cnil (18)
La CNIL a décidé de rendre publique une mise en demeure à l'encontre de la société OCEATECH EQUIPEMENT à Toulouse. A la suite d'une plainte d'un de ses salariés, la CNIL a effectué un contrôle qui a permis de constater que le dirigeant de ladite société avait mis en place un dispositif de vidéosurveillance manifestement excessif. En effet, les salariés étaient placés sous surveillance permanente grâce à une caméra équipée d'un microphone filmant et enregistrant chaque salarié de manière continue.
Des dispositifs de surveillance peuvent être mis en place au sein des entreprises conformément au code du travail et à la loi informatique et libertés du 6 janvier 1978 modifée en 2004.
Les conditions légales de mise en place d'un dispositif de surveillance sont les suivantes:
- respecter la vie privée des salariés;
- respecter le principe de proportionnalité: la mise en place d'un système de vidéosurveillance doit se faire de manière adéquate, pertinente, non excessive et nécessaire à l'objectif poursuivi;
- informer les salariés et les visiteurs au moyen de panneau d'affichage mais aussi après avoir consulté les instances représentatives du personnel.
Rappelons que la durée de conservation des données filmées et leur nombre ne doivent pas être excessifs. La durée de conservation ne doit pas excéder un mois. Il est vivement conseillé de paramétrer dans le système une durée maximale de stockage des données.
L'ensemble de ces manquements a conduit la CNIL à mettre en demeure la société OCEATECH EQUIPEMENT de modifier son dispositif de vidéosurveillance pour ne plus porter atteinte aux droits de ses salariés.
La CNIL a décidé de publier cette mise en demeure au regard du caractère particulièrement intrusif du système mis en place au détriment des salariés. Cette mise en demeure n'est pas une sanction et ne fera l'objet d'aucune suite si la société OCEATECH EQUIPEMENT se conforme à la loi.
Notons que la formation contentieuse de la CNIL a prononcé à plusieurs reprises des sanctions pécuniaires à l'encontre des sociétés n'ayant pas respecté les obligations susmentionnées. Ainsi, à titre d'exemple, le 16 avril 2009, une société qui avait mis en place un système de vidéosurveillance non déclaré à la CNIL et sans avoir informé ses salariés, a été condamnée à payer une amende de 10 000 euros.
Cette mise en demeure est l'occasion de rappeler que lors de la mise en place d'un contrôle de vidéosurveillance dans un lieu non ouvert au public, il est nécessaire de faire une déclaration normale auprès de la CNIL. En revanche, la mise en place d'un tel dispositif dans un lieu public ou ouvert au public nécessite impérativement d'obtenir une autorisation préfectorale conformément à la loi du 21 janvier 1995 (loi d'orientation et de programmation pour la sécurité).
Le régime juridique pose problème lorsque le dispositif de vidéosurveillance est installé dans un lieu dit "mixte" (lieu ouvert au public qui comporte des zones privées): une déclaration auprès de la CNIL sera nécessaire voire une demande d'autorisation préfectorale. Il y aura alors un cumul des obligations des lois de 1978 et 1995 précitées.
Il est conseillé d'analyser préalablement à l'installation d'un système de vidéosurveillance les différentes alternatives techniques et les risques juridiques. Le cabinet peut vous accompagner dans la mise en place de tels dispositifs sur les lieux de travail.
Pierre Tapie, Président de la Conférence des Grandes Ecoles (CGE) et Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l'Informatique et des Libertés (CNIL), ont signé le 13 décembre dernier une convention de partenariat afin d'améliorer la connaissance et l'application des principes "informatique et libertés" au sein des grandes écoles.
Cette convention permettra notamment l'organisation conjointe d'actions de sensibilisation et de formation auprès de tous des élèves, du corps enseignant et des personnels administratifs.
Cette convention prévoit notamment d(e)':
- promouvoir la désignation de Correspondants Informatique et Libertés (CIL) au sein des grandes écoles;
- recenser les cursus en relation avec la protection des données personnelles et de la vie privée ;
- identifier les besoins de formation "informatique et libertés";
- élaborer des contenus spécifiques à l'attention des responsables de la sécurité des systèmes d'information (RSSI) et des CIL des grandes écoles ;
- inciter les enseignants et les élèves à réaliser, en partenariat avec la CNIL, des études et recherches proches des thématiques suivies par la CNIL tels que celles des smartphones et des réseaux sociaux.
