Archive pour la catégorie ‘Données personnelles’

postheadericon Saucissonner la loi sur la protection des données personnelles pour favoriser l’innovation

Les députées Corinne Erhel et Laure de La Raudière font des propositions assez iconoclastes sur la protection des données personnelles. Dans la lignée des rapports Colin/Collin, elles rappellent que la création de valeur dans l’économie numérique repose largement sur l’exploitation des données personnelles des internautes – traces, requêtes, contenus publiés, habitudes de consommation, géolocalisation, etc. – et que la donnée est au cœur de plusieurs domaines en plein développement en France : internet des objets, cloud computing, ville intelligente….

Un constat qui les amène à plaider pour une meilleure protection du consommateur-usager qui n’a pas toujours conscience des conséquences de son propre comportement mais aussi à s’interroger sur la « conciliation entre l’intérêt général et l’intérêt individuel. » Elles citent notamment le cas des données sur la santé : « le secret médical impose la plus grande confidentialité en la matière. Alors que la collecte et l’analyse des données de santé de chacun permettraient de détecter des maladies très en amont et ainsi de sauver des vies, » argumentent-elles. Elles estiment en outre que l’objet des big data est peu compatible avec la loi la protection des données personnelles dans sa rédaction actuelle. « L’anonymisation est quasiment impossible », le principe de finalité incompatible avec l’objet même des big data soulignent par exemple les deux députées.

Aussi proposent-elles de démanteler la loi de 1978 pour créer un cadre juridique de la donnée adapté à chaque domaine, la santé ne pouvant être traitée sur le même plan que les assurances ou les réseaux sociaux. Elles suggèrent aussi de développer la régulation a posteriori en créant un droit à l’expérimentation qui permette à une start-up de collecter certaines données dans l’attente de l’identification précise de son modèle économique.

postheadericon La CNIL souhaiterait une régulation de la « mort numérique »

Dans son dernier rapport annuel, la CNIL fait un focus sur la mort numérique, sujet qui concerne en premier lieu les réseaux sociaux mai intéresse aussi les communes, de plus en plus nombreuses à réfléchir au cimetière connecté. La CNIL souligne qu’il doit y avoir une conciliation antre « le droit à l’oubli numérique et les possibilités d’atteindrel’éternité numérique offertes par la vie en ligne ». il s’agit aussi de concilier le respect de l’identité du défunt tout en protégeant la vie privée de ses héritiers.

Avec des questions très pratiques à la clé : puisqu’il la loi informatique et libertés ne prévoit pas la transmission des droits du défunt aux héritiers. La CNIl est ainsi de plus en plus sollicitée par des héritiers pour obtenir cette suppression des données du défunt (effacement, suppression, déréférencement ou désindexation). Eles estiment que les conditions générales d’utilisation des sites – qui prévoient de plus en plus souvent une clause sur la mort numérique –  ne sont pas suffisantes. Elle souhaite que ce sujet fasse l’objet d’un débat public et soit abordé dans le cadre du règlement sur la protection des données personnelles.

Enfin sur le cimetière numérique, on signalera que le sénateur Sueur a récemment interpellé le gouvernement sur l’usage des QR code dans les cimetières – où le contenu n’est accessible que via mobile – qui génère pour le maire une difficulté à respecter la « dignité des lieux » (absence de publicité commerciale ou de mentions contraires aux bonnes mœurs).

Collectivités : 7% des plaintes

La rapport annule de la CNIL évoque a plusieurs reprises les collectivités qui restent cependant un sujet très secondaire par rapport aux problématiques internationales (affaires Prism/NSA) et aux réseaux sociaux. On y apprend que plus des trois quarts des plaintes concernent le secteur privé. Pour les collectivités, la majeure partie des plaintes concernent sans surprise les élections et la vidéoprotection (7 communes mises en demeure). Par ailleurs en 2013 la commission s’est intéressée au traitement par les collectivités locales des données relatives aux difficultés sociales des personnes. Les 22 contrôles opérés auprès des CCAS ont mis en exergue la nécessité de mieux sécuriser les systèmes d’information.

postheadericon L’usage reste la clé de la confiance dans les services numériques

L’édition 2014 du Baromètre de la confiance de La Poste réalisé par TNS Sofres montre qu’internet fait partie du quotidien des français et que la transition vers le numérique ubiquitaire est largement entamée. Près d’un internaute sur deux se connecte ainsi à Internet depuis un appareil mobile et si le mail est toujours l’usage dominant, les réseaux sociaux sont en seconde position (68% ont un compte Facebook), avec plus de la moitié d’utilisateurs actifs. 90% des internautes achètent en ligne et y consultent leurs comptes bancaires. Plus d’un tiers utilisent une solution de stockage en ligne pour conserver des documents – photos (17), factures (14), documents administratifs voire des titres d’identité (7%) – avec une prédominance pour le webmail (55%), suivi par le cloud (44%).

