Le blog TIC des Maires de Grandes Villes

Le Clusif, club qui réunit les DSI des grandes entreprises et administrations, a sondé les collectivités sur leur pratique en matière de sécurité informatique. Selon cette enquête (ici en PDF), menée auprès d’un échantillon représentatif de collectivités, 60 % d’entre elles confessent des incidents tels que le vol ou la disparition de matériels informatiques. Les intrusions sur les systèmes d’information (1 à 8 %) et autres fraudes (2 à 16 %) atteignent également des niveaux non négligeables. Une sinistralité sans doute sous-estimée puisque 74 % des collectivités ne sont pas organisées pour collecter et traiter ces événements, 95 % ne déposant jamais de plainte et 93 % n’évaluant pas l’impact financier de ces incidents. En fait la sécurité reste une problématique encore émergeante dans beaucoup de collectivités. Peu d’entre elles possèdent un responsable de la sécurité des systèmes d’information (RSSI) et, si les collectivités sont désormais largement équipées en antispam et autres firewall, seules les grandes collectivités ont des politiques abouties en termes de moyens (chiffrement, authentification…) comme de méthode (existence d’une charte sécurité, sensibilisation du personnel…). Les DSI ne sont cependant pas forcément à montrer du doigt : les insuffisances budgétaires, le manque de collaboration de la hiérarchie et, in fine de culture SSI, sont autant de facteurs qui expliquent cette situation.

La CNIL estime que le cadre juridique de la vidéosurveillance est aujourd’hui dépassé. Le distinguo créé par la loi de 1995 entre la vidéosurveillance dans les lieux publics, qui relève de la compétence d’une commission départementale sous la responsabilité du préfet, et les autres dispositifs, qui sont sous compétence de la CNIL, porte à confusion a estimé récemment le président de la CNIL, Alex Turk. Pour preuve : les nombreuses plaintes déposées par des usagers à la CNIL pour des dispositifs de la compétence de la commission départementale ou encore les communes qui – par ignorance – demandent seulement une autorisation préfectorale dans des cas où l’avis de la CNIL est indispensable… Cette situation d’incertitude juridique est le fruit de la révolution numérique, de la baisse des coûts d’installation des vidéos et de la convergence des technologies (télécom, audiovisuel, biométrie…). Aussi la CNIL estime-t-elle qu’il faut remettre à plat l’ensemble du cadre juridique avant de se lancer – comme le ministère de l’Intérieur le souhaite – dans un vaste plan de développement de la vidéosurveillance. Dans le futur dispositif, la CNIL souhaite être la seule compétente. Elle souligne en effet que les commissions départementales sont débordées, que leurs décisions varient d’un département à l’autre et, qu’à l’inverse de la CNIL, elles n’ont ni l’expertise ni le pouvoir de contrôle nécessaires. Consciente du besoin de proximité des décisions sur ces questions, la CNIL propose de créer des représentations régionales de la CNIL. Il reste à savoir si cet avis, qui n’était pas l’objet d’une demande du Gouvernement, sera suivi.

Voir aussi la note de la CNIL sur les difficultés d’application du cadre juridique actuel sur la vidéosurveillance.

L’association des professionnels du Net des collectivités locales (Apronet) vient de créer le club des correspondants informatiques et libertés (CIL) des collectivités. On rappellera que les CIL, dont le rôle a été défini par la loi de informatique et liberté de 2004 et le décret du 20/10/2005, est destiné à faciliter la mise en conformité des collectivités avec la législation sur les données personnelles tout en leur permettant de s’affranchir de certaines formalités auprès de la CNIL. L’évolution des technologies (biométrie, RFID…), des usages (téléservices, contrôle d’accès, vélib’…) et de la réglementation oblige cependant les CIL à exercer une veille et à une vigilance permanente. Le Club CIL Apronet vise à rompre l’isolement des CIL en leur permettant d’échanger sur des questions délicates, sources d’éventuels contentieux pour les collectivités. Une vingtaine de correspondants informatique et libertés de collectivités ont déjà rejoint le réseau. Ce réseau travaillera en liaison étroite avec la CNIL et l’association française des correspondants à la protection des données à caractère personnel (AFCDP, http://www.afcdp.org). Il bénéficiera également des outils de travail collaboratif développés par Apronet. Pour s’inscrire : inscription-cil (at) apronet.asso.fr

