Le blog TIC

Archive pour la catégorie ‘Droit’

La Commission nationale informatique et libertés a publié son rapport d’activité 2010. Parmi les faits marquants on notera l’augmentation du nombre de plaintes (4800) et de contrôles (308). Ces derniers, en augmentation de 14% ont concerné 8collectivités parmi lesquelles Argenteuil et Paris. A noter que 19 % des contrôles ont été effectués dans le cadre de l’instruction de plaintes et que la CNIL a été amenée à prononcer des sanctions. La sanction la plus importante a concerné Google condamné à 100 00 euros pour son dispositif Google Streetview qui enregistrait des données sur les réseaux wifi à l’insu des personnes concernées. Parmi les contrôles, plus d’un tiers ont concerné la vidéosurveillance. La CNIL relève que sur : « 27 dispositifs jugés excessifs, 6 (soit 10 % des contrôles effectués) étaient délibérément orientés sur des salariés. Or, la mise en œuvre d’un dispositif de vidéosurveillance ne peut pas avoir pour seule finalité la surveillance des salariés ». On signalera également la montée en charge du ’augmentation du dispositif « correspondants informatiques et libertés » (CIL) dont le nombre est passé à 7300 en 2010 contre 5661 en 2009. Ces CIL permettent aux organisations de bénéficier d’un conseils en amont de la mise en place de projets de services numériques et de procédures de déclarations simplifiées.

Au-delà de son travail de gestion des autorisations de traitement de données à caractère personnelles et de contrôle, la commission a développé ses actions de sensibilisation et renforcé sa capacité d’anticipation sur les évolutions technologiques (RFID, NFC, biométrie, géolocalisation…). En matière de sensibilisation la CNIL plaide pour la mise en place dune instruction civico-numérique à destination des jeunes « visant à apprendre aux élèves à préserver les valeurs essentielles que sont l’identité et l’intimité ». En matière de prospective, elle a créé une nouvelle direction entièrement dédiée à cette question qui s’appuie sur des experts informatiques, des juristes, des sociologues, des politiques et des économistes. En parallèle, la Commission échange et développe sa capacité d’influence auprès de ses homologues, de groupes d’experts ou des agences en charge de la sécurité informatique, tant au niveau national qu’européen.

L’Association française de nommage en coopération (Afnic) qui gère les noms de domaine .fr et .re, a présenté récemment sa plateforme Syreli. Celle-ci, qui ouvrira officiellement le 21 novembre, permettra un règlement en ligne des litiges concernant l’utilisation d’un nom de domaine. Elle permettra au requérant et au titulaire d’un nom de domaine de déposer toutes les pièces sur la base desquelles l’Afnic devra trancher un litige relatif à l’utilisation d’un nom de domaine. Le titulaire disposera d’un délai de 21 jours pour répondre à la demande du requérant. L’Afnic aura dès lors deux mois pour traiter le litige en se basant exclusivement sur les pièces déposées sur la plateforme. Passer par cette plateforme coutera 250 euros HT, à la charge du requérant. La procédure concerne uniquement les domaines créés ou renouvelés postérieurement au 1er juillet 2011.

Ce nouveau dispositif concerne les communes qui ne bénéficient désormais plus  d’une protection automatique de leur nom géographique.

Les collectivités estimant que le nom de domaine concerné est identique ou apparenté au nom de leur territoire ou d’un service public local pourront donc utiliser cette plateforme mais elles devront prouver que le titulaire « ne justifie pas d’un intérêt légitime et agit de mauvaise foi » comme le précise la loi.

MAJ 8/11 : Le sénat a adopté la proposition de loi relative à l’identité en rétablissant la base de données biométriques centralisée « à lien faible » et en proscrivant l’utilisation des technologies de reconnaissance faciale. Si les sénateurs ont souligné le risque de traçage des individus utilisant la puce de vie quotidienne on regrettera qu’il n’aient évoqué à aucun moment la question des modalités de délivrance de la CNIE. Car il faudra bien que quelqu’un explique l’utilisation de cette fameuse puce de vie quotidienne aux citoyens.

Alors que les sénateurs s’apprêtent à examiner le 3 novembre en seconde lecture la proposition de loi créant la carte nationale d’identité électronique, la commission nationale informatique et liberté a rendu un avis invitant les parlementaires à la vigilance sur un texte jugé très sensible du point de vue de la protection des libertés individuelles.

