométrie, les puces RFID etc.
La Commission européenne souhaite fortement réviser cette directive. A cette fin, elle avait constitué un comité d'experts chargés d'apporter une réflexion sur cette question. Ce groupe était composé de cinq personnalités. Quatre membres désignés par la Commission représentaient plus ou moins directement des organismes américains. Ce choix a soulevé de vives critiques de la part du président de la CNIL et du G29 : il semblait pour le moins étrange de mandater des personnes représentant les intérêts d'un pays qui ne respecte pas les principes européens de protection des données personnelles afin de moderniser le droit communautaire.
Suite à cette polémique, la Commission s'est résignée à dissoudre le comité d'experts.
En savoir plus :
Lire un article sur Bug Brother.com
C c'est aussi ....
Le Correspondant informatique et libertés (CIL) pourrait devenir une fonction obligatoire. Les Sénateurs Yves Détraigne et Anne-Marie Escroffier ont déposé une proposition de loi le 6 novembre 2009 visant à mieux garantir le droit à la vie privée à l'heure du numérique. Cette proposition fait suite à un rapport d'information sur la vie privée à l'heure des mémoires numériques rendu le 27 mai 2009. Pour les sénateurs, le bilan de l'action des CILs est pleinement satisfaisant puisque plus de 5400 organismes ont désigné un CIL. Le Sénat a bien relevé que les CILs ont été de véritables moteurs dans le diffusion de la culture "Informatque et Libertés". C'est pourquoi la proposition de loi ajoute un nouvel article 31-1 à la loi "informatique et libertés" qui prévoit dans son premier alinéa : " Lorsqu'une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre, ladite autorité ou ledit organisme désigne un correspondant "informatique et libertés ". Au passage, l'appellation "CIL" deviendrait officielle.
Fin 2008, la CNIL a autorisé la généralisation du dossier pharmaceutique (DP). Il s'agit d'un dossier informatisé que les pharmaciens ouvrent à chaque assuré social permettant de connaître l'historique sur quatre mois de la liste des médicaments délivrés. Le DP a été constitué dans un objectif de santé publique : il s'agit de lutter contre les interactions médicamenteuses pouvant produire des effets néfastes. Il sera pleinement opérationnel dans deux ans. Le Conseil national de l'ordre des pharmaciens (CNOP) s'est engagé auprès de la CNIL à respecter un certain nombres de garanties et de recommandations : information du patient, sécurité des données à caractère personnel, la garantie d'un accès sans interruption du service. Le DP contient les données suivantes : nom, prénom, sexe, date de naissance, n° de série de la carte vitale, informations identifiant le pharmacien, informations relatives aux médicaments délivrés.
En savoir plus sur le site de la CNIL
D c'est aussi ...
En 2008, Deutsche Telekom (DT) s'était retrouvé en plein scandale national ; le premier opérateur allemand était accusé d'espionner ses salariés. En 2009 à nouveau, des médias allemands (Handelsblatt et Der Tagesspiegel) ont découvert que l'entreprise avait enquêté sur la vie privée, même sexuelle, de certains candidats à des emplois dans ses filiales d'Europe de l'Est. DT aurait confié à des agences de détectives privés de mener des investigations sur la vie privées des candidats à des postes à responsabilités. L'opérateur justifie sa décision par l'existence de forts soupçons de corruption dans les pays de l'Est. DT s'est défendu en affirmant qu'il n'était pas question d'enquêter sur des aspects de la vie privée des candidats. Deutsche Bank et Deutsche Bahn ont également connu des problèmes liés aux données personnelles.
Le Défenseur des droits, institué par la révision constitutionnelle du 23 juillet 2008, devient un membre de la Commission Nationale de l'Informatique et des Libertés (CNIL). Le nombre de commissaires passe donc de 17 à 18 membres (le Président dispose d'une voix prépondérante).
Au mois d'août 2009, le Ministre du budget avait annoncé qu'il détenait la liste de 3 000 contribuables soupçonnés d'évasion fiscale et détenant des comptes bancaires dans des banques suisses.
L'avocat représentant l'association Contribuables Associés a saisi la CNIL afin qu'elle se prononce sur la légalité de cette liste. Ce fichier doit probablement contenir des données à caractère personnel soumis à la loi "informatique et libertés". Le requérant souhaite savoir si la collecte des données personnelles a fait l'objet d'une formalité préalable (déclaration ou autorisation) auprès de la CNIL. Ensuite, il affirme que le transfert de cette liste vers des tiers porte atteinte au droit au respect de la vie privée. Enfin, il souhaite exercer le droit d'accès pour le compte de certaines personnes afin de savoir si leur nom apparaît dans ce fichier. Nous n'avons aucune trace d'une réponse de la CNIL.
