Voici la dernière partie de la rétrospective de l'année 2006 en matière de données personnelles proposée par Cédric Crépin du cabinet CILEX.
Bonne lecture !
R comme Rétention de données, effectif et obligatoire en France depuis la publication du décret du 24 mars 2006 : un ensemble de données techniques sont désormais conservées par tous les opérateurs de communications électroniques, fournisseurs d'accès Internet, et opérateurs de téléphonie, mobile ou fixe. De même, "les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect de ces dispositions".
Le principe de la conservation de données avait été posé par la loi sur la Sécurité Quotidienne en novembre 2001, soit quatre ans auparavant, avec un double objectif (outre les naturels impératifs de facturation des opérateurs…). Un objectif de sécurité des réseaux a conduit à organiser un premier niveau de rétention de trois mois. D'autre part, pour permettre la recherche, la constatation et la poursuite des infractions pénales, les données sont conservées douze mois, indépendamment de leur nature.
La définition des données conservées est large et peu précise : identification de l'utilisateur et du destinataire, origine et localisation, caractéristiques techniques des équipements ainsi que la date, l'horaire et la durée de chaque communication… La CNIL n'a pas hésité à critiquer ce texte, estimant qu' "en se contentant d’énumérer cinq catégories générales de données [le décret] ne permet pas aux opérateurs de mesurer précisément l’obligation qui leur est faite de conserver certaines données en dérogation au principe général d’effacement ou d’anonymisation posé par la loi". La Commission relève à l'occasion que son avis d'octobre 2005 sur l'avant-projet de loi anti-terrorisme n'a pas été suivi…
Le décret de mars 2006 applique également la Directive 2006/24 adoptée le 15 mars 2006. Ce texte européen s'était attiré les foudres du G29, groupe de travail des "CNIL" européennes. Dans un avis du 25 mars, le G29 soulignait que "la décision de conserver les données de communication aux fins de la répression des infractions graves est sans précédent et elle fera date. Elle empiète sur la vie quotidienne de chacun et menace les valeurs et les libertés fondamentales érigées en principes et chères au coeur de tous les citoyens européens." Cette directive fait d'ailleurs l'objet de contestations devant les juridictions Irlandaises (voir la lettre P). Enfin, à voir la dérive du fichier génétique, le FNAEG, à l'origine réservé lui aussi aux "infractions graves" et désormais applicable aux taggeurs et aux faucheurs d'OGM, on ne peut que s'interroger…
En savoir plus :
La loi sur la sécurité quotidienne du 15 novembre 2001, le décret d'application du 24 mars 2006, et l'arrêté du 22 août 2006 proposant une grille tarifaire des compensations financières liées à la rétention des données
L'avis de la CNIL du 10 octobre 2005 sur l'avant-projet de loi anti-terrorisme
La réaction de la CNIL suite à l'adoption du décret du 24 mars 2006
L'avis du G29 sur la directive 2006/24
Un article du blog sur le E-commerce de Benoît Tabaka
R c'est aussi comme...
RATP, fautive d'une fuite de données personnelles cet été. Un particulier qui complétait en ligne un formulaire pour un pass Navigo a remarqué que l’URL comprenait en partie son numéro client. En modifiant ce numéro dans l’adresse, il parvint dynamiquement à consulter le formulaire des autres clients. La consultation des formulaires permettait d'accéder à la photo du demandeur, son état civil, son adresse postale, son mail et son numéro de téléphone. Ce défaut de sécurité, digne d'un débutant, est une violation patente de l'obligation de sécurité imposée par l'article 34 de la loi Informatique et Libertés, passible de lourdes peines. Un faux-pas de plus pour la RATP qui, en violation des recommandations de la CNIL, faisait payer aux possesseurs de Navigo la possibilité de circuler de façon anonymement. Cette faculté semble d'ailleurs avoir tout simplement disparu aujourd'hui.
RFID - Radio Frequency IDentification - méthode permettant de stocker et récupérer des données à distance. Elle peut fournir des données à caractère personnel de part la nature individuelle des identifiants de chacun des objets marqués. La CNIL et la Commission Européenne s'inquiètent des usages "furtifs" pouvant découler de cette technologie. Un cadre réglementaire est à l'heure actuelle en cours d'élaboration, le G29 ayant fourni un rapport éclairant sur les problèmes du RFID et les solutions possibles.