Quelles données conserver quand on offre un accès Wifi en mairie ou dans un espace public ? Régulièrement interrogée sur cette question, la CNIL vient de rappeler les règles (ACTUELLES car cela pourrait changer) à respecter. La commission rappelle ainsi que les obligations de conservation des opérateurs ne concernent que les données techniques :

• Les données qui permettent d’identifier indirectement l’utilisateur :adresse IP, numéro de téléphone, adresse de courrier électronique…
• Les données relatives aux équipements utilisés ;
• la date, l’horaire et la durée de chaque communication ;
• les données relatives aux services complémentaires demandés ou utilisés et à leurs fournisseurs ;
• les données permettant d’identifier le ou les destinataires de la communication.

Les opérateurs n’ont en revanche aucune obligation de constitution de fichiers nominatifs des utilisateurs. La CNIL rappelle par ailleurs qu’il est interdit de conserver les informations relatives au contenu des communications : le texte d’un SMS, l’objet d’un e-mail…

Dans le cadre de la lutte contre la cybercriminalité (appréciée dans un sens très large…), deux textes seraient en préparation du côté du ministère de l’intérieur.

Le premier concerne directement les collectivités locales puisqu’il vise à élargir le champ des personnes concernées par le décret du 24 mars 2006 sur la conservation des données de connexion. Face à l’incertitude sur l’application de ce texte– incertitude mentionnée dans le récent rapport du Forum des droits sur l’Internet sur l’accès public à Internet – le ministère aurait décidé de détailler précisément la liste des acteurs concernée. Mme Alliot Marie a en effet déclaré, à l’occasion de la présentation de son plan de lutte contre la cybercriminalité qu’il fallait « clarifier cette disposition pour qu’elle puisse être applicable à l’ensemble des acteurs de l’Internet - et non plus aux seuls opérateurs. Un décret détaillera pour chacun de ces acteurs la liste des catégories de données à conserver. Cette obligation pourra alors s’appliquer aux bornes d’accès Wi-Fi, aux éditeurs de messagerie électronique, aux points d’accès dans les lieux publics ». Les bibliothèques et tout accès à internet public devraient donc être concernés par ce texte.

Le second décret, que le quotidien les Echos s’est procuré, concernerait les fournisseurs d’accès et les opérateurs et les hébergeurs. Selon le journal, il viserait à rendre obligatoire la conservation des données susceptibles d’identifier tout créateur de contenu en ligne : adresse IP, mot de passe, login, pseudonyme, terminal utilisé, coordonnées de la personne physique ou morale, ou encore les identifiants de contenus. Ce texte, qui serait dans les circuits de validation ministériels, suscite d’ores et déjà l’émoi dans le monde internet. Du coté des FAI, c’est le volume des données à stocker, les couts de conservation et les obstacles techniques qui sont dénoncés. Du côté des associations de défense des droits des internautes, c’est évidemment le flicage des internautes.

Carte à puce dans les transports, biométrie à la cantine, formalités administratives en ligne, cadastre et urbanisme sur internet… les grandes villes sont de plus en plus utilisatrices de TIC et de traitements de données personnelles. De plus en plus sollicitée (débordée ?) par les villes, la CNIL vient de publier un guide, sous forme de 17 fiches pratiques, qui devrait répondre à la plupart des questions que se posent les collectivités sur des sujets comme l’état civil, les listes électorales, les fichiers sociaux, la fiscalité locale, le cadastre, les applications biométriques ou encore les dispositifs de vidéosurveillance. Mais, à l’occasion de la conférence de presse, le président de la CNIL a surtout incité les collectivités à créer un “correspondant informatique et liberté (CIL)”. A ce jour, 70 collectivités seulement ont désigné un CIL alors que celui-ci peut leur éviter certaines formalités et surtout des contrôles, voire des sanctions. Si peu de collectivités ont été contrôlées l’an dernier (moins d’une dizaine), cela pourrait changer après les élections.