Le sondage montre ensuite que le principal moteur de la confiance reste l’usage régulier des services. Si moins d’un quart des français font confiance aux réseaux sociaux le pourcentage monte par exemple à 36% pour les utilisateurs fréquents. Un différentiel observé aussi pour l’achat (79%/ 86%) et pour la plupart des usages : échanges entre particuliers, sites de recommandation, réalisation de virement… on notera cependant que cette règle entre utilisateur occasionnel/fréquent ne s’applique pas aux services publics en ligne…. qui inspirent confiance pour (seulement) 45% des sondés .

Enfin, sans surprise, la protection des données reste la principale préoccupation des français, source d’inquiétude pour plus de 80% des personnes interrogées. Si globalement les internautes « ubiquitaires » se sentent plus concernés par cette question, on notera qu’ils ne sont pas plus nombreux à bien maîtriser  les paramètres de confidentialité proposés par les différents services. La confiance ne dépend du reste que partiellement des options de sécurisation des données : la recommandation du service, la notoriété du site et enfin la bonne expérience d’usage… Parmi les piste d’amélioration, on notera que le recours à une certification des sites et la garantie sur d’un stockage des données en France sont bien accueilli par plus des deux tiers des sondés.

postheadericon Le projet de loi sur le numérique bientôt soumis à consultation

Annoncé depuis plus d’un an, plusieurs fois reporté, le projet de loi les droits et libertés numériques devrait être discuté au parlement cet automne. D’ici là il fera l’objet d’une vaste consultation publique sous l’égide du conseil national du numérique. Open data, renforcement des pouvoirs de la CNIL, cybercriminalité, neutralité, droit à l’oubli, encadrement des géants du Net… ce projet de loi devrait couvrir un large spectre de thématiques. Il sera l’occasion de traduire dans les textes certaines propositions des nombreux rapports traitant du numérique publiés ces derniers mois comme celui sur l’inclusion numérique, les redevances, la gouvernance des politiques numériques (à venir) ou encore celui sur la fiscalité du numérique… il permettra aussi au gouvernement de « rattraper » quelques loupés comme l’article 20 de la loi de programmation militaire qui a élargi les possibilités de surveillance des internautes.

Ce projet de loi – dont les grandes lignes avait été évoquées par Fleur Pellerin aux Echos en février – est désormais piloté par Axelle Lemaire, la nouvelle secrétaire d’Etat au numérique en concertation avec Marylise Lebranchu la ministre de la Réforme de l’État. C’est son volet open data, qui résulte aussi de la nécessité pour la France de transposer la directive 2013/37/UE du 26 juin 2013 en droit français, qui devrait le plus impacter les collectivités locales. Une directive qui instaure le principe selon lequel tout document public doit être réutilisable dès lors qu’il rentre dans le champ visé par le texte, sans possibilité pour les États membres de créer leurs propres critères d’ouverture. Dans le cadre de la conférence sur l’open data organisée à Paris, Axelle Lemaire, a précisé que le texte serait aussi ’occasion de « graver dans le marbre législatif » le principe de la gratuité des données publiques, les redevances restant l’exception.

postheadericon Open data : au nom de la protection de la vie privée, le sénat reste très prudent

« Mieux vaut prévenir que guérir ». C’est sans doute cet adage qui a servi de fil conducteur au rapport que viennent de remettre les sénateurs Gaëtan Gorce et François Pillet sur la protection des données personnelles dans l’Open data. Car ils sont les premiers à le reconnaître, et les acteurs de l’open data (d’Etatlab à Regards Citoyens) ont été nombreux a le leur rappeler lors des auditions : aujourd’hui les données libérées par les administrations contiennent très peu de données personnelles.