La CNIL s'était prononcée en juillet denier sur les conditions d'organisation des primaires du Parti Socialiste au regard de la protection des données à caractère personnel.
Ensuite, jusqu'au 21 octobre, elle a contrôlé toutes les étapes du dispositif de vote des primaires pour vérifier leur conformité à la loi dite "informatique et libertés".
Des contrôles ont été réalisés à l'occasion de la destruction des listes papier utilisées lors de cette élection. La CNIL n'a pas relevé de manquement majeur à la loi "informatique et libertés". Elle a constaté que ses préconisations avaient été suivies et que les engagements pris par le PS avaient été mis en oeuvre.
Les étapes des contrôles effectués par la CNIL :
1- vendredi 7 octobre : contrôle au siège du PS à Paris. Ce contrôle a permis de s'assurer que les engagements pris par le PS lors de l'instruction du dossier par la CNIL avaient bien été respectés. Il a plus particulièrement porté sur la prise en compte du droit d'opposition des personnes ne souhaitant pas figurer dans le fichier centralisant les listes électorales. Il a également vérifié les modalités d'utilisation du stylo et du papier numériques, de constitution du fichier des personnes souhaitant être recontactées par le PS. Le site web de préinscription et la sécurité physique et logique du fichier central informatisé (listes électorales principales et complémentaires) ont été vérifiés.
2- dimanche 9 octobre, date du 1er tour du scrutin : contrôles de seize bureaux de vote et de deux fédérations après le vote, répartis sur l'ensemble du territoire.
3- vendredi 14 octobre : une réunion a été organisée avec le fournisseur des stylos et du papier numériques utilisés pour collecter les cordonnées des personnes souhaitant être recontactées par la suite par le PS. Elle a permis de s'assurer de la sécurité des informations enregistrées dans les stylos et des conditions de leur transmission vers le prestataire.
4- dimanche 16 octobre, date du 2nd tour du scrutin : contrôles dans 4 fédérations (Paris, Tulle, Evreux et Lille). Ces contrôles ont porté sur les modalités d'enregistrement des résultats obtenus dans chaque bureau de vote, de conservation des listes électorales papier émargées et du stockage des stylos numériques.
5- vendredi 21 octobre : la CNIL a assisté au lancement du processus de destruction des listes électorales papier émargées utilisées pendant l'élection, qui se fait sous le contrôle d'un huissier.
Ce processus de contrôle devrait s'achever le jeudi 27 octobre.
Le 28 juin dernier, le CEO de Microsoft, Steve Ballmer, a annoncé depuis New York, le lancement mondial de la nouvelle génération de services de communication et de collaboration en mode hébergé dans le Cloud : Office 365.
Ainsi, Microsoft sera amenée à transférer des données de clients européens vers un service en cloud, service qui tomberait sous le coup de la loi américaine, le "Patriot Act", qui la contraint à garder le secret sur ce type de transfert. Or, la directive européenne impose notamment aux entreprises d'informer les utilisateurs lorsque des données à caractère personnel les concernant sont divulguées.
Le Parlement européen veut savoir quelle attitude compte adopter la Commission européenne dans le conflit qui oppose la directive européenne sur la protection des données (Directive 95/46/EC) au "Patriot Act" américain concernant le "cloud computing".
Rappelons que le "cloud computing" (informatique dans le nuage), qui peut être définie comme une forme de gérance informatique, consiste à déporter sur des serveurs distants des traitements informatiques traditionnellement localisés sur des serveurs locaux ou sur le poste client de l'utilisateur. Les données ne sont donc plus sur l'ordinateur local, mais dans un
« cloud » (nuage) composé de plusieurs serveurs interconnectés, accessible via une application standard facilement disponible pour l'utilisateur tel qu'un navigateur Web.