L'obtention de cette liste par les services de Bercy est assez alambiquée. Un informaticien a livré un listing bancaire contenant 130 000 noms issus de la base de données de la banque HSBC de Genève. Cette affaire judiciaire semble créer une crise diplomatique entre la Suisse et la France. En effet, le ministre du budget se sert d'informations couvertes par le secret bancaire qui pour l'Etat Suisse ont été volées.
A l'heure actuelle, les autorités françaises vont continuer à exploiter les données qui seront par la suite seront transmises à la justice Suisse.
En savoir plus :
Lire un article sur 20minutes.fr
L'association SOS racisme a publié un rapport sur la pratique du fichage ethno-racial en France. Dans ce document, l'association dénonce ces usages dans les domaines du logement, de la recherche d'emploi et du travail. Le rapport fournit ainsi une liste d'une dizaine d'entreprises qui utiliseraient ce type de fichiers pour cibler le recrutement selon des critères ethniques.
La loi du 6 janvier 1978 modifiée en 2004 relative aux fichiers, à l'informatique et aux libertés (LIL), prohibe expressément le fichage ethnique. L'article 8 de la loi dispose qu' " Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.".
En savoir plus :
Le rapport de SOS racisme
F c'est aussi...
Facebook n'a pas manqué de se faire remarquer cette année. Tout d'abord, un internaute a découvert que le réseau social garderait en mémoire les données des utilisateurs malgré leur "suppression". En réutilisant les urls créées au moment de l'enregistrement de la donnée (image, photo, texte), il est possible de la retrouver alors que cette dernière avait été supprimée.
Au mois de février 2009, Facebook a tenté de modifier ses conditions générales. Cette évolution consistait à octroyer au réseau social une licence perpétuelle sur tous les contenus déposés sur le site. La clause stipulait : "Vous accordez à Facebook le droit irrévocable, perpétuel, non-exclusif, transférable et mondial (avec l'autorisation d'accorder une sous-licence) d'utiliser, copier, publier, diffuser, stocker, exécuter, transmettre, scanner, modifier, éditer, traduire, adapter, redistribuer n'importe quel contenu déposé sur le site".
La finalité déclarée était d'autoriser Facebook à conserver les comptes supprimés par les utilisateurs et de les mettre à disposition des internautes amis. Mais, personne ne peut douter que Facebook avait d'autres idées en tête. Cette licence permettait à Facebook de diffuser, de transférer, de modifier, de vendre à des fins commerciales tout contenu mis à sa disposition. Cette modification a engendré une énorme polémique qui a obligé le géant à reculer.
Enfin, l'actualité de cette année a démontré les effets pervers du réseau social. Avoir un profil sur Facebook produit certains effets non désirés comme par exemple être licencié ou être une source de renseignement pour les agences de détectives privés. Même en matière de fiscalité, Facebook permet de repérer les fraudeurs.
Lire un article sur village-justice.com
Lire un article de libération
Le fichier positif pour lutter contre le surendettement est une idée qui fait son chemin. Les fichiers des incidents de paiement sont des fichiers négatifs. Ils ont pour finalité de recenser les personnes qui n'ont pas réussi à payer leurs crédits. Au contraire les fichiers positifs ont un objectif tout autre, il s'agit de prévenir les emprunteurs du surendettement. Ils existent déjà en Allemagne, en Belgique et au Royaume Uni. En France, sur ce sujet, des désaccords existent qui transcendent les clivages classiques. Les banques, quant à elles, considèrent cet instrument comme inefficace puisqu'il produirait des effets pervers comme notamment un accroissement des sollicitations commerciales. La question du fichier positif sera débattue au parlement lors de l'examen du projet de loi sur le crédit à la consommation, décalé à 2010.
Lire un article de Libération
L'ogre Google continue son bras de fer avec les autorités européennes de protection des données à caractère personnel. Dans ce domaine, la firme américaine confirme son désir de collecter et de gérer un grand nombre d'informations personnelles. Larry Page, un des co-fondateurs de Google, a expliqué ouvertement que les informations des internautes étaient vitales pour son entreprise. Ce positionnement provoque des désaccords profonds avec le G29 (Groupement des 27 CNIL européennes) principalement sur la question de la durée de conservation des données. A tel point que la CNIL fut qualifiée de "technophobe" de la part du responsable de la protection des données personnelles chez Google.
De plus, les services proposés par Google, bien qu'intéressants, posent problème au regard de la législation "Informatique et Libertés".
