Le blog TIC

Archive pour la catégorie ‘Données personnelles’

Alors qu’un appel à projets « ville numérique » doit sortir prochainement il est utile d’aller regarder l’approche retenue à l’étranger en matière de ville numérique. A cet égard on signalera cette étude réalisée par l’ambassade du japon sur l’internet des objets (téléchargement gratuit) parue en septembre 2010.

Ce document évoque en particulier le concept Coréen des U-cities (u pour ubiquitaire). Songdo City, qui sera terminée en 2015, est le projet le plus ambitieux avec plus de 30 milliards d’euros investis sur un chantier de 6km2 (9millions de m2 de bureaux et d’habitations). Cette vitrine technologique entend tout connecter à l’aide de la fibre optique, de capteurs et puces RFID en alliant des objectifs écologiques (smart grid, contrôle de la pollution…) et économiques (pôle universitaire de niveau international, centres de recherches…). Dans cette ville qui dépasse les visions des films de science fiction, le prérequis est l’acquisition d’une sorte de télécommande universelle. C’est, explique l’étude, « la clé de votre maison, un point d’accès immédiat à votre dossier médical, un moyen de vous repérer ou de vous joindre, votre principal moyen de paiement, votre titre de transport et de manière générale votre unique moyen d’être reconnu par le système ubiquitaire qui vous entoure ». Songdo n’est pas la seule et le rapport dénombre pas moins de 51 projets de U-cities en cours en Corée. Il y a certainement des idées à prendre dans ces projets qui sont avant tout des vitrines technologiques – la Corée a fait des émules et accompagne des projets semblables au Qatar et en Colombie – mais elles ne feront pas forcément rêver les villes françaises. La première limite tient à l’hypercentralisation des données personnelles et au traçage continu des individus : s’il est évoqué la possibilité de se déconnecter… c’est au prix du renoncement de l’accès aux services et, tels qu’ils sont pensés, les systèmes déployées ouvrent la voie aux cauchemars technologiques évoqués dans « Bienvenue à Gattaca » ou « 1984 ». Ensuite, ce sont des villes profondément élitistes avec un ticket d’entrée à 500 000 dollars l’appartement à Songdo. Enfin, les systèmes déployés dans les 50 villes coréennes ne seraient pas interopérables d’une ville à l’autre.

Les villes françaises se reconnaitront peut être un peu plus dans la vision japonaise qui vise à partir de l’existant et le faire évoluer sans cesse afin d’avoir toujours un habitat en adéquation avec son époque. Le rapport cite à cet égard plusieurs expériences en matière de domotique, de maintien à domicile et d’utilisation de capteurs environnementaux. Avec un problème que l’on connait bien en France : la difficulté à sortir de l’expérimentation et à atteindre un seuil d’usage qui rendra les technologies abordables/généralisables.

La CNIL a récemment condamné la société Easydentic, (devenue SafeTIC) pour avoir fourni à la Société d’économie mixte pour la construction et l’exploitation du marché d’intérêt national d’Avignon une installation biométrique utilisant les empreintes digitales pour sécuriser l’accès à ses locaux. Or, la CNIL estime que l’utilisation d’une base de données d’empreintes digitales ne peut se justifier que dans certains cas très précis comme un impératif de défense nationale et a systématiquement refusé ce système pour des demandes de contrôle d’accès à des locaux non sensibles. Dans cette affaire la CNIL est particulièrement « remontée » car comme la Commission explique dans son communiqué, la société a déjà été condamnée plusieurs fois avant cet épisode et « a délibérément interdit à ses équipes commerciales de prendre contact avec la CNIL, afin de ne pas risquer que la vente de ses matériels soit remise en question, au mépris des intérêts légitimes de ses clients ».

La commission rappelle qu’en matière de contrôle d’accès à des locaux professionnels, elle n’est pas opposée par principe à la biométrie. Deux technologies ont les faveurs de la commission (car elles ne laissent pas de traces) : le contour de la main, utilisé notamment dans les cantines scolaires, et la reconnaissance du réseau veineux des doigts de la main. Ces deux dispositifs viennent du reste de faire l’objet d’une autorisation unique.

Au début des années 2000, les responsables de la sécurité des systèmes d’information des grandes organisations ont eu fort à faire avec la préférence exprimée par de nombreux cadres pour des ordinateurs portables. Car avec la mobilité – des cadres ou des élus pour les collectivités – sont apparus de nouveaux risques :

• Risque de vol ou de pertes de données sensibles,
• Risque d’intrusion dans le système d’information de la collectivité via l’intranet,
• Problème de maintenance du parc nomade.

