Comment protéger ses données personnelles ? Le Club IES a organisé une conférence le 3 février 2011 sur le thème « Internet, réputation numérique – protéger ses données personnelles « , animée par Sophie Vulliet-Tavernier. La présentation est en ligne sur Slideshare.
Mme Vulliet-Tavernier est directrice des études et de la prospective de la Commission Informatique et Libertés (CNIL). Elle a précédemment occupé le poste de directrice des affaires juridiques. La CNIL est investie d’une mission générale d’information sur les droits qu’offre la loi Informatique et libertés. Voir l’annonce de la conférence.
Vous trouverez ci-dessous le compte rendu que j’ai écrit, est qui n’est que mon interprétation des propos de Mme Vulliet-Tavernier.
1/ Quel est le rôle de la CNIL ?
La CNIL est une Autorité administrative indépendante.
Le président est élu par ses pairs. Les membres de la CNIL ne reçoivent d’instruction d’aucune autorité. Ses missions sont:
– d’informer et de conseiller,
– de contrôler des fichiers (il y a 300 contrôles sur place par an),
– se sanctionner en cas de non-respect de la loi.
Le rôle de la CNIL
Le rôle de la CNIL dans le domaine de la protection des données personnelles recouvre différents aspects:
– reconnaitre à toutes personnes les droits sur ses données personnelles,
– encadrer l’usage des TIC,
– réguler avec l’Europe,
– suivre les disparités dans le monde.
Les données personnelles ne sont pas constituées uniquement de noms, mais aussi de toutes informations qui permettent de reconnaître des personnes. À cet égard, le débat n’est pas clos sur le fait que l’adresse IP soit une donnée personnelle.
Le travail de la CNIL repose sur quatre piliers
– des principes fondamentaux pour encadrer les traitements de données personnelles,
– des droits pour les personnes,
– un régime de sanction en cas de non-respect des principes,
– une autorité de contrôle indépendante.
2/ Sur quels fondements repose le travail de la CNIL ?
Le travail de la CNIL repose sur deux textes de loi :
– La directive européenne du 24 octobre 1985, qui est en voie de révision (un nouveau texte est attendu).
– La loi informatique et liberté du 6 janvier 1978 modifiée en 2004, et qui d’ailleurs a inspiré la loi européenne.
La collecte de données personnelles doit respecter les points suivants:
Respect de la finalité
La collecte des données personnelles doit être légitime et clairement affichée.
Pertinence des données
C’est-à-dire l’adéquation entre le type de données collecté et les finalités. On voit le problème que peut poser les questions sur Facebook, notamment celles sur l’appartenance religieuse. Il y a une contradiction nette entre la loi française et Facebook.
Conservation limitée des données ou droit à l’oubli
La loi prévoit, lorsque l’on conçoit un outil, qu’il faut définir une durée de conservation des informations. Cela implique une politique d’archivage. Cela implique aussi le droit pour les personnes de supprimer les informations. Pour ce qui est des moteurs de recherche, la CNIL a préconisé une durée de conservation des données de connexion de six mois. L’autorité avoue néanmoins avoir des difficultés à obtenir satisfaction des géants américains dont beaucoup relèvent du droit californien, et ne reconnaissent donc pas la législation européenne. Parmi ses rares victoires, la CNIL a pu analyser le traitement effectué par Google Street View.
Sécurité et confidentialité
La CNIL observe par exemple les failles de sécurité. L’intervenante nous rappelle qu’il y a eu des cas problématiques avec des établissements de santé ou des banques. Elle cite aussi un article du Monde (paru le jour de la conférence) qui mentionnait un outil permettant de pirater des comptes Facebook.
Respect des droits des intéressés
Droit à l’information, droit à l’opposition, droit d’accès et de rectification. Lorsque l’on s’abonne à certains outils, les contrats de « Privacy » sont parfois confus. La CNIL est intervenue pour clarifier ces contrats.
3/ Quels défis connait actuellement la CNIL ?
La CNIL connait actuellement quatre défis :
Le défi technologique
Il est difficile d’adapter la loi à un secteur aussi mouvant et riche d’innovations technologiques (biométrie, RFID, géolocalisation, profiling publicitaire?). D’autant que certains usages, une fois adoptés par le grand public deviennent irréversibles, comme c’est le cas pour les réseaux sociaux ou le Pass Navigo. D’autres pratiques en cours d’adoption préoccupent la CNIL :
– La publicité ciblée comportementale par exemple dans les moteurs de recherche ou dans Gmail.
– La géolocalisation de véhicules, liée à des offres commerciales du type « pay as you drive ».