Plus précisément, la CNIL revient sur plusieurs points de la proposition de loi relative à l’identité :

• La commission s’inquiète de la création d’une base de données biométriques centralisée et des risques de détournement de son utilisation à des fins policières (comme souhaité par les députés). Elle demande que le texte prévoie davantage de garanties sur ce point en limitant strictement les usages et les possibilités de croisement de fichiers,
• Elle estime que la comparaison entre la donnée biométrique enregistrée dans le composant et l’empreinte lue en direct sur un lecteur pourrait se faire dans la carte elle-même. Cela éviterait ainsi le recours à une base de données biométriques centralisée,
• Elle rappelle que la lutte contre la fraude à l’identité – qui est la principale finalité du texte – passe d’abord par une sécurisation des documents sources (documents d’état civil) servant à établir les titres.
• Elle exprime sa plus grande réserve sur la possibilité de recourir à l’utilisation de technologies de reconnaissance faciale. Dans le contexte du développement de la vidéoprotection, cette technologie ferait courir « des risques importants pour les libertés individuelles » écrit la Commission.
• Elle considère que les enfants de moins de 12 ans devraient être dispensés de la collecte de leurs données biométriques comme l’autorise les textes européens,
• Concernant la puce dite de « vie quotidienne » (identification en ligne/signature électronique), la CNIL estime que les garanties offertes au citoyen doivent être renforcées. La Commission estime que le citoyen utilisant ces fonctions doit être en mesure de contrôler les données personnelles transmises à un tiers et qu’il convient d’interdire l’exploitation par l’État d’informations sur les transactions privées effectuées par les citoyens.

La Commission des lois du sénat a d’ores et déjà rétabli la création d’une base de données biométrique « à lien faible » pour limiter les risques de détournement et enlevé la possibilité de recourir à la reconnaissance faciale. Dans le contexte d’un sénat passé à l’opposition, la proposition de loi a toutes les chances d’être abondamment amendée. Mais si le dernier mot revient à l’Assemblée nationale il n’est pas certain que le Gouvernement se risque sur un sujet éminemment sensible en période électorale.

Les associations d’élus ont été destinataires d’un projet d’arrêté élaboré par le service juridique de la DGME visant à simplifier la mise en place de téléservices par les collectivités et leurs groupements.

Aujourd’hui, chaque téléservice (sauf dans certains domaines où existe d’ores et déjà une déclaration simplifiée) doit faire l’objet d’un dossier CNIL spécifique, ce qui est une source de complexité et de délais pour les collectivités. En accord avec la CNIL, la DGME a élaboré un projet de texte qui vise à autoriser les traitements de données à caractère personnel les plus courants pour une liste limitative de téléservices : état civil et citoyenneté, enfance et école, voirie, urbanisme, aide sociale, logement développement économique, relation aux usagers (prise de rendez-vous…), activités sportives et culturelles, polices spéciales. Le texte liste ensuite les données personnelles que les collectivités seraient autorisées à traiter : identifiants, téléphone, certificat… et précise les durées de conservation des données.

Ces téléservices ne seraient dès lors soumis qu’à une déclaration unique, les collectivités devant notamment préciser à la CNIL les modalités d’exercice du droit d’accès des usagers et les mesures de sécurité prises pour assurer la confidentialité des données.

On soulignera que les services dématérialisés « sensibles » (utilisant la biométrie, la géolocalisation…) devront toujours faire l’objet d’un avis de la CNIL.

Le projet de texte doit maintenant être soumis à l’avis de la CNIL.

Dans un rapport récent, le Conseil d’État s’est interrogé sur les moyens d’améliorer la participation des citoyens, des administrés, des usagers à l’élaboration des décisions des pouvoirs publics tout en simplifiant les dispositifs existants. Plaidant pour une « administration délibérative », le Conseil d’État propose notamment l’instauration d’une « loi code » pour favoriser le développement de consultations ouvertes, le plus en amont possible des projets, la décision finale revenant cependant « à l’autorité légitimement habilitée à la prendre et à l’assumer ».