Néanmoins, arguant de « risques de ré-identification » liés aux croisements de données anonymes, de « techniques d’anonymisation qui ne sont pas infaillibles » et de « risques d’une mise en cause de la responsabilité des administrations en cas de fuite de données » les deux sénateurs estiment qu’il faut dès à présent renforcer le cadre juridique. Un renforcement – car on le rappellera : les protections sont déjà nombreuses – qui ne doit cependant pas remettre en cause la démarche en elle-même, jugée bénéfique tant pour la transparence que pour l’activité économique par les deux sénateurs.

Concrètement cependant, passées les trois propositions obligeant les administrations à planifier l’ouverture de leurs données publiques, on peut douter du caractère incitatif des propositions suivantes. Les sénateurs souhaitent en effet des études préalables à la libération des données sur les risques sur la vie privée, autoriser les administrations à instaurer des redevances d’anonymisation voire renoncer à la publication de leurs données du fait de coûts d’anonymisation « déraisonnables » ou encore « marquer les données » pour être en capacité de repérer les mésusages éventuels… Ce corpus de mesures serait encadré par une « doctrine de la protection des données ouvertes » et porté par une structure ad’hoc placée auprès d’EtatLab chargée également d’accompagner les acteurs et d’assurer une veille sur les (més)usages des données libérées.

Autant de propositions qui pourraient trouver leur traduction dans le futur projet de loi sur le numérique. Annoncé pour la fin d’année celui-ci comprendra un volet protection de la vie privée, sujet cher à la nouvelle secrétaire d’Etat au numérique Axel Lemaire. Un projet de loi qui annonce de vifs débats entre les partisans de la régulation ex ante et ceux qui souhaitent privilégier une régulation ex post, à l’anglo-saxonne. On rappellera à ce propos que le mouvement open data vient d’Outre atlantique et est fondé sur une philosophie visant à laisser les usages émerger, sans a priori (notamment sur les croisements de données) et de faire le tri après… et sur cette question des usages – quasiment éludée par le rapport – on demande encore à voir faute d’une ouverture massive des données publiques.

postheadericon Big data : les données mobiles intéressent les métropoles

Appels et SMS reçus et émis, changements d’antenne (hand over) et d’aire de localisation, périodes d’inactivité… Les opérateurs mobiles collectent des milliards de données au travers leurs réseaux d’antennes relais. L’analyse de ces données, dans une logique « big data », permet de connaître les concentrations d’utilisateurs et les trajectoires des téléphones mobilesL’opérateur Orange propose désormais une offre big data  aux collectivités  avec des applications très concrètes. 

La prévision du trafic automobile fait partie des usages les plus évidents. Autoroutes du Sud de la France (ASF) et Orange ont ainsi mis en place depuis 2010 un dispositif d’analyse du trafic automobile sur la métropole toulousaine qui compile les données d’ASF, celles issues de capteurs sur la voirie et les données de connexion au réseau d’Orange. Compilées, ces données fournissent une analyse du trafic en temps réel et permettent d’anticiper les encombrements.

Le secteur du tourisme a également beaucoup à apprendre des données mobiles. Dans les Bouches du Rhône et dans la perspective de Marseille Provence 2013, les données mobile ont permis de mieux connaître les flux touristiques, les lieux fréquentés et le profil des touristes puisque le mécanisme du roaming fournit la nationalité du porteur de mobile. Ces analyses débouchent sur des conclusions très opérationnelles comme une aide au positionnement des bornes WiFi dans les lieux publics (le roaming est coûteux pour les touristes)  ou encore la planification des visites en langues étrangères. Depuis cette expérience, un partenariat entre Rn2D et Orange a permis d’ouvrir ce service à tous les comités départementaux de tourisme qui peuvent observer 5 à 10 zones infra-départementales.

A Rennes, l’expérience avait vocation à matérialiser  les mouvements d’individus à l’échelle d’un quartier. Pendant cinq semaines (octobre-novembre 2013) ont été analysées les traces de géolocalisation laissés par les téléphones d’une quarantaine d’habitants volontaires. Avec pour résultat une analyse jugée très utile par les urbanistes pour mieux évaluer les besoins en équipements commerciaux, culturels et de loisirs,  savoir quand ils sont utilisés dans la journée ou la semaine et déterminer les parcours de mobilité. Une analyse qui pourrait encore être affinée si les aménageurs avaient accès au profil des utilisateurs (retraité, élève, salarié…) mais qui pose de sérieuses questions sur la vie privée. Du reste l’expérience a suscité un enthousiasme modéré de la part des habitants : Orange pensait pouvoir convaincre 200 volontaires et n’en a eu que 40… 

La CNIL suit de près ces expérience et a encadré l’offre « flux vision » d’Orange. Elle a en effet imposé l’usage de données complètement anonymes, sans connaissance du département d’origine par exemple, et interdit les analyses sur moins de 50 mobiles.