Ce n'est pas la première fois qu'une société américaine, et notamment Microsoft, transfère des données européennes vers les Etats-Unis. Microsoft a pu le faire grâce à un accord dénommé "Safe Harbor" signé, le 15 mars 2000, entre la Commission européenne et le département au Commerce américain. Ce dernier impose le respect de 7 principes dits "principes de la sphère de sécurité":
1-le principe du choix des moyens: toute organisation doit offrir aux personnes concernées la possibilité de décider si leurs informations peuvent être divulguées à un tiers ou peuvent être utilisées dans un but incompatible avec le(s) objectif(s) pour le(s)quel(s) les données ont été initialement collectées ou dans un but approuvé ultérieurement par la personne concernée ;
2- le principe régissant le transfert ultérieur de données à caractère personnel ;
3- le principe de sécurité des données à caractère personnel ;
4- le principe d'intégrité des données à caractère personnel ;
5- le droit d'accès aux données à caractère personnel ;
6- le principe relatif à la mise en oeuvre du dispositif en son entier.
Or, l'accord "Safe Harbor" ne prime pas sur le "Patriot Act". Ce dernier peut-il primer sur les lois européennes pour le traitement des données à caractère personnel? Le Parlement demande à la Commission européenne de prendre position.
Cette question devrait être tranchée d'ici à la fin de l'année.
Notons qu'en mai dernier, la Commission européenne a lancé une vaste consultation publique sur les enjeux du "Cloud Computing". Le questionnaire est en ligne à l'adresse suivante: http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=cloudcomputing&lang=en
Le guide des professionnels de la santé a été mis en place pour mieux comprendre les enjeux de la protection des données
à caractère personnel.
La CNIL informe ainsi les professionnels de santé sur les mesures à adopter pour gérer les fichiers informatisés concernant les patients ou les personnes participant à des recherches médicales dans le respect de la loi informatique et libertés. Elle les conseille sur les mesures à mettre en place pour respecter l'intégrité et la sécurité des données de santé, données sensibles, et les droits des patients.
Rappelons que la responsabilité des professionnels de santé, notamment pénale, peut être engagée en cas de non-respect des dispositions de la loi.
Sources: site Internet de la CNIL
A lire le guide des professionnels de la santé
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-Guide_professionnels_de_sante.pdf
Depuis le 27 octobre se déroule à Jérusalem la 32 ème conférence internationale des commissaires à la protection des données personnelles.Elle s'achèvera le 29 octobre.
La plupart des législations européennes et américaines relatives à la vie privée datent de la fin des années 80 et des années 90. Il convient de les adapter aux nouvelles technologies et à la multiplication des réseaux sociaux en ligne. Cette conférence donne l'occasion d'échanger sur le thème du respect de la vie privée et la manière dont elle est perçue par les jeunes générations dans le monde entier, sur les défis et les opportunités de la protection de la vie privée au sein de la nouvelle économie, sur les outils de protection de la vie privée...
Une délégation de la CNIL s'est rendue en Israël et le Président de la CNIL interviendra sur le thème du droit à l'oubli aux côtés notamment de Jeffrey Rosen (George Washington University) et Nancy Libin (US Department of Justice).
Vous pouvez consulter le programme intégral des conférences sur le site Internet suivant:
Fin : 29/10/10
Lieu : Israël, Jérusalem
Le décret n° 2010-1057 du 3 septembre 2010 vient de modifier le décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l'article L. 331-29 du code de la propriété intellectuelle dénommé
« Système de gestion des mesures pour la protection des oeuvres sur internet ».
Rappelons que le décret du 5 mars 2010 avait énuméré et défini ces données à caractère personnel, le décret du 3 septembre 2010 est venu le compléter par les points suivants surlignés:
1° Données à caractère personnel et informations provenant des organismes de défense professionnelle régulièrement constitués, des sociétés de perception et de répartition des droits, du Centre national du cinéma et de l'image animée :
Quant aux faits susceptibles de constituer un manquement à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle :
Date et heure des faits ;
Adresse IP des abonnés concernés ;
Protocole pair à pair utilisé ;
Pseudonyme utilisé par l'abonné ;
Informations relatives aux oeuvres ou objets protégés concernés par les faits ;
Nom du fichier tel que présent sur le poste de l'abonné (le cas échéant) ;
Fournisseur d'accès à internet auprès duquel l'accès a été souscrit ou ayant fourni la ressource technique IP.
Quant aux agents assermentés et agréés dans les conditions définies à l'article L. 331-2 du code de la propriété intellectuelle :
Nom de famille, prénoms ;
Date et durée de l'agrément, date de l'assermentation ;
Organismes (de défense professionnelle régulièrement constitués, sociétés de perception et de répartition des droits ou Centre national du cinéma et de l'image animée) ayant procédé à la désignation de l'agent .