C'est le cas de Street view qui porterait atteinte à l'intimité de la vie privée des personnes. Bien que Google fasse l'effort de "flouter" les visages et les plaques d'immatriculations, ce ne sont pas les seuls critères qui permettent de reconnaître un individu. Street view a été interdit en Suisse. Le préposé fédéral à la protection des données à caractère personnel a déclaré que le service ne respectait pas la vie privée. Mais Google se défend. Les responsables arguent qu'il n'est pas exact de comparer Street view à de la vidéosurveillance puisque, de leur point de vue, les images diffusées sont tout aussi comparables à des photographies prises et diffusées sur la toile par un photographe ordinaire.
Le service Google Latitude soulève aussi certaines difficultés. Cette application offre la possibilité de géolocaliser les personnes grâce aux téléphones portables. Dans ce cas, ce n'est pas tant la géolocalisation qui pose problème mais la quantité des informations personnelles que peut détenir Google. Il se constitue une gigantesque base de données mondiale sur les comportements de tous les utilisateurs de ses services. Ces informations peuvent faire l'objet de transactions marketing en toute légalité puisque les serveurs sont situés aux Etats Unis.
Il est certain que l'année 2010 verra encore apparaître des points de divergence entre les deux conceptions, européenne et américaine, de la protection des données à caractère personnel. Il se murmure que Google pourrait désigner un CIL en 2010...
En savoir plus...
Lire un article sur le site ecrans.fr
Lire un article sur le site ecrans.fr
Lire un article sur le site silicon.fr
G c'est aussi...
Des chercheurs de l'université de Stanford aux Etats Unis ont présenté au mois d'août une nouvelle technique permettant le séquençage du génome humain pour un coût de 35 300 dollars. Pour rappel, le premier séquençage de l'ADN a eu lieu en 2003. Le projet avait couté environ 3 milliards de dollars. En 2007, une société américaine proposait le déchiffrage individuel pour une somme de 1 million de dollars. A ce jour, seul une douzaine de génomes ont été décodés. Il semble que grâce à l'évolution des technologies le séquençage du génome humain soit de plus en plus aisé et accessible. Cette évolution améliorerait l'efficacité de la médecine préventive tout en proposant des traitements médicaux adaptés aux particularismes de chaque individu. Une société américaine a prédit qu'elle décoderait l'ADN en un quart d'heure et pour une somme de 1 000 dollars aux alentours de 2013.
La loi favorisant la diffusion et la création sur Internet et instituant la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet (HADOPI) a été en partie censurée par le Conseil constitutionnel dans une décision n°2009-580 DC du 10 juin 2009. Les sages ont obligé le gouvernement à revoir sa copie privant la loi d'une majeure partie de sa substance. En effet, les articles de la loi relatifs aux pouvoirs de sanction de la Commission de la protection des droits (CPD) de l'HADOPI ont été jugés inconstitutionnels.
Le Conseil constitutionnel a estimé que le texte violait les dispositions de la Déclaration des droits de l'Homme et du citoyen (DDHC).
Tout d'abord, le Conseil a considéré que l'interdiction ou la restriction de l'accès à Internet portait atteinte à la liberté de communication et d'expression garanties par l'article 11 de la DDHC. Le législateur ne pouvait pas confier ce pouvoir à une autorité administrative (pouvoir exécutif). Il est du ressort du juge, seul garant des libertés individuelles (pouvoir judiciaire).
Ensuite, le texte déféré prévoyait que le titulaire de l'abonnement à Internet pouvait s'exonérer en apportant la preuve que l'infraction commise était le fait d'un tiers. Pour la juridiction constitutionnelle, il s'agit d'une violation du principe de la présomption d'innocence consacrée à l'article 9 de la DDHC. Le texte fait peser une présomption de culpabilité sur le titulaire de l'abonnement à Internet contraire aux principes fondamentaux de la République.
Enfin, le Conseil constitutionnel a rappelé (voir la décision n°2004-499 DC du 29 juillet 2004) que les agents assermentés des organismes de défense professionnels et des sociétés de perception et de répartition des droits d'auteurs, légalement autorisés à utiliser des traitements de données à caractère personnel relatifs aux condamnations et aux mesures de sûreté, ne peuvent les mettre en oeuvre qu'après autorisation de la CNIL et dans le cadre d'une procédure judiciaire. Dans cette hypothèse, les données personnelles concernées sont les adresses IP. Les finalités de ces traitements doivent permettre au titulaire du droit d'auteur d'exercer un recours juridictionnel.
Le Conseil a porté un coup fatal à la "riposte graduée". La loi HADOPI a été promulguée sans ces articles censurés le 19 juin 2009.
