Le Cabinet CILEX m'a fait parvenir, par l'intermédiaire de Cédric Crépin, une rétrospective très intéressante de l'année 2006 en matière de données personnelles. Celle-ci est présentée sous la forme d'un abécédaire.

Je vous propose d'en découvrir ici la première partie, que vous pouvez retrouver sur le site du cabinet à cette adresse.

Merci pour cette contribution.

A comme AOL (Etats-Unis) qui a sans doute commis la plus grosse faute en matière de protection de la vie privée de l'année. La société a mis en ligne les données de recherche de 650.000 utilisateurs de ses services. Le nom des utilisateurs n'apparaissait pas - remplacés par des identifiants aléatoires - mais les données incluaient l'historique de recherche d'une période de 3 mois ainsi que les liens cliqués pour chacune des requêtes. Pourtant, des internautes et des journalistes ont réussi à identifier certaines personnes en recoupant les requêtes. Des poursuites judicaires contre AOL sont aujourd'hui engagées. Quelques semaines plus tôt, AOL avait accepté d'ouvrir ses bases au gouvernement américain... A noter que la loi US impose aux entreprises d'informer le public sur les pertes, vols... de données subis; on peut se demander quel serait le résultat d'une telle obligation en France...

En savoir plus :

Un article de la rédaction de ZDNet
Un article de Generation-NT
Le point de vue de l'association américaine Electronic Frontier Foundation

A, c'est aussi...

ACFCI (Assemblée des Chambres Françaises de Commerce et d’Industrie) qui a conclu en mai une convention de partenariat avec la CNIL pour promouvoir la nouvelle fonction de correspondant à la protection des données au sein des CCI, puis des entreprises ;
Assureurs santé dont les traitements sont l'objet d'une action commune de contrôle dans les 25 pays de l'Union sous l'impulsion du G29.




B comme Biométrie, technique globale visant à établir l'identité d'une personne en mesurant une de ses caractéristiques physiques. Travail (contrôles des accès), école (gestion de la restauration), police (fichiers d'empreintes, bases ADN), la biométrie connaît un succès que la CNIL a eu du mal à canaliser. D'abord hésitante sur le sujet, la Commission a adopté pas moins de trois autorisations uniques pour permettre l'encadrement des traitements à base de biométrie. Elle a en outre développé de nombreux axes de communications pour tenter de faire comprendre les enjeux et les dangers de cette technique. Objet de toutes les convoitises pour certains, rejet pur et simple pour d'autres, la biométrie fut au coeur des passions en 2006.

En savoir plus :

Les trois autorisations uniques adoptées par la CNIL
Un Rapport parlementaire du 4 mai 2006 rendant compte d'une audition publique sur la biométrie
Un article de la rédaction du JDN
Le Portail francophone de la biométrie

B, c'est aussi...

Banques, dont la pratique en matière de protection des données est cette année encore insuffisante (affaire SWIFT, santion à l'encontre du Crédit Lyonnais) ;
Blog, page personnelle dont le régime juridique a été discuté en 2006. Le blog est désormais dispensé de déclaration par la CNIL s'il est un simple journal personnel, mais il reste soumis aux dispositions de la loi.




C comme Correspondant à la protection des données, plus connu sous le sigle CIL. Issu de la loi d'août 2004 modifiant la loi Informatique et Libertés, son statut a été défini fin 2005. En un an, près de 600 organismes se sont dotés d'un CIL. Résultats satisfaisants pour certains, chiffres dérisoires - ou décevants ? - pour d'autres, la fonction est encore en phase de tâtonnements. Et vous, avez-vous un CIL / pensez-vous en mettre un en place en 2007 ? Quel est votre pronostic sur le nombre de CIL dans un an, fin 2007 ?

En savoir plus :

La page consacrée au CIL sur le site de la CNIL
Le Cabinet CILEX, dédié au CIL
Un article sur le site de 01Net

C, c'est aussi...

CNIL - Commission Nationale de l'Informatique et des Libertés - autorité sollicitée sur de nombreux dossiers mais dont l'action est freinée, notamment par un manque de moyens. Suite à son déménagement en 2006 pour une meilleure efficacité des services, auparavant dispersés, la CNIL atteindra-t-elle en 2007 son objectif de doubler le nombre de contrôles ? ;
CILEX - Le Cabinet CILEX a été créé en février 2006 pour être le premier prestataire de Services aux CIL.




D comme Déclaration, la formalité de base permettant d'officialiser la mise en oeuvre d'un traitement. Suite à la loi du 6 août 2004 modifiant la loi Informatique et Libertés, la Déclaration a connu de profonds bouleversements. Les cas de dispenses se multiplient (notamment avec le CIL), la simplification des démarches est au coeur du travail de la CNIL. Pourtant, de trop nombreux organismes négligent de déclarer leurs traitements, au risque de subir des sanctions très lourdes.

En savoir plus :

Le Guide pratique de la déclaration sur le site de la CNIL
Un article du Cabinet CILEX
Un article de Ratiatum

D, c'est aussi...

DMP (Dossier Médical Personnel) dont les expérimentations ont été autorisés par la CNIL en juin. La question de l'utilisation du NIR comme identifiant santé fait débat.