2° Données à caractère personnel et informations relatives à l'abonné recueillies auprès des opérateurs de communications électroniques en application de l'article L. 34-1 du code des postes et communications électroniques et des prestataires mentionnés aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique :
Nom de famille, prénoms ;
Adresse postale et adresses électroniques ;
Coordonnées téléphoniques ;
Adresse de l'installation téléphonique de l'abonné;
Fournisseur d'accès à Internet, utilisant les ressources techniques du fournisseur d'accès mentionnées au 1° auprès duquel l'abonné a souscrit son contrat, n° de dossier.
3° Recommandations par voie électronique et recommandations par lettre remise contre signature ou par tout autre moyen propre à établir la preuve de la date de présentation prévues à l'article L. 331-25 du code de la propriété intellectuelle ainsi que courriers et observations des abonnés destinataires des recommandations.
La Commission Nationale de l'Informatique et des Libertés (CNIL) aurait reçu de nombreuses plaintes d'usagers de banques. Certains usagers seraient des clients de leur banque depuis plusieurs années, pourtant la copie d'une pièce d'identité et/ou des éléments détaillant leur situation familiale ou financière leur a été demandés à travers des questionnaires.
Si l'ordonnance n°2009-104 du 30 janvier 2009 relative à la lutte contre le blanchiment d'argent et le financement du terrorisme impose, en effet, aux établissements financiers de recueillir des informations auprès de leurs clients, cette collecte doit se faire de manière proportionnée et l'obligation légale de vigilance ne doit pas légitimer une intrusion dans la vie privée des clients.
Rappelons que l'article L. 561-5.-I de ladite ordonnance prévoit qu': "Avant d'entrer en relation d'affaires avec leur client ou de l'assister dans la préparation ou la réalisation d'une transaction, les personnes mentionnées à l'article L. 561-2 (la liste comprend notamment les banques, les assurances et intermédiaires d'assurances, les avocats, les huissiers de justice, Les représentants légaux et directeurs responsables de casinos et les groupements, cercles et sociétés organisant des jeux de hasard, des loteries, des paris, des pronostics sportifs ou hippiques, les personnes se livrant habituellement au commerce ou organisant la vente de pierres précieuses, de matériaux précieux, d'antiquités et d'oeuvres d'art) identifient leur client et, le cas échéant, le bénéficiaire effectif de la relation d'affaires par des moyens adaptés et vérifient ces éléments d'identification sur présentation de tout document écrit probant.
Elles identifient dans les mêmes conditions leurs clients occasionnels et, le cas échéant, le bénéficiaire effectif de la relation d'affaires, lorsqu'elles soupçonnent que l'opération pourrait participer au blanchiment des capitaux ou au financement du terrorisme ou, dans des conditions fixées par décret en Conseil d'Etat, lorsque les opérations sont d'une certaine nature ou dépassent un certain montant. (...) Lorsque le risque de blanchiment des capitaux ou de financement du terrorisme paraît faible et dans des conditions fixées par décret en Conseil d'Etat, il peut être procédé uniquement pendant l'établissement de la relation d'affaires à la vérification de l'identité du client et, le cas échéant, du bénéficiaire effectif".
Les banques peuvent donc, conformément à l'ordonnance du 30 janvier 2009, recueillir d'autres renseignements sur la situation professionnelle, économique et financière de leurs clients (justificatif de domicile, activité professionnelle exercée actuellement, revenus et autres ressources, patrimoine...).
Toutefois, le client doit être clairement informé des raisons pour lesquelles des informations lui sont demandées et les informations collectées ne doivent pas utilisées à d'autres fins notamment de prospections commerciales. Le principe de finalité de la collecte des données doit être respecté.
La CNIL a donc rappelé que les questionnaires doivent préciser les finalités et les destinataires des informations ainsi que les modalités d'exercice de leurs droits d'accès et de rectification aux données collectées (article L. 561-45 de l'ordonnance du 30 janvier 2009).
La CNIL veille au respect de ces règles en procédant aux vérifications nécessaires et en utilisant l'ensemble des moyens que lui confère la loi, en informant notamment la commision qui a été créée par l'aticle L. 561-39.I. de l'ordonnance du 30 janvier 2009 (« La Commission nationale des sanctions est composée d'un conseiller d'Etat, président, désigné par le vice-président du Conseil d'Etat, d'un conseiller à la Cour de cassation, désigné par le premier président de la Cour de cassation et d'un conseiller-maître à la Cour des comptes, désigné par le premier président de la Cour des comptes, ainsi que de quatre personnalités qualifiées en matière juridique ou économique").