Mais les mésaventures de la loi HADOPI suivent leur cours. La loi du 6 janvier 1978 modifiée prévoit que la CNIL doit rendre un avis, favorable ou défavorable, avant toute publication d'un texte qui règlemente un traitement de données à caractère personnel. Le 10 décembre la CNIL a fait savoir au gouvernement qu'elle ne rendrait pas son avis sur un premier décret d'application de la loi HADOPI. Cette position s'explique par la volonté affichée de l'autorité administrative d'obtenir d'abord la communication d'un deuxième projet de décret, en cours de rédaction, relatif à la procédure de sanction des contrefacteurs. Le processus bloqué retarde l'application de la loi HADOPI de quelques semaines.
En savoir plus...
Lire un article sur le site de Pcinpact.com
H c'est aussi :
Herisson (Habile Extraction du Renseignement d'Intérêt Stratégique à partir de Sources Ouvertes et Numérisées) est un projet géré par la Délégation générale pour l'armement (DGA). Ce système serait capable d'accéder et de recueillir tous les contenus diffusés par les médias en ligne. Pour la DGA, Herisson est un démonstrateur technologique qui ne devrait pas être opérationnel. Le système se concentre uniquement sur les contenus ouverts et ne concerne pas la sphère de la vie privée. D'après la DGA, il n'existe pas de base de données à caractère personnel conservées nécessitant une autorisation de la CNIL. Mais ce projet peut cacher un prélude à la mise en oeuvre d'un système Echelon à la française...
Lire un article sur le site de Ecrans.fr
Le Répertoire national des bénéficiaires (RNB) est un registre informatique commun à toutes les CAF. Il recense l'ensemble des personnes bénéficiant des prestations versées par les Caisses. Les finalités de ce fichier sont : d'améliorer la lutte contre la fraude, prévenir les impayés et faciliter le travail des agents et les démarches des usagers. Afin de garantir l'identification des bénéficiaires, il a fallu attribuer un numéro identifiant unique. Le choix s'est évidemment porté sur le numéro identifiant unique de l'INSEE : le NIR. Au 1er janvier 2009, le RNB répertoriait plus de 33 millions de bénéficiaires.
Le Répertoire national commun de la protection sociale (RNCPS) est un fichier inter-branches qui inventorie l'ensemble des personnes bénéficiant des prestations et avantages de toute nature servis par les divers régimes de protection sociale (sécurité sociale, organismes de recouvrement, pôle emploi ...). Les objectifs du traitement sont de renforcer la qualité des services, améliorer la productivité et assurer la conformité des prestations fournies. Une soixantaine d'organismes alimentent cette de base de données à caractère personnel. Ici aussi, le numéro identifiant unique est le NIR afin de permettre une mise en oeuvre rapide.
SAFARI est-t-il de retour ?
Pour mémoire, l'article 25-5 de la loi soumet à Autorisation de la CNIL
- l’interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents ;
- l’interconnexion de fichiers relevant d’autres personnes et dont les finalités principales sont différentes.
En savoir plus :
Le rapport du Sénat sur le RNB
Projet de loi de finacement de la sécurité sociale de 2007
La loi du 6 janvier 1978, modifiée en 2004, autorise la CNIL à contrôler les organismes privés ou publics afin de vérifier la légalité de leurs traitements de données à caractère personnel. Depuis 2004, le développement des contrôles est une priorité pour l'autorité administrative indépendante. Elle déclare avoir procédé à 270 contrôles en 2009.
Afin de mener à bien les vérifications sur place, la loi a doté la CNIL d'un pourvoir "de perquisition". Cependant il n'est pas absolu. L'article 44-II de loi dispose que " En cas d'opposition du responsable des lieux, la visite ne peut se dérouler qu'avec l'autorisation du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter ou du juge délégué par lui.".
Le 14 décembre 2006, la Commission a prononcé deux sanctions pécuniaires d'un montant de 30 000 € à l'encontre de deux sociétés qui pratiquaient la prospection téléphonique. Les deux entreprises ne respectaient pas le droit des personnes à s'opposer au démarchage téléphonique.
Dans le cadre du droit administratif, toute délibération de la CNIL infligeant une sanction peut faire l'objet d'un recours devant le juge et plus précisément devant le Conseil d'Etat. Dans cette cadre, les deux sociétés ont saisi la Haute juridiction dans le but d'obtenir l'invalidation des sanctions.
Le 6 décembre 2009, le Conseil d'Etat a annulé les deux décisions de la CNIL. Il a considéré qu'au vu de l'importance des pouvoirs de contrôle de la CNIL, l'accès aux locaux (pouvoir de perquisition) ne peut être proportionné que si cela est " préalablement autorisé par le juge " ou si la personne " a été préalablement informée de son droit de s'opposer" au contrôle.