S comme les Sanctions de la CNIL délivrées en 2006. La modification de la loi Informatique et Libertés en août 2004 a doté la CNIL d'outils répressifs importants, notamment par un nouveau pouvoir de sanction pécuniaire. Par deux délibérations du 28 juin, une Etude d'huissier et la banque LCL ont eu la primeur publique de ce pouvoir d'amende. Dans le premier cas, la CNIL a voulu contrôler les pratiques de l'Etude suite à des plaintes. Le secret professionnel lui a été opposé, empêchant toute vérification. Après enquête, la CNIL a estimé que son action a été entravée et qu'aucun effort en matière de protection des données n'avait été fourni par l'étude.
Dans le second cas, la CNIL avait été saisie de plaintes émanant de clients de la banque LCL, contestant leur inscription dans les fichiers centraux de la Banque de France (FCC [chèques impayés, retraits carte bancaire] et FICP, incidents de remboursement aux Crédits des Particuliers). Or ces clients avaient payé leurs dettes. La CNIL a alors procédé à deux contrôles successifs, mais n'a pas obtenu de réponses satisfaisantes quant à la conformité de ces inscriptions à la réglementation bancaire applicable. Face à l'inertie de la banque lors des contrôles, la Commission a estimé qu’il y avait eu entrave à son action et inscription abusive dans des fichiers. Une amende de 45.000 € a été infligée, assortie de l'insertion de la délibération de la Commission dans deux quotidiens (Le Figaro et Les Echos) - cette insertion a eu lieu le 15 août, jour de faible lectorat. Si les pratiques Informatiques et Libertés sont à revoir, le Service Communication de la banque est quant à lui bien rodé.
En savoir plus :
Les délibérations de la CNIL du 28 juin 2006 sanctionnant la banque LCL et une étude d'huissiers
Un article de la rédaction de ZDNet
S c'est aussi comme...
Signal-Spam, plate-forme de concertation publique-privée destinée à lutter contre le spam. Le projet, lancé après l'expérience de la boîte à spam de la CNIL, a vocation a recueillir des données destinées aux autorités et aux fournisseurs d'accès. Un des leviers de cette action consiste en la posibiité pour l'internaute de transmettre ses courriers indésirables, ce qui renseignerait sur l'origine et la nature des spam. Prévue pour le dernier trimestre 2006, cette fonctionnalité est toujours dans les cartons en ce début d'année.
La Sécurité des Système d'Informations (SSI), dont l'importance sur la vie privée, l'économie et la stratégie de l'entreprise est sous-évaluée selon la Commission Européenne. Elle invite les Etats membres et les sociétés à fournir plus d'efforts en la matière. La Commission s'inquiète particulièrement de la multiplication des vols de données en Amérique du Nord, et de l'absence d'information sur ce type de dommage en Europe. C'est pourquoi elle a confié à une agence européenne, l'ENISA, le soin de dresser l'état des lieux des politiques de chacun des Etats membres. A terme, cela pourrait déboucher sur un système d'alerte et de partage des données au sein de l'Union Européenne.
T comme Terrorisme, moteur de la création de bases de données étatiques. Les attentats du 11 septembre 2001 qui ont frappé les Etat-Unis ont ouvert la porte à un corpus législatif sécuritaire; sous couvert du maintien de l'ordre et de la sécurité, de gigantesques bases de données voient le jour. En France, rétention des données de connexion, déploiement de la vidéosuveillance, extension du FNAEG (Fichier national Automatisé des Empreintes Génétiques) à un large panel de crimes et délits, ouverture des fichiers administratifs à la Police et à la Gendarmerie, accès aux données de voyage stockées par les transporteurs aériens… sont mis en oeuvre dans ce cadre.
Les exemples ne manquent pas pour illustrer les modifications apportées à la frontière entre vie privée et intérêt général. Si la légitimité des projets est rarement remise en cause, leur mise en oeuvre suscite diverses interrogations. La CNIL regrette régulièrement que ses avis et recommandations ne soient pas ou peu suivis; elle fustige également le manque de transparence et de garanties des traitements mis en oeuvre. La Commission n'a d'ailleurs pas hésité à monter au créneau pour critiquer ouvertement certains textes en 2006. Unique garde-fou face à la multiplication des fichiers, la loi antiterrorisme de janvier 2006 a en outre réduit son rôle sur les fichiers intéressant la sûreté de l’Etat, la Défense ou la Sécurité Publique.
Cette inflation législative se développe également en dehors de nos frontières: la plupart des pays renforcent leur législation. Des accords régionaux, destinés à la lutte contre le terrorisme, mettent en place de nouveaux traitements de données personnelles : accord PNR Europe-Etats-Unis (tranfert des données Passagers à l'administration US), développement du système VIS (système européen d’information sur les visas de court séjour), création du passeport biométrique européen, etc.