Dans ses propositions, le Conseil d’État aborde la question de l’utilisation d’internet avec circonspection. Le rapport note en effet « la propension d’Internet à effacer ces garanties de procédure ou à en minorer la portée ». Aussi préconise-t-il d’intégrer dans la loi-code des dispositions concernant « le respect des délais proportionnés à l’importance du sujet présenté, la mention des principales parties prenantes, les documents adressés de manière fiable et authentifiée, la conduite d’une concertation de façon impartiale et si possible par un tiers , un bilan des observations recueillies, les suites qu’il est envisagé de donner , le suivi éventuel prévu après l’entrée en vigueur du dispositif finalement retenu ».

Parallèlement, le Conseil d’État souligne le risque d’exclusion d’une partie des administrés de ces consultations par internet. Aussi préconise-t-il une politique de lutte contre la fracture numérique et le développement de toutes les formes d’indétermination en se reposant sur le secteur associatif et les collectivités, via les EPN notamment.

Les principes fondateurs de la « loi code »

- garantir l’accessibilité des informations,
- assurer le dépôt des observations de tous les participants et favoriser leur diffusion,
- garantir l’impartialité et la loyauté de l’organisateur de la concertation et mettre en place, chaque fois que nécessaire, un « tiers garant »,
- assurer des délais raisonnables aux citoyens ou aux organismes représentatifs pour s’exprimer,
- veiller à la « bonne » composition des organismes consultés,
- donner les informations sur les suites projetées, dans un délai proportionné à l’importance de la réforme.

La mission d’information sur les droits de l’individu dans la révolution numérique animée par les députés Patrick Bloche (SRC, Paris) et Patrice Verchère (UMP, Rhône), a rendu son rapport après plus de 6 mois de travail et des dizaines d’auditions. Parmi les 54 propositions, plusieurs concernent directement ou indirectement les collectivités locales.

En matière de numérisation du patrimoine, le rapport encourage la France a continuer les efforts entrepris (Grand emprunt, Gallica…) en faisant en sorte que les contenus numérisés soient mieux« repérables » (référencement…) sur la Toile. Parallèlement, il plaide pour la mise en oeuvre d’une véritable politique d’archivage numérique et le développement de la recherche sur les supports garantissant un accès aux données dans la durée.

Plusieurs pages du rapport sont consacrées aux sites web des communes et à l’administration électronique. Les rapporteurs souhaitent que toutes les communes disposent d’un site et que les outils de démocratie locale soient renforcés sur les sites existants. Ils estiment que la « e-démocratie » devrait être promue et proposent de missionner la Commission nationale du débat public sur ce sujet. En matière d’eadministration, ils plaident surtout pour une administration « multicanale » avec des documents administratifs qui doivent cependant demeurer accessibles par voie non numérique.

Sur la question de l’open data, sans surprise le rapport ne souhaite pas imposer de redevance pour la réutilisation des données sauf dans des cas exceptionnels tout en garantissant que l’ouverture des données publiques ne mettra pas en cause le principe de la protection des données personnelles. Ils demandent également que le cas des archives contenant des données personnelles soit  clarifié.

Plus d’une vingtaine de propositions concernent du reste la protection des données personnelles : droit à l’oubli sur les réseaux sociaux, limites à la géolocalisation, prise en compte des puces RFID, information sur le ciblage publicitaire, notification des failles de sécurité concernant des applications gérant des donnes personnelles à la CNIL, exclusion de l’usage du « cloud computing » pour stocker des données personnelles en dehors de l’Union européenne…

Extrêmement riche, ce rapport ne manquera pas d’alimenter en idées les partis politiques qui élaborent leur programme numérique en vue de la campagne de présidentielle de 2012.

L’hadopi lancera le 13 juin prochain une campagne d’information grand public sur la protection des droits d’auteur. Soucieuse de se débarrasser d’une « image de mère fouettarde du Net » selon les mots de sa présidente Marie-Françoise Marais, l’autorité souhaite délivrer un message « positif ». Le mot d’ordre de la campagne est « la création de demain se défend aujourd’hui » et véhicule l’idée d’un « développement durable de la culture ». Cette campagne pluri média (TV, radio, affichage, internet…) s’accompagne du lancement d’un label baptisé « PUR » acronyme de « pour des usages responsables ». Ce label est décerné à tous les sites proposant une offre légale, que les contenus soient payants, gratuits, disponibles en téléchargement ou en streaming. Pour le moment seulement trois sites ont été labellisés, mais 15 dossiers sont en cours d’examen par l’autorité dont celui de la  plateforme 1D Rhone-Alpes qui a le soutien de la région. L’autorité table sur une quarantaine de plateformes labellisées d’ici la fin de l’année.