La CNIL dit avoir pris acte. Elle informe, dorénavant systématiquement, les personnes contrôlées des dispositions de l'article 44-II de la loi du 6 janvier 1978. Mais, elle rappelle aussi qu'il existe un délit d'entrave à l'action de la CNIL prévu à l'article 11 punissable de 1 an de prison et de 15.000 € d'amende.
Bien qu'il n'y aie pas d'indications sur les modalités de cette information ni de son délai, il s'agit d'un coup dur porté à la commission ; c'est pourquoi elle a demandé au gouvernement une modification de la loi : "Celle-ci pourrait consister à donner à la CNIL la possibilité de se faire délivrer une autorisation du juge judiciaire préalablement à tout contrôle. L’effet de surprise pourrait ainsi être conservé, ce qui est très important en matière de fichiers informatiques où les preuves sont fragiles car facilement effaçables".
En savoir plus :
Un article sur le site de la CNIL
Arrêt du 6 décembre 2009 société INTER CONFORT
Arrêt du 6 décembre 2009 société PRO DECOR
Le fichier ELOI
Le fichier ELOI est le traitement de données à caractère personnel recensant les étrangers qui font l'objet d'une mesure d'éloignement. Créé par un décret du 26 décembre 2007, ELOI se voit une nouvelle fois annulé partiellement par le Conseil d'Etat dans un arrêt du 30 décembre 2009. La Haute juridiction a invalidé deux dispositions de l'acte réglementaire.
Le décret prévoyait d'enregistrer le numéro national d'identification utilisé dans le cadre de la gestion des dossiers des étrangers afin de constituer un critère de recherche pour les utilisateurs du traitement. Le Conseil d'Etat a jugé que l'utilisation de ce numéro identifiant n'était pas pertinent et adéquat au regard de la finalité qui est de traiter des mesures d'éloignement des étrangers.
Le plupart des données traitées dans ELOI sont conservées pour une durée de trois mois, compatible avec la gestion des mesures d'éloignement. Cependant, le texte réglementaire envisageait de conserver trois ans des données essentielles pour simplifier, d'une part, une nouvelle mesure d'éloignement à l'encontre d'un étranger ayant fait l'objet d'une telle mesure ; et d'autre part, pour assurer l'élaboration de statistiques relatives aux mesures d'éloignement. Le Conseil d'Etat a annulé cette disposition au motif que le ministre n'avait pas démontré l'existence d'un intérêt qui justifierait une telle dérogation.
La Commission a constaté que la société ne respectait pas les prescription de l'autorisation unique AU-015. En effet, Kéolis n'avait pas prévu de laisser le choix aux usagers d'utiliser des titres de transports anonymes. Cet oubli ne garantit pas le respect de la vie privée et la liberté d'aller et de venir anonymement. Plus grave, il est apparu que l'obtention du pass Korrigo anonyme est un parcours du combattant (comme Navigo à Paris)...
La CNIL a aussi découvert d'autres manquements aux exigences légales "Informatique et Libertés". Les contrôleurs ont relevé que les données des clients étaient conservées sans limitation de durée. De plus, la société n'informait pas ses clients de l'existence du pass Korrigo anonyme. Enfin, il n'existait pas de politique de sécurité - notamment, les mots de passe étaient trop courts et non conformes aux recommandations de la Commission.
En savoir plus :
La délibération de la CNIL
La loi du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures a modifié l'article 11 de la loi du 6 janvier 1978.
Désormais, la CNIL délivre un label à des produits et des procédures conformes à la loi "Informatique et Libertés". Le président de l'autorité administrative peut recourir à des experts indépendants si la complexité du produit ou de la procédure l'exige. Enfin, il est précisé que le coût de cette évaluation est pris en charge par l'organisme qui demande le label.
La grande nouveauté de ce texte réside dans la possibilité d'externaliser l'expertise des produits et des procédures. La CNIL reste la seule à décider de délivrer le label ou non.
En savoir plus :
Un article de la CNIL
L c'est aussi...
La Commission d'accès aux documents administratifs (CADA) a rendu un avis le 2 avril 2009 dans lequel elle tente de définir l'usage commercial : "Doivent être regardés comme purement commerciales non seulement la commercialisation des données, le cas échéant après retraitement, mais aussi leur utilisation dans le cadre d’une activité à but exclusivement lucratif.". Les listes électorales ne peuvent être utilisées que dans un cadre politique et électoral.
Les présidents de la CNIL et de la CADA ont saisi les services du ministère de l'Intérieur afin qu'ils modifient le code électoral pour mieux encadrer les usages des données à caractère personnel contenues dans les fichiers électoraux.