Lire l'ordonnance n°2009-104 du 30 janvier 2009 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020176088&categorieLien=id
Lire l'actualités sur le site de la CNIL http://www.cnil.fr/
Si vous souhaitez lire le rapport d'information n°441 de M. DETRAIGNE et Mme ESCOFFIER, il est en ligne à l'adresse suivante sur le site du Sénat http://www.senat.fr/rap/r08-441/r08-441_mono.html
Nom : vie privée et mémoires numériques.pdf
Taille : 1 Mo
Le 12 novembre dernier, Nathalie Kosciusko-Morizet, Secrétaire d'Etat chargée de la prospective et du développement de l'économie numérique, a organisé un atelier sur le « Droit à l'oubli numérique» dans les locaux de Sciences Po Paris. Cet atelier est né de l'idée que nous dévoilons beaucoup de nous-mêmes sur les réseaux sociaux sans réaliser souvent que notre "intimité" est exploitée à des fins commerciales ou qu'elle peut être utilisée à d'autres fins. En effet, par exemple, de nombreux jeunes diplômés auraient manqué des occasions d'embauche suite à un étalage de leur vie privée (soirée trop arrosées, tenues indécentes...) sur les réseaux dits sociaux et notamment Facebook. Nathalie Kosciusko-Morizet évoquait une étude américaine qui révélait que 43% des recruteurs américains déclarent avoir rejeté un dossier de candidature après avoir trouvé des informations les concernant sur Internet.
Face à la multiplication de l'utilisation des données à caractère personnel, un « droit à l'oubli » est de plus en plus évoqué.
Des propositions techniques concrètes pour améliorer la protection de la vie privée des citoyens sur Internet voient le jour. Ainsi, U-Prove est un outil développé par un hollandais qui permet de masquer une partie de l'identité d'un internaute lors d'une transaction. Cette technique ne résout donc pas tous les problèmes liés à l'anonymat sur Internet.
Le Directeur du département informatique de l'université de Washington, Monsieur Henry M. LEVY http://www.cs.washington.edu/homes/lazowska/selfstudy/cvs/hlevy.pdf , et son équipe de chercheurs ont mis en place un projet dit VANISH "self-destructing digital data" basé sur la cryptographie qui permet d'éffacer une partie des informations échangées sur les réseaux entre deux personnes. Dès qu'un élément de la clef est effacé le message transmis est impossible à déchiffrer par une personne autre que le destinataire. Vous pouvez trouver la nouvelle version de VANISH du 20/09/2009 à l'adresse suivante http://vanish.cs.washington.edu/
En attendant que de nouvelles solutions soient à la disposition de tous, le Président de la CNIL, Alex TURK, conseille d'être prudent et d'en dire le moins possible "Si vous en dites plus que nécessaire, on pourra vous tracer, vous cibler". Cette traçabilité ne va pas aller en s'arrangeant avec notamment le développement des nanotechnologies et des systèmes de géolocalisation sur les téléphones mobiles.
Près d'un an après l'abandon du fichier « EDVIGE », le Gouvernement vient de publier deux décrets pris après avis de la CNIL. Nous passons donc dans la phase EDVIGE II.
De quoi s'agit-il?
Les décrets du 16 octobre dernier concernent la mise en œuvre par la direction centrale de la sécurité publique (DCSP) d'un fichier relatif à la prévention des atteintes à la sécurité publique et d'un fichier ayant trait aux enquêtes administratives liées à la sécurité publique.
Ces décrets définissent le cadre juridique des fichiers des ex-renseignements généraux. Ils doivent ainsi permettre aux services de police compétents de les utiliser dans des conditions garantissant les droits et libertés des citoyens grâce aux pouvoirs de contrôle de la CNIL.
Quelles sont les données qui ne pourront pas être traitées?
Aucun fichage de personnalités ne sera possible. Il ne sera pas possible d'enregistrer des données ayant trait à la santé ou à la vie sexuelle des personnes.
Seuls les « signes physiques particuliers et objectifs » susceptibles de permettre le signalement des personnes pourront être mentionnés, ce qui exclut toute référence à leur origine raciale ou ethnique.