Notons enfin que ce développement, faisant craindre un recul global des libertés, provoque réactions et émergence de contre-pouvoirs, favorisés par l'Internet. L'association StateWatch propose ainsi d'analyser les réformes entreprises du point de vue des libertés publiques ; Privacy International a créé les célèbres Big Brother Awards ; l'Electronic Frontier Fondation, EPIC.org… alimentent tous ces polémiques. En France, citons l'IRIS, "Imaginons un Réseau Internet Solidaire".
En savoir plus :
La page de la CNIL consacrée aux traitements relatifs à l'antiterrorisme
L'étude menée par l'association StateWatch sur le développement des législations sécuritaires
Un article de Wired sur la position de la FTC suite aux attentats de 2001
Un article de synthèse de la rédaction de 01Net, fin 2005, sur les mesures antiterroristes
T c'est aussi comme...
Le Tribunal Assisté par Ordinateur (TAO) testé en Chine sur plus de mille cinq cent affaires criminelles (meurtres, cambriolage, crimes sexuels...). Concrètement, le juge renseigne certains éléments de l'affaire au logiciel (nature du crime, préjudice subi par la victime, circonstances atténuantes ou aggravantes...) qui propose une sanction. Étrangement, cette aide informatique a pour but de combattre l'arbitraire et l'abus de pouvoir de certains magistrats chinois…
U comme l'Urgence invoquée par le Président de la CNIL, Alex Türk, à communiquer auprès du grand public sur les questions de protection des données. Cette initiative, relayée par le Commissaire Européen à la Protection des Données (CEPD) - actuellement Peter Johan Hustinx - et par la Conférence des Commissaires (Londres 2006), est destinée à provoquer un réveil des consciences chez les citoyens. Une dizaine de "CNIL" dans le monde soutiennent cette action conjointe. Procédant à une véritable remise en cause, les autorités de protection des données soulignent le discrédit dont elles sont généralement victimes : image trop juridique ou technocratique, sous-représentation médiatique, relations avec l'extérieur (société civile, associations, chercheurs) insuffisantes...
Dans un document stratégique de novembre 2006, le Président Türk propose d'établir un parallèle entre protection de l'environnement et protection de la vie privée. Dans les deux cas, la notion de capital à conserver est évoquée. Sur le plan de l'action, la rédaction d'une Charte Universelle de la Protection des Données est envisagée. L'urgence dénoncée par Alex Türk doit trouver un écho dans les actions des autorités de protection et, dans une plus large mesure, la conscience collective, pour ne pas rester un simple voeu pieux.
En savoir plus :
Le document stratégique publié par la Conférence des Commissaires de Londres en novembre 2006
Le site du Commissaire Européeen à la Protection des Données, Peter Johan Hustinx
Un article de la rédaction de The Register (Londres) sur la conférence des Commissaires
La tribune d'Alex Türk sur le site de la CNIL
U c'est aussi comme...
UMP (Union pour un Mouvement Populaire), qui a alimenté l'actualité de la protection des données en 2006. L'affaire dite du "Sarko-spam"(campagne de recrutement par e-mailing à la légalité contestée) a largement contribué à cette "notoriété". Toutefois, le parti s'est aussi distingué par une affaire de fuite de données. Un fichier Excel comprenant trois mille cinq cent noms d'adhérents ainsi que leurs données personnelles a été joint - par erreur - lors de l'envoi d'une campagne d'e-mailing.
La faute est double : d'une part, le recours à Excel ou Word pour constituer un fichier d'adhérents est un très mauvais réflexe (aucune sécurité, aucun mécanisme contrôlé de gestion…). D'autre part, l'absence de cryptage des données a permis leur reproduction sur plusieurs sites internet. Le parti a toutefois contacté la CNIL rapidement, et a envoyé un mail à ses adhérents pour signaler cette erreur et inviter à la suppression du mail litigieux. Si l'UMP a été mise sur le devant de la scène, tous les partis sont concernés. Le site zataz.com a ainsi révélé les failles de sécurité affectant les sites web des partis politiques, laissant la porte ouverte à des usages frauduleux.
V comme la Vente de la Vie pivée. La commercialisation de données à caractère personnel n'a en elle-même aucun caractère prohibé… mais elle doit respecter la loi Informatique et Libertés. Les conditions de légalité doivent être respectées : information et accord de la personne concernée, droit d'accès, de rectification et de suppression des données chez l'acheteur, accomplissement des formalités préalables par l'acheteur et/ou le vendeur auprès de la CNIL (Déclaration, voire Autorisation...)… Bien que contraignantes, ces règles garantissent la protection de la vie privée.