En savoir plus :
Lire un article de la CNIL
Ces technologies peuvent mettre en oeuvre des traitements de données à caractère personnel qui soulèvent des questions sur les enjeux en terme de protection de la vie privée et des libertés fondamentales. Dans ce cadre, la CNIL s'interroge et rappelle qu'elle a un rôle d'alerte et de conseil afin de sensibiliser l'opinion et les pouvoirs publics. Elle a parfaitement joué ce rôle dans le débat public national organisé au mois d'octobre 2009 dans plusieurs grandes villes.
L'autorité administrative indépendante a souligné les risques potentiels pour les droits de l'Homme du développement d'une technologie confortable et invisible. La dissémination des puces et leur capacité à communiquer avec des objets à distance ne garantissent plus l'anonymat, nous entraînant vers une "hyper-traçabilité" des individus. Les comportements sociaux s'en trouveraient profondément modifiés voire "auto-formatés" dans une société de surveillance.
L'enjeu principal est la maîtrise de ces technologies par les personnes concernées afin d'assurer la liberté d'aller et de venir, le droit à l'oubli et le respect du droit à la vie privée par le silence des puces.
La CNIL juge qu'il existe un besoin de régulation juridique dans ce domaine comme cela était fait pour la bioéthique. Elle considère que les grands principes de la loi du 6 janvier 1978, modifiée en 2004, devront s'appliquer tels que la délivrance de l'information aux personnes, la garantie de la sécurité des données à caractère personnel et la proportionnalité par la mise en place de limites posées par le législateur.
En savoir plus :
Un article de la CNIL
Un rapport de la CNIL
Un article sur le site Innovationlejournal.com
Déposer des données à caractère personnel sur Internet peut avoir de lourdes conséquences tant sur le plan professionnel que personnel. Le développement des réseaux sociaux du type Facebook et consorts nécessite de se pencher sur la question de l'existence d'un droit à l'oubli numérique. Ce droit consiste à avoir la faculté de supprimer ou de modifier des informations personnelles erronées ou inexactes à un moment donné. Le sujet a fait l'objet d'un débat national à la fin de l'année 2009, en partie alimenté par le fameux "article du Tigre".
Pour l'heure, l'article 6-5° de la loi du 6 janvier 1978, modifiée en 2004, impose une obligation de déterminer une durée de conservation des données personnelles lors de la mise en oeuvre d'un traitement. Mais, les effets de la loi sont limités puisqu'elle ne s'applique pas au delà du territoire national.
Les sénateurs Anne-Marie Escoffier et Yves Détraigne ont déposé au Sénat une proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique. Le texte pérennise l'effectivité d'un droit à l'oubli. L'information délivrée par le responsable du traitement devra désormais mentionner la durée de conservation des données personnelles. De plus, les personnes concernées pourront demander à la CNIL la durée de conservation pour chaque traitement déclaré. Enfin, la proposition de loi facilite l'accès aux juridictions civiles en cas d'impossibilité pour les personnes concernées d'exercer leur droit de suppression.
Le droit à l'oubli est-il un droit fondamental ? Doit-il être constitutionnalisé ? Il est difficile de répondre à ces questions car bien qu'il soit normal de ne pas vouloir être "fiché" à vie, il existe néanmoins un devoir de mémoire voire un devoir de l'Histoire.
En savoir plus :
Un article de la CNIL
Un article sur le site du Tigre
O c'est aussi...
OSCAR est l'acronyme pour Outil de statistique et de contrôle de l'aide au retour. Il s'agit d'un traitement automatisé de données à caractère personnel mis en oeuvre par le ministère de de l'immigration, de l'intégration, de l'identité nationale et du développement solidaire. La finalité du traitement vise principalement à repérer les fraudeurs qui profiteraient d'une aide financière de retour et qui feraient une nouvelle demande sous une autre identité. Parmi les données collectées figure l'image numérisée des empreintes des dix doigts de la personne concernée et celles de ses enfants à partir de l'âge de 12 ans.
Dans son avis, la CNIL a précisé que les données biométriques ne permettent pas d'identifier directement les personnes car elles sont conservées dans un module distinct. L'outil se borne à répondre "existant" ou "non existant" selon que les empreintes soient enregistrées ou non. De plus, l'autorité administrative relève que les données ne pourront pas être accessibles au personnel chargé de la prévention et de la répression des actes terroristes.
L'Observatoire international des prisons (OIP) a porté plainte à la CNIL pour dénoncer un fichier dit de "suivi comportemental" mis en place dans les établissements pénitentiaires. Le Cahier Electronique de Liaison (CEL) a pour finalité de favoriser " l'accueil des arrivants, le traitement des requêtes, l'accompagnement et l'orientation des détenus". Pour l'OIP, ce fichier contient énormément de données à caractère personnel dont certaines sont sensibles. Le traitement recueille des informations sur la biographie et le comportement des détenus, leur situation pénale, leur santé, leurs relations familiales et la pratique d'un culte. Il faut préciser que la CNIL a eu connaissance de ce fichier très récemment alors que la mise en place du CEL était prévue dès décembre 2008. L'administration pénitentiaire, pour sa part, indique que le traitement fera l'objet d'un décret en Conseil d'Etat avec avis de la CNIL.