Quelle est la finalité du fichier?
Il n'est plus fait référence à la notion d'« ordre public », plus large que la notion de « sécurité publique » finalement retenue.Seules les activités fondées sur des faits objectifs, sont susceptibles d'être mentionnées dans la mesure où elles porteraient atteinte à la sécurité publique.
Pendant combien de temps les données pourront-elles être conservées?
Les données ne pourront être conservées au-delà d'une durée de cinq ans.
Qui pourra contrôler ces fichiers?
La CNIL est la seule autorité habilitée à contrôler les fichiers de police, en dehors des cas judiciaires.
Les accès aux fichiers feront l'objet de mesures de traçabilité strictes, condition technique essentielle àl'effectivité du contrôle de la CNIL.
La CNIL a indiqué qu'elle "ne manquera pas d'user des pouvoirs de contrôle qui lui sont conférés par la loi. Elle se montrera ainsi très attentive aux conditions de traitement des données relatives aux mineurs. Elle veillera aussi tout particulièrement à ce que les données portant sur l'origine géographique des personnes soient de nature factuelle et objective et qu'aucune référentiel ethno-racial ne soit utilisé".
Article à lire sur le site de référence des nouvelles technologies www.vnunet.fr
lutte_anti_piratage_des_oeuvres_numeriques_une_avancee_majeure_mais_-2029720
Bonne lecture à tous et joyeuses fêtes de fin d'année!
Le 30 octobre dernier, le Sénat a adopté à une très large majorité le projet de loi antipiratage "Création et Internet".
Certains Sénateurs avaient proposé de remplacer la coupure d'accès à Internet suite à un téléchargement illégal répété, réalisé par un internaute, par une amende afin, selon eux, de sécuriser la riposte graduée (A lire l'article du 15 septembre 2008 intitulé " Projet de loi "Création et Internet""publié sur ce blog).
Finalement, une très large majorité de Sénateurs ont maintenu le principe de la coupure Internet en cas de téléchargement illégal répété, mais ont ouvert la possibilité pour l'internaute sanctionné de garder sa messagerie quand la technique le permettra. Comme l'a souligné, Madame le Ministre, Christine Albanel, en l'état actuel de la technique, il n'est pas encore possible de le faire puisqu' "aujourd'hui, on peut utiliser assez aisément les pièces jointes de la messageire pour pirater des fichiers musicaux". Nous ne pouvons pas encore techniquement faire le tri entre ces fichiers.
Ce texte est toutefois très critiqué par l'ARCEP ainsi que le Parlement européen et aurait également été critiqué par la CNIL. En effet, est paru dans la Presse et sur divers sites Internet des éléments d'information relatifs à un avis qu'aurait émis la CNIL suite à une saisine du gouvernement conformément à l'article 11.4 de la loi du 6 janvier 1978 modifiée.
Le Président de la CNIL, Alex TURK, a réagi début novembre en précisant que le système français est incohérent puisque la CNIL est invitée à rendre un avis qui peut ne jamais être diffusé si le gouvernement le décide. Les avis de la CNIL sont, en effet, comme ceux du Conseil d'Etat secrets et laissés à la discrétion du gouvernement. Nous ne savons pas à ce jour si la CNIL a réellement critiqué le projet de loi "Création et Internet" mais nous pouvons imaginer aisément les réticences quant à la difficile conciliation entre la protection des ayant-droits et le respect à la vie privée des internautes, ces derniers seraient malmenés par la collecte des adresses IP et les coupures de l'accès à Internet.
Rappelons que le projet de loi sera discuté devant l'Assemblée Nationale début janvier 2009.
Le 16 juillet dernier, l'Union des Caisses Nationales de Sécurité Sociale (UCANSS), dirigée par Philippe RENARD, et la Commission Nationale de l'Informatique et des Libertés (CNIL) ont signé une convention de partenariat qui permettra de faire bénéficier les organismes de la Sécurité Sociale de l'expertise de la CNIL en matière de droit de l'informatique et des libertés.
Rappelons que l'UCANSS était soucieuse de la protection des données à caractère personnel avant ce partenariat, en effet, elle est le premier organisme de sécurité sociale à avoir désigné un correspondant informatique et libertés (CIL).