E comme Ethnie. Les thèmes de "discrimination positive" et de racisme ont animé le débat public en 2006. La question du comptage ethnique s'est ainsi développée en parallèle. Quand bien même la loi s'oppose à cette méthode, certaines voix demandent un assouplissement des règles (dont celle de M. Delnatte, commissaire à la CNIL, qui "regrette que le comptage ethnique, banal dans les pays anglo-saxons, soit interdit en France"). La CNIL reste ferme sur ses positions : seules certaines données peuvent être recueillies dans le cadre de la mise en place d’outils de mesure de la diversité des origines. S’agissant des données relatives aux origines raciales ou ethniques des personnes, l’absence de définition d’un référentiel national de typologies « ethno-raciales » prohibe toute étude de ce type. Des parades existent : en juillet, la CNIL a autorisé une enquête basée sur un échantillon sélectionné à partir de la consonance du nom et du prénom d’abonnés du téléphone "en raison de l’intérêt public attaché à l’étude de l’intégration en France des descendants d’immigrés turcs et marocains". En décembre, elle lance une consultation publique afin de définir une position officielle.

En savoir plus :

La position de la CNIL sur le comptage ethnique
La CNIL lance une consultation publique
Les délibérations de la CNIL sur le dossier du CRIF (rejet d'une demande de sondage téléphonique)
L'audition parlementaire du président de la HALDE par la délégation aux droits des femmes

E, c'est aussi... 

Europol, organisation européenne chargée de la lutte contre la criminalité créée en 1995, chargée de faciliter l'échange d'informations entre les États membres. A l'avenir, elle gèrera des bases de données européenne (dont ADN).




F comme Finances, celles de la CNIL étant dans le rouge. Face à une activité croissante suite aux modifications législatives, la CNIL manque de moyens humains et financiers pour remplir ses missions. Cette situation, dénoncée par le président Türk, a été résolue par le Premier Ministre qui a décidé de dégeler un budget promis en début d'année. La CNIL est toujours en "cessation de paiement" et demande une « sanctuarisation » de son budget, afin qu'il ne disparaisse pas sous le coup d'amendements parlementaires. Fragilisée, la CNIL regarde l'avenir avec doute.

En savoir plus :

Le communiqué de la CNIL :
L'appel du député Christian Paul sur son site (avec la réaction de l'un des commissaires de la CNIL en commentaires)
Un article de 01Net

F, c'est aussi...

Fichiers de police qui ont été multiplié en 2006 (FIJAIS, Fichier des crimes en série...), la CNIL rappellant constamment sa préoccupation autour de ces "casiers judiciaires parallèles" ;
FNAEG ou Fichier National Automatisé des Empreintes Génétiques. Réservé aux auteurs avérés de crimes sexuels à sa création en 1998, il a été progressivement été étendu aux auteurs de crimes graves (2001), puis à tous les délits et intractions, aux suspects et aux simples "mis en cause" en 2003. Le refus de prélèvement constitue un délit ; les premières condamnations ont eu lieu durant l'été 2006.
    



G comme G29, le méconnu groupe de travail européen des autorités nationales de protection de la vie privée. Le G29 travaille en partie sur les questions de transfert de données aux Etats-Unis, gros demandeur de données personnelles. Et l'année fut riche : affaire SWIFT (programme de surveillance des transactions financières par les autorités américaines), annulation de l'accord PNR (Passenger Name Records, enregistrement des passagers aériens) par la CJCE, mise en place de systèmes d'alertes éthiques au sein de certaines entreprises en application de la loi américaine Sarbanes-Oxley... Souvent négligé, le travail fourni par le G29 est pourtant primordial pour la protection des données au sein de l'Union Européenne.

En savoir plus :

Le site officiel du G29
Interview de Peter Shaar, président du G29 par la rédaction de ZDNet
La page de la CNIL consacré au PNR

G, c'est aussi...

Géolocalisation, technique de localisation par GSM utilisée par certaines sociétés pour suivre les employés, encadrée par la CNIL
    
    


H comme HALDE, l'autorité administrative indépendante (AAI, comme la CNIL) chargée de lutter contre les discriminations et promouvoir l'égalité. En mai, la HALDE et la CNIL signent une convention de partenariat pour conjuguer leurs efforts. Echanges d'informations, mission de contrôle en commun... les deux AAI espèrent se promouvoir mutuellement, la compétence des deux instances étant parfois complémentaires (voir la lettre E).

En savoir plus :

Le site de la HALDE :
Le texte de la convention entre la CNIL et la HALDE

H, c'est aussi...

    
Hypermarchés, les mauvais élèves de l'année 2006 avec les dispositifs de contrôle de paiements par chèques mis en oeuvre sans autorisation de la CNIL, qui a décidé de procéder à des contrôles. A noter la condamnation d'un hypermarché Leclerc en décembre pour ces mêmes motifs.




I comme Identité ou plutôt les titres d'identité. Carte d'identité, passeport, visas sont tous l'objet de modifications importantes suite aux attentats du 11 septembre 2001. L'emploi d'éléments biométriques et la constitution de bases de données sont les points les plus discutés. En France, la CNIL nourrit sa réflexion s'agissant de la carte d'identité électronique en procédant à des auditions. Le passeport biométrique est quant à lui mis en circulation, pour faire face aux exigences américaines. En Allemagne, les données personnelles pourraient être mises en vente par l'État pour financer ces passeports.

En savoir plus :

La page de la CNIL sur la question des titres d'identité :
La synthèse de la consultation publique organisée par le Forum des Droits sur l'Internet
Un article du Monde Informatique

A suivre...