En Europe, la vente de données, bancaires notamment, s'organise sous le manteau, via des forums et des sites douteux. Dans un autre registre, le Parc Eurodisney s'est fait épingler pour avoir payé des agents de police afin de recueillir des éléments pouvant "aider" au recrutement d'employés. En Allemagne, les députés ont évoqué (spontanément ?) l'idée de vente de données personnelles pour financer les nouveaux passeports biométriques… et ont provoqué un scandale.
Aux Etats-Unis, la vie privée est commercialisée au même titre que toute autre marchandise; des sociétés comme USSearch ou Intelius en ont fait leur très florissante activité. Des données très sensibles sont ainsi vendues : casier judiciaire, biens immobilers, historique marital… l'idéal pour tout connaître de son voisin, de son futur employé ou de sa nourrice. La négation du droit à l'oubli inhérente à ce système, facilité par les interconnexions de fichiers, crée un risque de "marquage à vie" des individus. Sur le Vieux Continent, la Loi Informatique et Libertés poursuit l'objectif inverse.
En savoir plus :
Les sites des sociétés USSearch et Intelius
Un article de la rédaction de Génération NT sur Intelius
Un article de la rédaction du Monde Informatique sur le financement du passeport en Allemagne
V c'est aussi comme...
Vote électronique, levier de l'E-démocratie, dont l'opportunité continue d'alimenter le débat. La CNIL s'intéresse au sujet depuis quelques années, avec notamment une recommandation sur la sécurité des systèmes de vote électronique en juillet 2003. En février, elle a émis un avis sur le dispositif de vote électronique pour les élections à l’assemblée des Français de l’étranger (AFE). Si la recommandation de 2003 de la CNIL est respectée, la Commission regrette qu'aucune expertise indépendante du dispositif de vote électronique ne lui ait été transmise. Un "oubli" non négligeable, la CNIL n'ayant pu apprécier le dispositif de vote électronique projeté au regard des principes généraux de protection des données à caractère personnel.
En Mai 2006, la CNIL a dressé un état des lieux du vote électronique dans le monde. La Commission relève ainsi que le vote électronique est étroitement lié à la technique, aussi bien pour son développement (réservé aux pays à l'infrastructure avancée) que pour son refus (l'immaturité des dispositifs techniques étant en cause). Dès lors, la Commission s'interroge sur la caractère démocratique du vote à ditance : y aura-t-il toujours une indépendance du votant ? L'analyse des experts ne se substituera-t-elle pas au contrôle populaire ?
W comme Wi-Fi (Wireless Fidelity), technologie sans fil permettant de se connecter à un réseau. La CNIL a émis en août 2006 des recommandations sur l'usage du W-iFi, notamment sur ses aspects "sécurité". Transmises par ondes radio, les informations peuvent en effet être facilement captées et traitées par un tiers non autorisé, ce qui crée un risque pour la confidentialité des données. La Commission préconise des mesures simples à destination du grand public : filtrage des accès (clé WEP, adresse MAC), utilisation du système SSL (Secure Sockets Layers) pour les gestionnaires de contenu, permettant la mise en place d'un canal de communication chiffré entre deux machines.
Faisant preuve de la même pédagogie, la CNIL avait précédemment diffusé des conseils sur l'utilisation des ordinateurs portables. Le risque de perte des données stockées sur un PC portable est réel, les nombreux vols de données déclarés aux Etats-Unis en étant la preuve suffisante (voir la lettre N). La CNIL reconnaît l'insuffisance des mesures prescrites, mais le but est bien de communiquer et de faire adopter les bons réflexes Informatique et Libertés. La Commission invite d'ailleurs les entreprises, collectivités, associations à sensibiliser leurs utilisateurs au caractère confidentiel des données mises à disposition, par le biais de notes internes et formations
En savoir plus :
Les recommandations de la CNIL sur le Wi-Fi
Les recommandations de la CNIL sur l'usage des ordinateurs portables
… mais aussi faire une simple recherche sur internet (avec par exemple "wep, linux, crack ") pour se rendre compte que de tels outils "pour les nuls" existent pour de vrai !
W c'est aussi comme...
