Le blog TIC

Archive pour la catégorie ‘Données personnelles’

La Commission européenne a dévoilé la semaine dernière son projet de directive et de règlement sur l’utilisation des données personnelles. Ce texte doit compléter le texte actuel qui date de 1995 et n’est pas adapté aux menaces sur la vie privée induites par internet, les moteurs de recherche et les réseaux sociaux. Bruxelles entend ainsi obliger les entreprises à obtenir en amont de tout recueil de données le consentement explicite de l’utilisateur qui devra pouvoir savoir où sont stockées ses données, pour quelle usage et pendant combien de temps. La directive prévoit surtout d’instaurer un droit à l’oubli et un droit à la portabilité des données en permettant à l’utilisateur, sur simple demande, de se voir communiquer l’intégralité des données collectées le concernant, obtenir leur suppression ou une copie permettant leur portabilité d’un service vers un autre. Le texte prévoit également l’obligation « de désigner un délégué à la protection des données pour le secteur public et, dans le secteur privé, pour les grandes entreprises » et un renforcement des obligations pesant sur les responsables de traitement (audits, registres, contrôles…).
Tout en saluant les avancées du texte en matière de droit à l’oubli, la CNIL a regretté dans un communiqué le « risque d’éloignement entre les citoyens européens et leurs autorités nationales », le texte prévoyant que l’autorité compétente soit celle où la structure a son siège social et réduisant les autorités nationales au statut de « boîte aux lettre ». Elle a également regretté que les sanctions aient été revues à la baisse dans la dernière version du texte.

Le décret n° 2012-59 du 18 janvier 2012 relatif à la délivrance au public de certaines informations cadastrales a précisé les modalités de communication des informations issues des plans et matrices cadastrales. Le décret précise notamment que les informations sont délivrées, « si le demandeur en a fait le choix, par voie électronique » soit par courrier électronique, soit via « une application informatique à accès contrôlé » répondant aux exigences de la Cnil en matière de protection des données personnelles. Car comme l’a rappelé la Cada, la diffusion des données cadastrales doit concilier « le principe de libre communication des documents cadastraux avec les impératifs liés à la protection de la vie privée ». Aussi la Cada rappelle-telle que les communes peuvent-elles diffuser « les références cadastrales, l’adresse ou, le cas échéant, les autres éléments d’identification cadastrale des immeubles, la contenance cadastrale de la parcelle, la valeur locative cadastrale des immeubles, ainsi que les noms et adresses des titulaires de droits sur ces immeubles » à l’exclusion des « date et le lieu de naissance du propriétaire, ainsi que, le cas échéant, les motifs d’exonération fiscale, doivent être occultés avant la communication ». Par ailleurs, pour éviter une réutilisation abusive des données, le décret limite le nombre de demandes effectuées par un même usager à cinq par semaine dans la limite de dix par mois civil, sauf quand il s’agit de ses propres biens.

La Commission nationale informatique et libertés a publié son rapport d’activité 2010. Parmi les faits marquants on notera l’augmentation du nombre de plaintes (4800) et de contrôles (308). Ces derniers, en augmentation de 14% ont concerné 8collectivités parmi lesquelles Argenteuil et Paris. A noter que 19 % des contrôles ont été effectués dans le cadre de l’instruction de plaintes et que la CNIL a été amenée à prononcer des sanctions. La sanction la plus importante a concerné Google condamné à 100 00 euros pour son dispositif Google Streetview qui enregistrait des données sur les réseaux wifi à l’insu des personnes concernées. Parmi les contrôles, plus d’un tiers ont concerné la vidéosurveillance. La CNIL relève que sur : « 27 dispositifs jugés excessifs, 6 (soit 10 % des contrôles effectués) étaient délibérément orientés sur des salariés. Or, la mise en œuvre d’un dispositif de vidéosurveillance ne peut pas avoir pour seule finalité la surveillance des salariés ». On signalera également la montée en charge du ’augmentation du dispositif « correspondants informatiques et libertés » (CIL) dont le nombre est passé à 7300 en 2010 contre 5661 en 2009. Ces CIL permettent aux organisations de bénéficier d’un conseils en amont de la mise en place de projets de services numériques et de procédures de déclarations simplifiées.

