Archive pour la catégorie ‘Données personnelles’

postheadericon La Cnil consulte sur le droit à l’oubli

Avec le développement des usages numériques et de la mobilité, les traces laissées par les utilisateurs – sur les sites en ligne mais aussi via les applications mobiles – permettent de reconstituer de manière de plus en plus précise leurs gouts et qualités, leurs habitudes de consommation mais aussi leurs déplacements.

Pour limiter les risques de traçage s’est fait jour l’idée d’un « droit à l’oubli numérique » intégrant des éléments comme la limitation des durées de stockage par les sites internet (moteurs de recherche, réseaux sociaux, …) ou les applications mobiles, la possibilité de connaître précisément les informations collectées par les services numériques et, enfin, le droit de détruire « définitivement » ce qui constitue sa « e-réputation ».

Simple dans son concept, le droit à l’oubli s’avère très complexe à mettre en œuvre : la destruction « définitive » des données, à l’heure de l’internet mondial et du développement de capacités de stockage quasi illimitée, est-elle envisageable ? Quelle marge de manœuvre face à des Facebook ou Google ou Apple ? Comment concilier droit à l’oubli et innovation dans les services, celle-ci passant de plus en plus par une connaissance précise du profil de l’utilisateur ? Dans la perspective de l’adoption d’un règlement européen modifiant la directive sur la protection des données personnelles et d’un projet de loi à venir en France, , la CNIL a lancé une consultation publique sur ce sujet ouverte à l’ensemble des internautes. Les internautes sont notamment invités à témoigner des difficultés rencontrées dans la gestion de leur e-reputation (demande de destruction de profil d’historiques…) .

postheadericon Le SGMAP lance un débat national sur l’identité numérique

Dans le contexte d’une carte nationale d’identité électronique toujours en stand by, d’un portail national de téléservices (mon.service-public.fr) qui a du mal à décoller et d’une relance du projet IDnum le gouvernement a décidé de lancer un débat national sur l’identité numérique. Le Secrétariat Général pour la Modernisation de l’Action Publique (SGMAP) a en effet publié une consultation publique pour clarifier la stratégie de l’Etat. L’objectif du gouvernement est de mettre en œuvre « une plateforme de service d’identité de confiance » mais dont les contours restent largement à préciser. Le document soumis à consultation est organisé autour de 11 questions auxquels collectivités et acteurs privés sont invités à répondre. Et ce ne sont pas les questions qui manquent : Quelles passerelles entre l’identité « régalienne » et les identités privées ? Comment simplifier la réalisation de téléservices sans menacer la vie privée des utilisateurs ? Comment concilier sécurité et diversité des usages / besoins de sécurité ? Que penser des « porte-clefs » ou wallet mutualisant les dispositifs de sécurité ? L’Etat ou les collectivités peuvent-ils confier l’enrôlement des profils utilisateurs à des entités privées ? Comment répondre aux nouveaux besoins comme la mobilité ? quelles synergies/mutualisation pour la gestion des identités numériques des fonctionnaires de l’Etat et des collectivités territoriales ? (…)

Les contributions sont à adresser au SGMAP avant le 15 juin.

postheadericon La CNIL s’inquiète de l’Open Data

Alors que le projet de loi sur la décentralisation devrait comporter un article obligent les collectivités territoriales et leurs groupements à publier leurs données « économiques, sociales, démographiques et territoriales», la CNIL s’inquiète de l’éventuel impact de l’Open data sur la vie privée. Dans un post publié en début d’année le sénateur Gorce, commissaire de la CNIL avait ainsi qualifié l’open data de « dérive de l’ingénuité numérique ». Il expliquait ainsi que « par recoupement des données brutes fournies par les tribunaux, les services d’état-civil ou ceux du cadastre, voire avec celles (le Big-Data) dont des entreprises sont déjà en possession (comme Google ou Facebook), on pourra très facilement reconstituer le profil de chacun d’entre nous ». Une affirmation qui avait suscité un tollé sur la Toile de la part de tous ceux qui se battent pour accéder aux données publiques et favoriser l’innovation…

L’ inquiétude du commissaire semble à l’origine du souhait de la Commission d’enquêter sur ce sujet. La CNIL a en effet annoncé le lancement d’une une consultation des acteurs publics et privés concernés. La commission souhaite « avoir une meilleure perception de l’open data  et de ses développements à moyen terme, au regard de ses éventuelles incidences sur la protection des données personnelles ». Cette enquête devrait conduire à  une prise de position de la commission sur ce sujet.

postheadericon Une CNIL européenne créée à l’occasion d’un nouveau règlement sur la protection des données personnelles

La directive sur la protection des données personnelles, qui date de 1995, devrait être mise à jour dans les prochains mois par la Commission. Elle sera remplacée par un règlement, texte d’application immédiate ne donnant pas lieu à une transcription en droit national, et qui vient de recevoir l’aval du Parlement européen.