Les sites Web dont la déclaration a été supprimée par la CNIL en juin 2006. Sur le plan juridique, cette solution est logique puisqu'un site Web n'est pas un traitement par lui-même, mais un moyen technique de diffusion et de collecte des données. La fin abrupte de ce service et les difficultés rencontrées par la CNIL pour expliquer la marche à suivre à l'avenir ont coupé l'Autorité d'une partie de ses "adeptes", en particulier les webmasters. Dans le même temps, la CNIL franchit le pas de la dématérialisation en permettant (enfin) de remplir l'ensemble des formalités (hormis l'autorisation) par voie électronique. Ce service, initialement destiné à faciliter les démarches des Responsables de Traitements, ne fut malheureusement pas mis en avant, demeurant confidentiel. Pour contourner toutes ces difficultés, l'idéal est évidemment de nommer un Correspondant Informatique et Libertés.
X comme Monsieur ou Madame X. L'anonymisation des décisions de justice est l'un des chantiers attaqués par la CNIL depuis plusieurs années, avec un aboutissement sous l'impulsion du Président Türk. La Commission avait établi en novembre 2001 une recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudence. Cette mesure préconise notamment que le nom et l’adresse des parties ou des témoins au procès soient supprimés. Soulignons que la recommandation de 2001 ne s’applique pas aux recueils de jurisprudence sur support papier ; elle ne vise que les bases de données informatisées librement accessibles sur internet.
En février, la CNIL a dressé un bilan de 5 ans d'application de ce texte. "Il apparaît que les principes dégagés en 2001 sont, pour l’essentiel, appliqués par les différents acteurs et, qu’au total, la recommandation a permis d’encadrer de manière équilibrée la diffusion des décisions de justice sur internet et d’assurer le respect de la vie privée des personnes citées dans ces décisions". La CNIL a toutefois retenu les difficultés d'application de sa recommandation. Une anonymisation globalisée rendrait la recherche jurisprudentielle particulièrement ardue, certaines décisions étant connues pour leur "nom". Des dérogations peuvent dès lors être envisagées.
Cette anonymisation est à rapprocher d'une mesure de 2004, sur avis de la CNIL : les décisions de changement de nom, accordées par le Garde des Sceaux, ne sont plus publiées dans la version électronique du Journal Officiel. Paraissant traditionnellement le vendredi, ces décisions étaient très suivies par les curieux avides de savoir que M. xxxxxx avait été autorisé à porter désormais le nom de "Dubland"…
En savoir plus :
La recommandation du 29 novembre 2001 de la CNIL
Le bilan de la CNIL sur les cinq années d'application de la recommandation de 2001 (février 2006)
Y comme… heu
… nous avons séché sur le Y …
Yahoo a été sage cette année, mais on leur fait confiance pour 2007 !
Vous avez une idée ? Vite, un commentaire !
Z comme le Zéro pointé adressé par la Commission Européenne aux moyens mis en oeuvre dans la plupart des Etats membres en matière de lutte contre le spam. Une communication du 15 novembre pointe du doigt l'absence de coordination public-privé au sein de nombreux Etats. Si les lois "anti-spam" existent, elles ne sont que rarement appliquées et les poursuites judiciaires peuvent se compter sur les doigts d'une seule main. Seuls deux pays tirent leur épingle du jeu : les Pays Bas et la Finlande. Dans le premier cas, il a été possible de réduire le spam de 85 % au moyen des poursuites engagées par un organisme dédié à la lutte antispam, et ce en y consacrant seulement cinq personnes à plein temps et 570000 euros d’équipement. Dans le second cas, une application stricte des mesures de filtrage imposées par la loi ont permis de faire baisser le taux de spam de 80 % à 30 % des mails échangés.
La situation française, si elle n'est pas détaillée par la Commission, n'incite pas à l'optimisme. Les poursuites judiciaires sont rarissimes, la plateforme de coopération publique-privée SignalSpam n'est pas encore opérationnelle et surtout, la France est le troisième émetteur mondial - premier européen - de spam. Pourtant, l'arsenal législatif est prêt à être appliqué. La collecte déloyale d'adresses électroniques pouvant être sanctionnée de cinq ans d'emprisonnement et 300000 € d'amende (art. 226-18 du Code pénal), l'envoi de spam pouvant être lui puni de 750 € par message irrégulièrement expédié. Les fournisseurs d'accès peuvent même priver d'accès à internet leurs clients qui auraient été identifiés comme émetteurs de spam. Les solutions existent, seule l'ambition fait défaut.
En savoir plus :
La communication de la Commission Européenne sur la lutte contre le spam (novembre 2006)
Les chiffres 2006 du spam retenus par la Commission Européenne (source : Sophos)
L'état du droit en France sur la question du spam sur le site de la CNIL
Un article de la rédaction de Generation NT
Commentaires