Les pistes pour accélérer le secteur des« big data »
Le « big data » fait partie des 34 plans industriels. Des premières pistes évoquées par le groupe de travail planchant sur ce thèmes on retiendra la nécessité d’ouvrir les données des grands industriels aux start-up : Orange, EDF, Veolia, SNCF, Carrefour… pour favoriser l’innovation dans un secteur jugé extrêmement porteur pour la ville intelligente, la santé, les assurances ou encore la distribution. Le pré rapport insiste ensuite sur la nécessité de former des « data scientists » pour que la France soit en pointe sur ce sujet. Enfin il souhaite la création d’une exception au principe de finalité de la loi informatique et liberté. La démarche Big Data vise en effet à exploiter et croiser des dizaines de données sans que l’on sache exactement ce que l’on va trouver…

 

postheadericon La CNIL peut désormais exercer un contrôle des sites en ligne

La loi n° 2014-344 du 17 mars 2014 relative à la consommation introduit la possibilité pour la CNIL de procéder à des contrôles en ligne. La loi informatique et liberté listait jusqu’à présent trois modes de contrôle : un contrôle sur place (accès aux matériels et logiciels), les contrôle sur pièce via une demande écrite de la CNIL et les contrôles sur audition.La loi du 17 mars 2014 permet à la CNIL de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés et de dresser un procès-verbal opposable aux organismes à l’origine des manquements.

Avec 414 missions en 2013, le pouvoir de contrôle et de sanction de la CNIL reste en effet limité. La Commission devrait être plus efficace et en phase avec les évolutions technologiques en cours (cloud, virtualisation) avec la disposition introduite par la loi sur la consommation. Il va notamment faciliter l’identification des pratiques illégales en matière d’information et de droit d’accès aux données personnelles lors du remplissage de formulaires en ligne.

Elle ne dispensera cependant pas la Commission de ses autres voies de contrôle qui sont  indispensables pour évaluer les process et mesures de sécurité physique que doivent dans certains cas mettre en œuvre les organisations.

postheadericon La CNIL lance une consultation sur Open Data et données personnelles

La CNIL a lancé une consultation publique pour « dresser un état des lieux des pratiques et des questions « informatique et libertés » qui se posent dans le cadre des projets d’ouverture de données publiques, afin d’apporter des réponses concrètes et opérationnelles aux professionnels ». Cette consultation fait suite à un séminaire organisé en juillet dernier (compte rendu ici). Une journée qui avait montré que si les données personnelles semblent peu présentes dans les jeux de données publiés, les acteurs éprouvent des difficultés à identifier, en dehors des données nominatives, les données sensibles au regard de la loi informatique et libertés et manquent de guides pour appréhender ce sujet. Ils souhaiteraient notamment disposer d’outils et méthodes opérationnelles pour anonymiser en masse les données.
C’est donc pour mieux accompagner le développement de l’Open Data que la CNIL a lancé cette enquête. Sont invités à participer « les acteurs impliqués dans la mise en œuvre d’une plateforme ou d’une politique d’open data, les producteurs ou les gestionnaires d’informations publiques susceptibles d’être ouvertes, les réutilisateurs à divers titres ainsi que les Correspondants Informatiques et Libertés ». Le questionnaire sera en ligne jusqu’au 7 février 2014.

postheadericon Publication imminente de l’arrêté téléservices, un guide à venir

En instance depuis plus d’un an, le projet d’arrêté devrait être très prochainement publié. Ce texte vise à faciliter le déploiement des téléservices des collectivités en simplifiant les formalités liées à la protection des données personnelles. A partir du moment où le service est listé dans l’arrêté, où le téléservices respecte les règles usuelles en matière de protection des données personnelles (consentement, proportionnalité, droit d’accès et de rétractation, durée de conservation…) et celles du référentiel général de sécurité (RGS) les collectivités seront dispensées de formalités déclaratives. L’arrêté a vocation à prendre la forme d’une autorisation de traitement unique de la CNIL, sur le même mode que ce qui existe en matière de transports publics,

Les téléservices concernés par l’arrêté sont regroupés dans 10 catégories : Fiscalité, travail/social, santé, transports, état civil/citoyenneté, relations avec les élus, scolaire et périscolaire, économie et urbanisme, polices spéciales et voirie, relation avec les usagers. Les trois derniers, étaient initialement regroupés dans une seule (« vie quotidienne), ont été séparés dans des catégories différentes à la demande le CNIL. Ce texte, imaginé à l’origine pour les téléservices « classiques » (déclarations, formulaires en ligne…) s’applique à tous les services administratifs dématérialisés, ce qui inclut les services sur téléphone mobile ou cartes de vie quotidienne.