Le communiqué de l'OIP
Le passeport biométrique est délivré depuis juin 2009.
En savoir plus :
Lire un article de la CNIL
P c'est aussi...
PHAROS (Plate-forme d'harmonisation, d'analyse, de recoupement et d'orientation des signalement) est un système mis en place par le ministère de l'Intérieur pour signaler un délit sur commis sur Internet. Les délits concernés sont l'usurpation d'identité, des contenus illicites etc. Au cours du premier mois 300 000 internautes ont signalé un délit. Si vous aussi vous voulez signaler un délit, rendez-vous sur le site www.internet-signalement.gouv.fr.
...
Des élus et des associations s'inquiètent sur ce nouveau mode de diffusion qu'ils considèrent comme trop intrusif. La RATP a expliqué qu'elle respectait la législation sur la vidéosurveillance... et a informé qu'elle prévoyait d'installer 1 900 écrans d'ici fin 2010.
Sur un tout autre sujet, la CNIL a réalisé un testing auprès de la RATP concernant le célèbre pass Navigo. Ce dernier avait été largement critiqué car il ne garantissait pas l'anonymat des utilisateurs. La RATP avait alors proposé un deuxième pass anonyme plus cher : le pass Navigo Découverte.
Lors de ce contrôle, la CNIL a constaté que les conditions d'information des personnes concernées étaient médiocres. Par la suite, la Commission fut saisie par des usagers bénéficiant de la tarification "solidarité transport" applicable aux personnes ayant des aides sociales (RMI). Ces derniers réclament le droit de profiter aussi du pass Navigo anonyme. Sur ce dernier point, la CNIL soutient les requérants puisque rien techniquement l'interdit.
En savoir plus :
Un article de la CNIL sur le testing à la RATP, une action en référé
Un article sur le site HNS-info.org
R c'est aussi....
Un des soucis premier de la CNIL est d'assurer ses missions correctement. Or, force est de constater qu'elle ne dispose pas de grands moyens malgré une augmentation récente de son budget. Le Président de la CNIL, Alex Türk, soumet l'idée de créer une "redevance CNIL". Il s'agirait de porter à contribution toutes les personnes morales publiques et privées mettant en oeuvre des traitements de données à caractère personnel. Autrement dit, la quasi totalité des organismes seraient concernés. Il s'agirait d'un montant annuel partant de 40 ou 50 euros et allant jusqu'à 500 euros pour les grandes structures. Le but serait d'accroître son indépendance vis à vis de l'Etat et d'augmenter son budget jusqu'à 20 millions d'euros.
Un article sur le site Zdnet.fr
Il a fallu deux ans aux agents de la CNIL pour contrôler l'ensemble du fichier. Le contrôle a révélé un fort taux d'erreur dans le STIC. En effet, seules 17% des fiches contenues dans le STIC sont exactes et mises à jour. Par exemple, 6,8% des relaxes sont mentionnées dans le fichier. La CNIL estime que ces erreurs sont préjudiciables pour les personnes concernées notamment sur le plan professionnel.
A la suite de ce contrôle, la CNIL a élaboré 11 propositions en vue d'une utilisation plus rigoureuse et maîtrisée du STIC. Les effets n'en sont pas encore perceptibles.
En savoir plus :
Les conclusions du contrôle du fichier STIC
C'est une plainte du syndicat Force Ouvrière (FO) qui est à l'origine de l'avis prononcée par la CNIL. Le syndicat craignait que ce système soit aussi utilisé pour surveiller le personnel. La CNIL avait procédé à un contrôle surprise au mois de mai 2008 dans le PC sécurité de Transpole.
Dans son avis, la CNIL a considéré que l'enregistrement du son en continu n'est pas conforme aux exigences de la loi "Informatique et Libertés". L'autorité administrative préconise d'installer un mécanisme permettant de déclencher ou d'éteindre les enregistrements sonores. Transpole a donc confirmé l'installation d'interrupteurs discrets dans un "délai raisonnable".
L'avis de l'autorité administrative indépendante a été pris en assemblée plénière (les dix-sept commissaires), lui confèrant une certaine force jurisprudentielle. Les autres compagnies de transports en commun devront s'y référer si elles souhaitent mettre en place de tels systèmes.