– L’implantation de puce RFID dans le corps, pratique qui se fait au Mexique par exemple pour rentrer dans les boites de nuit ou être traçable en cas d’enlèvement !
Les défis sécuritaires
Depuis 2001 nous avons vu se multiplier les fichiers de police, le développement de la vidéosurveillance, la lecture automatique des plaques minéralogiques, l’usage de la biométrique (par exemple dans les cartes nationales d’identité). Le problème est qu’il n’y a pas un environnement juridique européen satisfaisant pour encadrer ces pratiques.
Le défi de la globalisation qui engendre de nouveaux risques
Risques liés :
– Au développement de l’externalisation informatique vers des pays (Inde, Chine) ne disposant pas de législation satisfaisante,
– Au développement du « cloud computing », qui fait que l’on ne sait pas où sont traitées les données,
– Enfin au développement de nouveaux services développés dans des pays ayant une législation plus souple. Google Street View a donné lieu à des plaintes de personnes en France qui n’arrivaient pas à faire flouter les visages, les façades de maison ? En outre les voiturettes qui passaient dans les rues ont collecté les informations wifi avec mots de passe, des bribes de messages ?
Il n’existe pas d’encadrement international. Nous sommes dans un système d’autorégulation.
Le défi de l’opinion publique : le grand public pratique une « informatique de confort » sans ce soucier des conséquences. D’où une certaine indifférence, une mauvaise perception, ou une ignorance des risques.
4/ Quels risques pour l’internaute ?
Les risques sont multiples :
– Perte de contrôle sur son patrimoine numérique.
– Possibilité d’être « tracé » et de ne pas pouvoir appliquer le droit à l’oubli.
– Profilage commercial, marchandisation des données.
– Divulgation ou utilisation détournée d’informations personnelles.
– Usurpation d’identité.
L’intervenante se demande si la vie privée n’est pas un espace en voie de disparition?
5/ Quelles sont les réponses possibles pour protéger ses données personnelles ?
Il existe des réponses possibles à différents niveaux :
Logique industrielle : développer une relation en amont avec les industriels pour concevoir des services adaptés aux droits nationaux.
Logique de prévention :
– Promouvoir la communication et le conseil.
– Multiplier le nombre de correspondant informatique et liberté, qui sont des relais d’information de la CNIL.
– Renforcer l’expertise technique et la veille prospective. La création récente d’une direction des études et de la prospective va dans ce sens.
– Affirmer la dimension internationale de la protection des données. La France est leader dans ce domaine.
L’utilisation des sanctions :
– Multiplier les contrôles : il y a eu 4000 plaintes, qui ont donné lieu à 400 mises en demeure. À ce jour il y a eu 60 sanctions essentiellement vis-à-vis du secteur bancaire, pour un montant total de 555 400 euros.
– Développer de nouveaux modes de contrôles.
L’avenir réside plus dans l’approche par labellisation et l’instauration de normes plutôt que dans la sanction, même si cette dernière est indispensable.
6/ Éléments du débat
Que faire si l’on a l’impression d’avoir été « fiché » ?
Si l’on pense qu’une structure à qui on a demandé accès son fichier cache quelque chose, on peut demander à la CNIL d’intervenir. Cette dernière déclenchera un contrôle si elle a reçu a des plaintes concordantes.
Comment se déréférencer d’internet ?
Il faut le faire auprès des pages qui ont publié des informations, et en parallèle auprès des moteurs de recherche pour qu’ils suppriment les informations de leur index (base de données contenant une réplique du web).
Quel rôle avez-vous dans la constitution des fichiers de police ?
Sur les fichiers de police, la CNIL a un pouvoir consultatif. L’Autorité donne un avis préalable, même si le gouvernement peut passer outre.
Cette conférence était très intéressante et a donné les clés pour protéger ses données personnelles.
Jérôme Bondu
Pour en savoir plus sur les aspects juridiques, et compléter sa boite à outil pour protéger ses données personnelles, on pourra se reporter aux articles suivants
- Comment effacer des informations d’un moteur de recherche ?
- A lire : Le droit nouvelle arme de guerre économique, d’Ali Laidi.
- Compte rendu conférence IHEDN : Le droit nouvelle arme de guerre économique.
- A écouter : Le droit comme arme de guerre.
- Compte rendu de conférence au Club IES : Peut-on combattre la rumeur par le droit ?
- Compte rendu conférence au Club IES : Le droit de l’Internet et l’Intelligence Economique.
- Le droit à l’anonymat sera bientôt payant.
- Intelligence économique et droits voisins.