Au-delà de son travail de gestion des autorisations de traitement de données à caractère personnelles et de contrôle, la commission a développé ses actions de sensibilisation et renforcé sa capacité d’anticipation sur les évolutions technologiques (RFID, NFC, biométrie, géolocalisation…). En matière de sensibilisation la CNIL plaide pour la mise en place dune instruction civico-numérique à destination des jeunes « visant à apprendre aux élèves à préserver les valeurs essentielles que sont l’identité et l’intimité ». En matière de prospective, elle a créé une nouvelle direction entièrement dédiée à cette question qui s’appuie sur des experts informatiques, des juristes, des sociologues, des politiques et des économistes. En parallèle, la Commission échange et développe sa capacité d’influence auprès de ses homologues, de groupes d’experts ou des agences en charge de la sécurité informatique, tant au niveau national qu’européen.

Les associations d’élus ont été destinataires d’un projet d’arrêté élaboré par le service juridique de la DGME visant à simplifier la mise en place de téléservices par les collectivités et leurs groupements.

Aujourd’hui, chaque téléservice (sauf dans certains domaines où existe d’ores et déjà une déclaration simplifiée) doit faire l’objet d’un dossier CNIL spécifique, ce qui est une source de complexité et de délais pour les collectivités. En accord avec la CNIL, la DGME a élaboré un projet de texte qui vise à autoriser les traitements de données à caractère personnel les plus courants pour une liste limitative de téléservices : état civil et citoyenneté, enfance et école, voirie, urbanisme, aide sociale, logement développement économique, relation aux usagers (prise de rendez-vous…), activités sportives et culturelles, polices spéciales. Le texte liste ensuite les données personnelles que les collectivités seraient autorisées à traiter : identifiants, téléphone, certificat… et précise les durées de conservation des données.

Ces téléservices ne seraient dès lors soumis qu’à une déclaration unique, les collectivités devant notamment préciser à la CNIL les modalités d’exercice du droit d’accès des usagers et les mesures de sécurité prises pour assurer la confidentialité des données.

On soulignera que les services dématérialisés « sensibles » (utilisant la biométrie, la géolocalisation…) devront toujours faire l’objet d’un avis de la CNIL.

Le projet de texte doit maintenant être soumis à l’avis de la CNIL.

Après des expériences pilotes centrées sur l’accès internet à bas cout pour les HLM, notamment à Angers, Brest, Dunkerque et Melun c’est au tour des réseaux sociaux de s’inviter dans les immeubles.Des outils présentés par les offices HLM comme un moyen de « briser la solitude », de moderniser la fonction de concierge mais aussi de garantir la protection des données personnelles qui fait défaut sur les grands réseaux comme  Facebook et Twitter.

Paris Habitat vient ainsi de lancer “De toit à toit”, un réseau social où les 250.000 locataires de l’office parisien peuvent trouver des informations sur leur immeuble, contacter un interlocuteur de l’office, remplir un formulaire ou encore déposer des petites annonces. Un réseau auxquels ont aussi accès les gardiens – qui peuvent ainsi poster des messages utiles aux locataires – et les associations de locataires. Sur un registre similaire, l’office HLM de Marseille et Habitat Marseille Provence (HMP), testent auprès de 700 locataires HLM, un portail de services numériques baptisé « Residacoeur« . Couplé à une offre internet à 5 euros par mois et accessible sur ordinateur comme sur la télévision, ce service donne un accès privilégié à des informations concernant leur quartier.

Lire ces articles présentant le réseau Résidacoeur et de Toit à Toit

La mission d’information sur les droits de l’individu dans la révolution numérique animée par les députés Patrick Bloche (SRC, Paris) et Patrice Verchère (UMP, Rhône), a rendu son rapport après plus de 6 mois de travail et des dizaines d’auditions. Parmi les 54 propositions, plusieurs concernent directement ou indirectement les collectivités locales.

En matière de numérisation du patrimoine, le rapport encourage la France a continuer les efforts entrepris (Grand emprunt, Gallica…) en faisant en sorte que les contenus numérisés soient mieux« repérables » (référencement…) sur la Toile. Parallèlement, il plaide pour la mise en oeuvre d’une véritable politique d’archivage numérique et le développement de la recherche sur les supports garantissant un accès aux données dans la durée.

Plusieurs pages du rapport sont consacrées aux sites web des communes et à l’administration électronique. Les rapporteurs souhaitent que toutes les communes disposent d’un site et que les outils de démocratie locale soient renforcés sur les sites existants. Ils estiment que la « e-démocratie » devrait être promue et proposent de missionner la Commission nationale du débat public sur ce sujet. En matière d’eadministration, ils plaident surtout pour une administration « multicanale » avec des documents administratifs qui doivent cependant demeurer accessibles par voie non numérique.