Pour relayer ses messages, l’Hadopi souhaite mobiliser les collectivités territoriales qui via les espaces publics numériques et les écoles peuvent contribuer à influer sur les comportements des internautes. L’autorité met donc à disposition des supports d’information (dépliants, plaquettes) et des modules pédagogiques pour expliquer de manière pédagogique et ludique, l’importance du respect du droit d’auteur.

Où trouver un vélo en libre service ou l’arrêt de bus le plus proche ? De plus en plus d’applications mobiles proposent de vous donner la réponse à partir de votre position géographique réelle. En l’absence de GPS (qui utilise les satellites), celle-ci peut être calculée par triangulation à partir des antennes relais de téléphonie mobile et surtout, en ville, à partir des points d’accès wifi que constituent les box ADSL.

La CNIL vient cependant de rappeler que les informations issues de ces points d’accès wifi, identifiés par un nom (SSID) et un identifiant unique utilisable pour la géolocalisation, sont des données à caractère personnel. La CNIL estime en effet que « l’association de données permettant d’identifier un point d’accès WiFi avec des données de géolocalisation est de nature à permettre l’identification d’une personne indirectement ou directement ».La Commission souhaite en conséquence que les bases de données des points d’accès wifi, telles que celles constituées par Google, soient déclarées à la CNIL et que les propriétaires des points d’accès aient la possibilité de s’opposer à l’utilisation des coordonnées de leur point d’accès Wifi. Elle souhaite par ailleurs que les possesseurs de Smartphone soient clairement informés de la finalité de la géolocalisation de leur téléphone, que l’identifiant du téléphone soit en aucun cas associé au nom de son propriétaire, et qu’ils puissent donner expressément leur consentement.

La Commission européenne a lancé une consultation publique sur les modalités d’intervention des gouvernements et collectivités publiques dans le domaine des réseaux télécoms à haut et très haut débit. Les règles actuelles datent de septembre 2009 et constatant une évolution rapide du marché comme des technologies, la Commission estime que des adaptations sont nécessaires. Parmi la quarantaine de questions posées on notera plus particulièrement celles concernant les réseaux très haut débit (réseaux NGA pour « new génération access » en langage bruxellois). La Commission s’interroge en particulier sur l’opportunité d’assouplir ses critères d’aide lorsque les projets publics concernent les infrastructures passives (fourreaux, armoires…) et sur l’intérêt d’interdire à l’opérateur de gros la délivrance de services THD pour renforcer la concurrence.

Les observations sont à adresser à la Commission avant le 31 août 2011, les nouvelles lignes directrices devant entrer en vigueur début 2012. Ce nouveau cadre est susceptible d’amener la France à revoir – ou au moins à clarifier – les modalités d’aide de l’Etat dans le domaine du THD. Car on notera que contrairement à la France, ce document ne fait pas de distinguo entre zones denses et moins denses…

Un article (n°19) de la loi n° 2011-302 du 22 mars 2011 portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière de santé, de travail et de communications électroniques a modifié la gestion des noms de domaine gérés par la France (.fr, .re). Si le texte prévoit une protection des noms de domaine des collectivités, il introduit des exceptions :  l’enregistrement ou le renouvellement des noms de domaine peut être refusé ou le nom de domaine supprimé lorsque celui-ci est « identique ou apparenté à celui de la République française, d’une collectivité territoriale ou d’un groupement de collectivités territoriales ou d’une institution ou service public national ou local, sauf si le demandeur justifie d’un intérêt légitime et agit de bonne foi ».On attend encore un texte réglementaire pour définir les notions « d’intérêt légitime » et de « bonne foi » mais il est d’ores et déjà certain que les noms des collectivités seront à l’avenir moins bien protégés qu’avec le cadre juridique qui prévalait (l’Afnic refusait jusqu’ici systématiquement l’enregistrement de noms de domaine figurant dans la liste des noms de communes de l’Insee si le demandeur n’était pas une collectivité). En ce qui concerne les litiges, là encore il y a incertitude : les procédures de conciliation vont être modifiées, les existantes disparaissant au profit d’une nouvelle procédure annoncée pour fin juin (voir cette interview du directeur de l’Afnic).