Ce règlement devrait  créer une véritable CNIL européenne, sous forme d’une agence indépendante chapeautant les commissions nationales que le règlement pourrait rendre obligatoire pour les pays membres. Cette autorité serait notamment habilitée à trancher les plaintes contre les sociétés opérant dans plusieurs pays de l’UE. Le texte devrait aussi consacrer le « droit à l’oubli », droit se traduisant par la possibilité pour un utilisateur de demander à un service en ligne la destruction de ses données personnelles. Des règles que l’UE entend faire valoir pour tous les services en ligne, y compris ceux délivrés par des sites ayant leur siège social établi en dehors de l’Union.

Par ailleurs, le règlement devrait conduire à une simplification des formalités dans l’établissement de services en ligne traitant des données personnelles, les autorisations étant remplacées par une étude d’impact (« Privacy and Data Protection Impact Assessment » abrégée par PIA). Une étude qui devra préciser les risques induits par le service sur la vie privée et les mesures prises pour les minimiser.

postheadericon Une loi renforçant la protection de la vie privée présentée en 2013

Auditionnée par la commission des affaires économiques de l’assemblée Nationale, la ministre de l’économie numérique, Fleur Pellerin, a annoncé travailler, avec ses homologues de l’Intérieur, de la justice et en coordination avec la CNIL sur « un corpus de règles visant à garantir la protection des données personnelles et de la vie privée sur internet ». Ce projet de loi fait partie intégrante de la stratégie gouvernementale en matière de numérique qui sera précisé lors d’un séminaire gouvernemental en février 2013.

Le projet de loi viserait essentiellement « les grandes plateformes » – comprendre Google, Apple et autres Facebook – qui gèrent d’immenses gisements de données personnelles actuellement hors de contrôle de la France. Ce projet de loi sera accompagné d’une réflexion « coordonnée » à échelle européenne a indiqué la ministre et s’appuiera notamment sur les travaux du G29, qui réunit l’ensemble des équivalents européens de la CNIL.

postheadericon Le niveau de sécurité informatique des collectivités s’améliore mais reste perfectible

Le Clusif a mené une enquête auprès de 205 collectivités (dont 34 agglos) sur leur politique en matière de sécurité informatique. Le premier constat de cette enquête est une baisse de la sinistralité, reflet des efforts faits par les collectivités pour sécuriser leur système d’information. Ainsi les pertes de services essentiels sont passées de 44 % en 2008 à 27 % en 2012 avec des chiffres identiques en matière d’infections virales.

Des efforts restent cependant à faire car plus d’une collectivité sur deux (54 %) ne dispose d’aucun processus de gestion de la continuité d’activité  et à peine 40% d’entre elles pratiquent une fois par an un audit de sécurité. Seule une collectivité sur 10 a un tableau de bord de suivi de la sécurité informatique. Par ailleurs, si la sécurité des postes et réseaux fixes est globalement bien appréhendée (anti-virus, firewall, détection des intrusions…) de gros efforts restent à faire sur la mobilité (smartphone, accès distant au SI) .

Selon le rapport, le principal moteur de la mise en place d’une politique en matière de SSI reste l’existence d’obligations réglementaires avec en particulier l’application du référentiel de sécurité (RGS, obligatoire à partir de mai 2013) et la protection des données personnelles. A cet égard on notera que 39% des collectivités ont désormais un correspondant informatique et liberté (CIL). La dématérialisation des procédures – marchés publics, ACTES, HELIOS… -  a par ailleurs eu un fort impact dans l’utilisation de systèmes de contrôle d’accès et de certificats pour sécuriser les échanges de données, désormais utilisés dans 60% des collectivités interrogées.

Malgré ces efforts, le chemin reste encore long, notamment pour les petites collectivités qui ne disposent pas de compétences en matière de SSI. Ainsi, en matière de conformité au RGS, seulement 37% affirment avoir un SI conforme ou partiellement conforme, un tiers ne l’étant pas et un autre tiers…l’ignorant.

postheadericon Archives publiques : une réutilisation possible mais soumise à conditions

Dans le cadre d’un conflit opposant la société notrefamille.com au conseil général du Cantal, la Cour administrative d’appel de Lyon vient de rendre une jurisprudence importante le 4 juillet dernier. Selon les juges, les documents détenus par les archives des collectivités locales – il s’agissait en l’occurrence de documents d’état civil destinés à alimenter un site de recherche généalogique – s’avèrent en effet soumis au principe de libre réutilisation des données posé par la loi de juillet 1978 et ne sont donc pas soumis à l’exception concernant les données culturelles. Néanmoins, les juges précisent que le « réutilisateur » doit respecter les principes posés par la loi en matière de données personnelles et qu’il « appartient à l’autorité compétente, saisie d’une demande de réutilisation de ces documents, de s’assurer que cette réutilisation satisfait aux exigences qu’imposent les dispositions de la loi ». En clair, et c’est une bonne nouvelle, les collectivités locales gardent un pouvoir d’appréciation sur les demandes qui leur sont faites et peuvent s’opposer à fournir leurs données à un tiers si ce dernier n’a pas l’agrément de la CNIL.