Avec ce partenrait, la CNIL sera notamment en charge de former régulièrement le personnel de l'UCANSS aux diverses problématiques relatives aux données à caractère personnel et d'informer les acteurs de la sécurité sociale de leur "responsabilité informatique et libertés".
Ce projet de décret portant application de l'article 6 de la loi n°2004-575 du 21 juin 2004 dite loi LCEN est relatif à la confiance en l'économie numérique et à la conservation des données de nature à permettre l'identification de toute personne physique ou morale ayant contribué à la création d'un contenu mis en ligne.
Conformément à ce projet, les fournisseurs d'accès à Internet, les hébergeurs et les opérateurs de télécommunications auront l'obligation de conserver pendant un an toutes les données d'identification attachées au contenu en ligne.
Exemples de données d'identification:
- adresse IP;
- pseudonymes;
- terminal de connexion;
- coordonnées des personnes (identifiants, codes d'accès, mots de passe et de connexion).
Rappel sur l'article 6 de la LCEN:
Attention il a été modifié par Loi n°2007-297 du 5 mars 2007 (art. 40) mais les dispositions de l'article 6 sont en vigueur jusqu'au 31 décembre 2008.
Sont visées à l'article 6 les personnes suivantes:
1. Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne ;
2. Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services.
Les personnes mentionnées aux 1 et 2 détiennent et conservent les données de nature à permettre l'identification de quiconque et à contribuer à la création du contenu ou de l'un des contenus des services dont elles sont prestataires.
Un décret en Conseil d'Etat, pris après avis de la Commission Nationale de l'Informatique et des Libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation.
La CNIL s'est prononcée de façon défavorable sur ce projet de décret.
Le 19 février dernier, M. Alex Türk, Président de la CNIL, a été élu, à l'unanimité par les 27 délégations des autorités de protection des données nationales des Etats membres, Président du groupe des «CNIL» européennes (dit «G29»).
Le groupe dit « G29 », fait référence à l'article 29 de la directive européenne du 24 octobre 1995 sur la protection des données personnelles. La durée du mandat européen de M. Türk sera de deux ans.
Ce Groupe a notamment pour objet de donner des avis à la Commission au nom des Etats membres sur des questions relatives à la protection des données à caractère personnel. Le prochain avis attendu est celui concernant le cadre juridique applicable aux moteurs de recherche. Sont attendues également des recommandations sur le traitement de ces données sur les réseaux sociaux tels que Facebook et MySpace.
Les élections municipales du 9 mars prochain sont l'occasion de rappeler que la CNIL, dans une recommandation du 5 octobre 2006, a précisé les conditions dans lesquelles les fichiers internes des partis politiques et plus particulièrement des candidats aux élections, constitués de données à caractère personnel, doivent être gérés.
Si la communication d'un programme politique peut se faire sur des supports divers (documents papiers, sites web, blogs et même sur Facebook), elle ne peut se faire "à la sauvage"!
En effet, des obligations légales s'imposent.
Ainsi, différentes mentions doivent être visibles sur les supports électroniques précités:
- identité de celui qui a procédé à la collecte;
- finalité(s) de cette collecte: par exemple pour l'envoi de journaux, de lettres d'information et autres documents;
- caractère obligatoire ou facultatif de leurs réponses;
- destinataire des données collectées;
- modalités pour exercer les droit d'accès, de modification et de radiation.
Lors de l'envoi de documents, il conviendra d'afficher clairement que le(s) document(s) est/sont envoyé(s) parce que la personne s'est inscrite sur tel site et d'ajouter que si la personne ne souhaite plus les recevoir, il lui suffit de cliquer à tel endroit pour se désinscrire.
Enfin, des déclarations à la CNIL peuvent être nécessaires.
Une déclaration simplifiée n°834 devra être faite si les fichiers sont collectés sur des sites web et blogs et qu'ils sont utilisés à des fins de communication politique. Toutefois, si les documents sont adressés à un fichier de personnes, constitué de membres de parti politique et/ou de membres sympathisants, aucune déclaration à la CNIL n'est obligatoire.
Vendredi 14 décembre dernier a eu lieu la première journée de ce colloque international: colloque organisé par le Professeur Jean-Jacques LAVENUE et journée ouverte par le Professeur Christian-Marie WALLON-LEDUCQ, Directeur de l'Ecole Doctorale de la Faculté de droit de Lille 2.