Les grandes villes, et en particulier celles engagées dans le déploiement d’un bouquet de services de vie quotidienne sur téléphone mobile sans contact / NFC, ont fait remonter un certain nombre de difficultés d’interprétation du texte qui impose une stricte étanchéité des bases de données et identifiants entre les 10 catégories. En clair, il et ainsi exclu que l’identifiant transport puisse servir pour offrir l’accès à la bibliothèque et encore moins que les agents chargés de ces deux services puissent mutualiser une base de données.

Si ces règles se justifient du point de vue de la protection de la vie privée, elles posent des questions très pratiques aux villes. Ce texte empêche-t-il par exemple la création d’une hot-line ou d’un SAV unique en mesure de répondre à l’ensemble des usagers quel que soit le secteur et ce SAV peut-il être géré par la collectivité elle-même ou doit-il être délégué à un tiers ? Certains services, comme le vélo partage ou l’accès à la piscine, sont ils considérés comme des téléservices au sens de l’arrêté ? Un pass tourisme associant un forfait transports et un accès aux sites et musées est-il possible ? et, plus généralement, dans quel mesure est-il possible d’utiliser un identifiant unique technique « déconnecté » des identifiants métiers ? L’arrêté associe en outre le déploiement des téléservices à la réalisation d’une étude de risque préalable dont le contenu reste à préciser.

Ces questions ont été transmises par les représentants des grandes villes au SGMAP et à la CNIL. Lors de la dernière réunion de l’instance nationale partenariale (INP), il a été convenu d’accompagner l’arrêté d’un guide de mise en œuvre co-conçu par la CNIL et le SGMAP qui sera notamment utile aux collectivités travaillant sur la mise en œuvre de portails de téléservices, de cartes de vie quotidienne ou de bouquet de services sur mobile .

postheadericon La protection des données personnelles sous les feux de l’actualité

La semaine dernière, les Etats membres de l’Union européenne ont retoqué le projet de règlement européen visant à modifier la directive de 1995 sur la protection des données personnelles. Un texte qui prévoit notamment l’instauration un « droit à l’oubli » numérique pour l’internaute et l’obligation pour les entreprises et administrations d’avertir les autorités en cas de faille de sécurité. Ce texte a été jugé trop pénalisant pour les petites entreprises et pas assez précis sur les garanties offertes aux citoyens. La France exige ainsi un « consentement explicite » pour l’utilisation des données personnelles. Mais il semble que ce sont surtout les partisans de règles souples, soumis à la pression des grands groupes américains comme l’ont montré les investigations menées par la presse, qui ont aboutis à rejeter ce texte.
La récente affaire PRISM, qui a révélé la pratique d’un espionnage massif des internautes via un accord entre plusieurs géants du Net et le gouvernement américain, pourrait changer la donne. Au delà du consentement donné à l’utilisation de ses données personnelles pour accéder à un service en ligne se pose en effet la question du lieu de stockage des données et de la propriété des données, sujet au cœur du « droit à l’oubli » préconisé par le règlement. Hasard de calendrier, un débat avait lieu à l’assemblée nationale sur ce sujet le 6 juin, dans la perspective de l’adoption du règlement européen et d’un projet de loi sur le numérique intégrant la protection des données personnelles en 2014. Si les députés ont été unanimes pour juger le cadre en place « inadapté » à l’évolution des pratiques numériques, la marge de manœuvre dont dispose la France est étroite sur un sujet qui dépasse largement les frontières de l’hexagone. Les négociations avec les géants américains ne peuvent en effet passer que par Bruxelles et les états européens sont très divisés sur le cadre à imposer pour le vieux continent. Trop restrictif, il pourrait en effet restreindre l’innovation dans les services numériques – dont un des moteurs est l’analyse des comportements des utilisateurs – et désavantager les PME sans être efficace sur les Google et autres Facebook.

TIC*