Sur la question de l’open data, sans surprise le rapport ne souhaite pas imposer de redevance pour la réutilisation des données sauf dans des cas exceptionnels tout en garantissant que l’ouverture des données publiques ne mettra pas en cause le principe de la protection des données personnelles. Ils demandent également que le cas des archives contenant des données personnelles soit  clarifié.

Plus d’une vingtaine de propositions concernent du reste la protection des données personnelles : droit à l’oubli sur les réseaux sociaux, limites à la géolocalisation, prise en compte des puces RFID, information sur le ciblage publicitaire, notification des failles de sécurité concernant des applications gérant des donnes personnelles à la CNIL, exclusion de l’usage du « cloud computing » pour stocker des données personnelles en dehors de l’Union européenne…

Extrêmement riche, ce rapport ne manquera pas d’alimenter en idées les partis politiques qui élaborent leur programme numérique en vue de la campagne de présidentielle de 2012.

Le sénat a adopté le 31 mai la proposition de loi relative à l’identité créant la carte nationale d’identité électronique (CNIE). Cette carte d’identité, destinée à lutter contre la fraude à l’identité, comportera une puce avec des données d’identification, dont les empreintes digitales du porteur, et une autre puce dite de vie quotidienne permettant à son porteur, s’il le souhaite, de s’authentifier sur internet et de signer des documents.

La proposition de loi initiale du sénateur Lecerf a été amendée pour renforcer la protection des détenteurs et éviter tout détournement dans l’usage de la base de données créée par le texte. La base centrale de données biométrique sera ainsi à « liens faibles ». Comme l’explique le rapporteur du texte, Francois Pillet, « il s’agit, d’une technique qui exclut la possibilité de retrouver une identité sur la base d’un seul élément recueilli lors de l’établissement d’une carte nationale d’identité, en particulier les empreintes ou le visage. Ce système, qui rend impossible l’identification d’une personne à partir d’une donnée biométrique, permet en revanche la détection de la fraude à l’identité par la mise en relation de l’identité alléguée et celle des empreintes du demandeur de titre. » Sur le volet signature, les sénateurs ont précisée que l’utilisation d’une CNIE ne pourrait être exigée par les services en ligne, la CNIE restant gratuite et facultative comme la CNI actuelle.

En revanche, comme l’a fait remarquer la sénatrice Michèle André, le texte reste muet sur le volet organisationnel et financier. Rappelant les problèmes qu’avaient générés la mise en place du passeport biométrique dans les 2000 villes habilitées à les délivrer, la sénatrice a regrettée que  le texte ne comporte pas « d’évaluation préalable de l’impact opérationnel et financier de l’entrée en vigueur de la nouvelle carte d’identité ». Le système d’indemnisation pour le passeport est aujourd’hui forfaitaire fondé sur une base de 30% d’usagers extérieurs à la commune instruisant les demandes, la sénatrice estime que  « le dispositif mérite d’être revu dès lors que la délivrance des cartes d’identité débouchera sur un surplus de travail dans les mairies, puisque nous pouvons penser que les demandes de cartes d’identité seront deux fois plus nombreuses que pour les passeports ».On ajoutera que concomitamment, les mêmes agents vont devoir gérer le nouveau dispositif d’échange de données dématérialisées d’état civil qui va lui aussi peser sur l’organisation des services accueil des mairies. Cette étude d’impact est donc particulièrement nécessaire si l’on souhaite éviter files d’attente et le mécontentement des usagers que cela risque d’occasionner.

Le texte doit maintenant être examiné par l’Assemblée nationale, le député Philippe Goujon en sera le rapporteur mais il faudra encore deux lectures pour qu’il entre en vigueur.

Où trouver un vélo en libre service ou l’arrêt de bus le plus proche ? De plus en plus d’applications mobiles proposent de vous donner la réponse à partir de votre position géographique réelle. En l’absence de GPS (qui utilise les satellites), celle-ci peut être calculée par triangulation à partir des antennes relais de téléphonie mobile et surtout, en ville, à partir des points d’accès wifi que constituent les box ADSL.