Le réseaux social le plus célèbre, Facebook, propose à ses membres de personnaliser les URLs de leur profil. Les détenteurs de profil sur Facebook pourront inscrire leur nom à la place de l'identifiant "id" situé à la fin de l''adresse URL. Cependant, il existe le problème des homonymes, c'est pourquoi les premiers arrivés seront les premiers servis.
Avoir une adresse URL personnalisée permet aux membres de Facebook d'être facilement trouvés par leurs amis. Mais la véritable raison est la concurrence avec les autres réseaux sociaux. En effet, l'adresse URL personnalisée apparaîtra en première ligne lors d'une recherche sur Google.
Pour les personnes regrettant leur choix, il existe une option sur le site de Facebook pour masquer leur profil aux moteurs de recherche.
En savoir plus :
Lire un article sur le site du Figaro
En 2009, rien de nouveau sur le front de l'usurpation de l'identité numérique...
Internet est l'outil de communication par excellence permettant à chaque internaute d'être relié au monde. Aujourd'hui, il est quasiment normal de s'y connecter pour effectuer des achats, chercher du travail, se socialiser en restant en contact avec ses amis ou sa famille. Mais il y a un prix à payer : le champ de la vie privée est de plus en plus restreint. Cela est vrai tant dans la vie personnelle que professionnelle.
Il faut partir du principe qu'une information mise sur le réseau devient automatiquement publique pour un temps parfois incertain. Les réseaux sociaux, les blogs et les nombreuses autres applications sont autant de moyens de connaître la vie privée des utilisateurs. Les professions friandes d'informations à caractère personnel comme les chasseurs de têtes des cabinets de recrutement, les détectives privés et les publicitaires sont les premiers à revendiquer l'utilisation de ces nouveaux médias afin de sonder la vie privée de leurs "cibles". L'enfance, la formation scolaire, le parcours professionnel, les idées politiques et philosophiques ainsi que l'orientation sexuelle sont facilement accessibles. La revue "Le Tigre" a démontré cet état de fait lors d'un article dans lequel l'auteur retrace la vie privée d'une personne ayant laissé de nombreuses traces sur la toile.
Pour les plus imprudents, les conséquences sont dramatiques. L'obtention ou non d'un emploi dépend des informations à caractère privé publiées sur le Net. Un avis trop tranché dans un forum, la diffusion de photos compromettantes d'une folle soirée accroissent la difficulté de l'insertion professionnelle. Bien évidemment, les plus concernés sont les adolescents qui n'ont pas tous la capacité d'anticiper les implications à venir à exposer leur vie privée.
Aux Etats-Unis, des sociétés ont découvert un nouveau marché, désormais exploité en France ; elles proposent de restaurer votre "e-réputation" en s'efforçant de supprimer toute information personnelle nuisible.
Il appartient à chacun de maîtriser l'information qu'il souhaite communiquer sur sa vie. Sur la toile, personne n'est à l'abri, personne n'est anonyme.
En savoir plus :
Lire un article sur le site de la CNIL
V c'est aussi...
La protection des données à caractère personnel est plus souple aux Etats-Unis qu'elle ne l'est en Europe. Certaines filiales américaines, implantées en France sont obligées de mettre en oeuvre des systèmes d'alerte professionnelle. Pour être légal, le dispositif doit faire l'objet d'une autorisation de la CNIL. Afin de fixer des règles claires, cette dernière a ainsi adopté l'autorisation unique AU-004 qui règlemente de tels systèmes. En effet, le "whistleblowing" peut avoir de graves conséquences sur la carrière des salariés allant jusqu'à la perte de leur emploi.
Aujourd'hui, 1.500 entreprises déclarent utiliser des alertes professionnelles. C'est le cas de l'entreprise Dassault Système dont le dispositif a été remis en question par le Cour de cassation dans un arrêt du 8 décembre 2009. La Haute juridiction a considéré que les règles imposées par la direction dépassaient le cadre fixé par la CNIL. Selon la Cour, l'entreprise a violé la loi "Informatique et Libertés".
En savoir plus :
Lire un article sur le site du Point
W c'est aussi...
....
Yauba est un nouveau moteur de recherche développé en Inde en 2009. Ce nouveau venu procède par recherche sémantique c'est à dire qu'il analyse le sens de la requête de l'utilisateur. Mais la particularité de Yauba est qu'il garantit la vie privée des internautes. En effet, il ne place aucun cookie dans le navigateur, il ne conserve pas les informations permettant d'identifier les utilisateurs, et il empêche les sites tiers d'avoir accès aux informations personnelles. Voilà une bonne initiative qui mérite d'être saluée.
En savoir plus :
www.fr.yauba.com
...
Cette page a été vue 211 fois.
Commentaires
Ajouter un commentaire
Ajouter un commentaire