Voir une analyse juridique plus détaillée sur le site de la Gazette

postheadericon La CNIL européenne s’inquiète des compteurs intelligents trop bavards

Le Contrôleur européen de la protection des données (CEPD ou EDPS) a rendu le 8 juin son avis sur la recommandation de la Commission relative à la préparation de l’introduction des systèmes intelligents de mesure, autrement dit les « smart meters » et sa version française Linky. Le CEPD souligne que si « le déploiement à l’échelle européenne des systèmes de compteurs intelligents peut apporter des avantages significatifs, il permettra également la collecte massive de données à caractère personnel pour suivre ce que les membres d’un ménage font dans l’intimité de leurs maisons, s’ils sont en vacances ou au travail, si l’un d’eux utilise un dispositif médical spécifique ou un moniteur pour bébé, comment ils aiment passer leur temps libre, etc. »

L’impact des compteurs intelligents sur la vie privée n’aurait selon le CEPD pas été suffisamment pris en compte. Aussi invite-t-il la Commission à évaluer si des « mesures législatives supplémentaires sont nécessaires au niveau de l’UE pour assurer la protection adéquate des données personnelles pour l’introduction de systèmes de compteurs intelligents et – dans son avis – fournit des recommandations pragmatiques en vue d’une telle action législative. »

Ces mesures pourraient concerner la liberté du consommateur, qui pourrait déterminer lui-même de la fréquence des relevés, la durée de conservation des données et leur degré de précision.  Le CEPD donne enfin raison à UFC Que choisir (voir notre article) et à ses critiques sur Linky en demandant en demandant « un accès direct des consommateurs à leurs données de consommation d’énergie, ainsi que la remise à ceux-ci de leurs profils individuels ». L’association demande en effet un accès déporté aux consommations ne passant pas par internet mais par un boitier situé dans la maison, la plupart des compteurs étant aujourd’hui placé en limite de propriété.

postheadericon Archives sur internet / open data : la CNIL rappelle les règles

La Commission informatique et libertés (CNIL) a publié un récapitulatif des règles concernant la diffusion des archives publiques sur internet contenues dans l’autorisation unique n°AU-029. D’une façon générale, la diffusion de données nominatives sensibles, c’est-à-dire faisant apparaître les origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, ou appartenance syndicale, ou qui sont relatives à la vie sexuelle ou à la santé est interdite et les documents concernés doivent être « anonymisés ».

En outre, pour les communes, la CNIL rappelle plusieurs règles concernant l’état civil :

-       Les actes de naissance publiés sur Internet 75 ans à compter de la clôture du registre des actes, ne peuvent l’être qu’après occultation de toutes les mentions marginales sur l’image numérique de l’acte original. Ces mentions ne sont rendues accessibles qu’à compter de l’expiration d’une durée de 100 ans après la clôture du registre des actes de naissance.

-       Les actes de mariage et décès peuvent être publiés sur Internet respectivement 75 ans à compter de la clôture des registres d’actes de mariage et 25 ans à compter de la clôture des registres d’actes de décès sans occultation des mentions marginales.

En outre, le responsable du traitement des données doit veiller à la sécurité du stockage des données et empecher toute possibilité de téléchargement massive de documents contenant des données personnelles. Ces dernières (prénom, date, lieu de naissance)  ne doivent en outre pas être indexées par un moteur de recherche externe pendant 120 ans. L’indexation par un moteur de recherche interne est pour sa part encadrée…

Voila qui va donner du travail aux informaticiens mais tant qu’il n’existera pas de solutions « sur étagère », il peu probable que cela soit respecté par l’ensemble des collectivités.

postheadericon Cadastre et SIG sur internet : la CNIL explicite et simplifie le cadre

La CNIL a récemment reprécisé les conditions dans lesquelles les collectivités pouvaient diffuser le cadastre sur internet, la commission considérant que l’adresse liée à une parcelle constituait une donnée personnelle au sens de la loi informatique et libertés. Dans une délibération datée du 29 mars, la commission dispense  de déclaration préalable les collectivité n’opérant que les traitements autorisés dans sa délibération (instruction des permis, études d’urbanisme, relevé de propriété, publication sur internet…) et ne publiant que des données anonymes.

Ainsi, en matière de cadastre en ligne,  il est précisé « qu’aucun numéro identifiant, hormis le numéro de propriétaire, ne doit figurer dans le fichier des données cadastrales » et que les communes ne sont pas autorisées à enrichir les données. Concernant les démarches du type open data, la Commission précise que « les informations cadastrales communiquées ne peuvent faire l’objet d’une réutilisation que si la personne intéressée y a consenti ou si l’autorité détentrice est en mesure de les rendre anonymes ». Dans tous les cas, aucune donnée à caractère personnel autres que le découpage parcellaire et les adresses des parcelles ne peut être concernée par cette diffusion.

Par ailleurs concernant les systèmes d’information géographiques (SIG) – qui permettent de superposer des couches de données et donc d’opérer des interconnexions – la CNIL rappelle les données non nominatives dont la diffusion est interdite : origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, ou appartenance syndicale, informations relatives à la vie sexuelle ou à la santé, données relatives aux difficultés sociales des personnes. La commission rappelle en outre les obligations pesant sur les services des collectivités traitant des données géographiques en matière de sécurité (étanchéité des traitements, limitation des accès aux application et notamment du logiciel de SIG…).

TIC*