La CNIL vient cependant de rappeler que les informations issues de ces points d’accès wifi, identifiés par un nom (SSID) et un identifiant unique utilisable pour la géolocalisation, sont des données à caractère personnel. La CNIL estime en effet que « l’association de données permettant d’identifier un point d’accès WiFi avec des données de géolocalisation est de nature à permettre l’identification d’une personne indirectement ou directement ».La Commission souhaite en conséquence que les bases de données des points d’accès wifi, telles que celles constituées par Google, soient déclarées à la CNIL et que les propriétaires des points d’accès aient la possibilité de s’opposer à l’utilisation des coordonnées de leur point d’accès Wifi. Elle souhaite par ailleurs que les possesseurs de Smartphone soient clairement informés de la finalité de la géolocalisation de leur téléphone, que l’identifiant du téléphone soit en aucun cas associé au nom de son propriétaire, et qu’ils puissent donner expressément leur consentement.

La proposition de loi du sénateur Jean René Lecerf sur la protection de l’identité sera examinée le 27 avril sur la base du texte modifié par la commission des lois. La principale disposition du texte concerne l’institution d’une carte d’identité électronique (CNIE) qui sera dotée de deux puces distinctes et « étanches »

• La première, dite régalienne, sera réservée à la vérification de l’identité du porteur et contiendra notamment les données biométriques parmi lesquelles 8 empreintes digitales
• La seconde, dite puce de« vie quotidienne », contiendra des données d’identité classiques (nom prénom, adresse) et pourra être lue par des dispositifs diffusés dans le commerce  raccordés à un ordinateur personnel. Cette puce sera un moyen de s’authentifier en ligne et permettra de signer des documents.

La seconde disposition importante concerne la création d’un fichier central contenant l’ensemble des données requises pour la délivrance du passeport et de la carte nationale d’identité, notamment celles qui seront inscrites sur le composant électronique de ces titres d’identité (état civil du titulaire, données biométriques, domicile).

La commission des lois du Sénat a apporté plusieurs amendements visant à renforcer la protection des libertés :

• Le fichier central biométrique ne pourra pas être utilisé à des fins de recherches criminelles. La base biométrique sera par ailleurs « à lien faible », c’est-à-dire interdira qu’un lien univoque soit établi entre une identité civile et les empreintes digitales de l’intéressé.
• La vérification de l’identité via les empreintes digitales (puce régalienne) ne pourra être effectuée que par des agents habilités
• Le porteur du titre pourra sélectionner les données qu’il souhaite transmettre lors de l’utilisation de son titre pour des formalités /transactions en ligne
• L’utilisation d’une CNIE pour un téléservice ne pourra être rendu obligatoire, la CNIE restant un document facultatif.

Enfin on signalera que les modifications d’actes d’état civil (mentions) opérées à l’aide d’une identité se révélant a posteriori usurpée seront distinguées des autres mentions.

Ce texte – sensible du fait de la création d’une base de données centrale, ce qui est nouveau et reste très sensible après l’épisode vichyssois – doit maintenant faire l’objet de deux lectures dans chacune des deux chambres. L’objectif affiché est d’adopter le texte avant la fin de l’année, les premières CNIE étant délivrées fin 2011 / début 2012. Un pari compte tenu du calendrier parlementaire chargé et de cette année préélectorale ?

Depuis le 1er mars,les hébergeurs de contenus sur Internet doivent conserver pendant un an les données d’identification des internautes, en vertu du Décret n° 2011-219 du 25 février 2011, traduction d’un article de la loi pour la confiance dans l’économie numérique (LCEN). Une disposition qui précisera-t-on concerne les collectivités qui proposent aux internautes la possibilité de contribuer, participer ou dialoguer via les outils en ligne qu’elles ont pu mettre en place (blogs, wiki, boites mails, réseaux sociaux…). Les données – nom et prénom, adresse postale, pseudonyme, adresse e-mail, numéro de téléphone de l’internaute, références de ses opérations de paiement… – doivent être conservées pendant un an et  mises à disposition des autorités compétentes dans le cadre d’enquêtes judiciaires.

Ce décret fait aujourd’hui l’objet d’un recours en annulation devant le conseil d’Etat par l’Association française des services internet communautaires (Asic). L’association, qui regroupe des sociétés comme Facebook, Google ou Priceminister, estime que le décret va plus loin que la loi sur la nature des données concernées et que la rédaction induit une durée de conservation beaucoup plus longue qu’un an puisque le décret prévoit que le compteur d’un an soit remis à zéro dès que l’internaute modifie ou supprime des informations. Le Conseil d’État rendra son avis d’ici 9 à 12 mois.