Monsieur Alex TURK, Président de la CNIL, est intervenu pour nous faire part de ses réflexions sur les problèmes auxquels la CNIL est et sera de plus en plus confrontée dans les 10 prochaines années. Difficultés qu'il a également évoquées à Londres, le 13 décembre 2007.
Selon M. Alex TURK, la France sera confrontée à 3 défis majeurs.
- Le premier est un défi normatif du au fait que trop de textes, tels que des décrets d'application, existent pour le traitement de nouvelles données. Il s'interroge, d'une part, sur le problème du rapport de proportionnalité entre la finalité affichée et les moyens mis en place et, d'autre part, sur ce que vont donner ces données personnelles traitées à l'échéance de 2015 et plus particulièrement sur les problèmes de durée de conservation de ces données.
- Le deuxième défi est technologique. M. Alex TURK a rappelé que le fossé entre les juristes et la technologie va grandir. Selon des experts et scientifiques, la révolution des nanotechnologies sera plus importante que celle de l'Internet, c'est dire les problèmes, notamment juridiques, auxquels seront confrontés les Etats. La France devra légiférer dans 7 ou 8 ans sur les nanotechnologies. Il convient donc de réfléchir, dès à présent, à des solutions.
- L'international constitue le dernier défi. M. Alex TURK souhaite convaincre le plus grand nombre de pays d'Afrique et d'Asie de se joindre au bloc de l'Union Européenne face au bloc des Etats-Unis, sans pour autant rompre le dialogue avec ces derniers, afin d'adopter une politique commune en matière de données personnelles et surtout d'assurer un niveau de protection suffisant dans l'hypothèse de transfert de données.
Il s'est enfin interrogé sur le problème de la force juridique que l'on doit donner à ces principes constituant une politique commune."Est-ce que l'Union européenne est suffisamment puissante pour maîtriser un niveau suffisant?" s'interroge M. TURK. Les divers exemples choisis pour conclure son intervention illustrent que l'Union Européenne se renforce, ce qui donne bon espoir pour répondre à cette question par l'affirmative.
La première séance plénière du colloque intitulée "Externalisations administratives: contraintes historiques et perspectives normatives" s'est ensuite ouverte sous la présidence d'Isabelle de Lamberterie (Directeur Scientifique adjoint du département des sciences humaines et sociales du CNRS) qui a donné la parole à Monsieur le Professeur Jean-Jacques LAVENUE, coordinateur scientifique, afin de dresser un état des lieux et évoquer des pistes de réflexions pour trouver un "degré adéquat de répartition des rôles entre le secteur privé et le secteur public". Plusieurs questions ont été soulevées par M. le Professeur Jean-Jacques LAVENUE, non sans humour: "Faudrait-il permettre aux entreprises publiques et privées de donner assistance à un Etat contre une rémunération? Qui va (re)définir l'intérêt général et le service public? Faut-il confier cette mission à un think tank du Medef?". Le débat était donc ouvert...
M. le Professeur TRUDEL, de l'Université de Montréal, est venu nous faire part de l'expérience Nord-américaine en nous rappelant que dans le système dit de "Common Law", la dichotomie entre le public et le privé n'existe pas.Il a souligné le fait qu'une vision gestionnaire ou managériale de l'Etat a été adoptée au Québec et que, par conséquent, on va vers une logique de re-configuration de l'offre des services de l'Etat en partenariat avec des sociétés privées. Il faut donc rechercher, selon M. le Professeur TRUDEL, une "mise à niveau des cadres juridiques de manière à assurer une prise en charge conséquente des enjeux de la circulation de l'information entre les entités étatiques et les partenaires privés".
Me René Abi Rached, chargé de cours à l'Université de Saint-Joseph de Beyrouth, a ensuite illustré un partenariat public- privé qui fût un véritable échec au Liban, celui de la célèbre affaire de la téléphonie mobile. Avec un talent oratoire certain, il a su évoquer les étapes du contentieux de l'exécution du contrat de BOT (Build Operate Tranfer) en matière de téléphonie mobile.
Pour ceux qui n'ont pas pu venir et qui souhaitent en savoir plus, cette intervention ainsi que les autres (celles de Monsieur le Professeur POULLET de l'Université de Namur, de M.M. FROMONT et VILLALBA de l'IEP de Lille...) seront disponibles dans leur intégralité sur le site de l'IREENAT http://ireenat.univ-lille2.fr/.