Selon le Cigref, qui vient de publier une petite étude sur ce sujet, ces risques existent toujours, en particulier dans les organisations de petite dimension. Mais le marché a désormais des solutions à proposer : cryptage de tout ou partie des données des portables, utilisation de clefs USB pour verrouiller l’ordinateur, utilisations de réseaux privés virtuels… Selon le Cigref, le danger provient désormais des Smartphones dont les systèmes d’exploitation sont le plus souvent propriétaires (iphone, blackberry, windows mobile…) et dépendant de fabricants américains. Le document appelle de ses vœux la structuration d’une offre française en matière de sécurité mobile. On peut penser que le développement des systèmes d’exploitations mobiles ouverts (Symbian et surtout Android) devrait faciliter cette émergence.

La Commission européenne vient de lancer une réforme de la directive européenne sur la protection des données personnelle qui date de 1995. A cette occasion Bruxelles souhaite prendre en compte l’essor des nouvelles technologies et des nouveaux usages (réseaux sociaux, géolocalisation, internet mobile…) en intégrant en particulier « un droit à l’oubli ». « Les citoyens doivent bénéficier du droit à l’oubli lorsque des données à caractère personnel ne sont plus nécessaires ou qu’ils souhaitent en obtenir la suppression » souligne la Commission qui reconnait également que « les modes de collecte des données à caractère personnel se complexifient et sont moins facilement décelables ». Elle estime qu’il convient de s’atteler à la création d’un cadre commun de contrôle, de diffusion, de modification et de suppression des données attribué à l’internaute. Parmi les pistes évoquées, on notera le projet de développer voire rendre obligatoire les « Data Protection Officers », l’équivalent de nos correspondants informatiques et libertés (CIL).Les européens ont jusqu’au 15 janvier 2011 pour faire part de leurs commentaires. A l’issue de cette consultation, l’exécutif européen présentera un nouveau cadre général et une révision d’une directive de 1995 sur la protection des données personnelles.

Voir aussi l’article de Localtis sur ce sujet

Avec plus d’un an de retard, la directive européenne Inspire, sur la mise à disposition, le partage et l’échange de données géographiques environnementales a été transcrite en droit français. L’ordonnance n° 2010-1232 du 21 octobre 2010 portant diverses dispositions d’adaptation au droit de l’Union européenne en matière d’environnement crée ainsi une « infrastructure nationale d’information géographique ». L’ordonnance oblige les autorités publiques, dont les communes, à mettre à disposition leurs données environnementales et à en faciliter la réutilisation grâce aux descriptions (métadonnées) dont elles doivent faire l’objet. Une restriction importante a cependant été apportée à cette obligation : seules les données existantes – dont la collecte et la publication est prévue par un texte législatif ou réglementaire en vigueur – sont concernées. Ces données environnementales locales doivent être interopérables/compatibles avec les autres données géographiques nationales pour pouvoir être partagées , visualisées et réutilisées. L’ordonnance fixe par ailleurs les restrictions d’application de ce texte (données personnelles, sécurité…) et les conditions dans lesquelles la consultation de certaines données peuvent être soumises au paiement d’une redevance.

Si la diffusion des données géographiques est d’ores et déjà largement enclenchée en France avec des initiatives nationales (géoportail, géocatalogue) et locales (SIG en ligne, portails locaux de données géographiques) ce texte constitue une avancé importante car il complète et précise le cadre juridique de la  » libération » des données publiques.

Pour une analyse détaillée de l’ordonnance on renverra les lecteurs vers le blog consacré à Iinspire.

En septembre dernier, le journal Le parisien avait évoqué la possibilité que les bambins d’une crèche parisienne soient équipés de puces RFID pour détecter rapidement les enfants sortant d’un périmètre surveillé, voire les suivre à la trace. Aussitôt, cette initiative avait suscité une polémique et un démenti de la mairie de Paris. En fait, comme le souligne Arrêt sur image, les journalistes avaient pris leurs fantasmes pour des réalités : il ne s’agissait que d’une étude de marché lancé par l’une des sociétés leader en matière de RFID. Et la polémique semble avoir conduit ladite société à arrêter ce projet si l’on en croit Le Monde. Définitivement ? Rien n’est sûr : les puces RFID équiperaient d’ores et déjà 50 000 nouveaux nés dans les hôpitaux. Et après les bracelets électroniques pour prisonniers en liberté conditionnelle, ce type de dispositif est de plus en plus évoqué pour équiper les malades d’Alzheimer… La CNIL suit du reste le sujet de près.

Le secrétariat à l’économie numérique a signé avec plusieurs acteurs importants de l’internet une « charte du droit à l’oubli », qui vise à rendre aux internautes la maitrise de leurs données personnelles laissées sur internet. Parmi les dispositions les plus attendues, figure la mise en place d’un « bureau des réclamations » virtuel et la facilitation de la suppression d’un compte créé sur un réseau social ou une plateforme de blogs. Les moteurs de recherche s’engagent pour leur part à ne plus référencer des données qui ont fait l’objet d’une demande de suppression ou qui figurent dans des « espaces personnels » réservés. Si cette charte va dans le bon sens, elle a pour le moment une portée limitée, car ni Google ni Facebook ne l’ont signé*.

* Les signataires sont :  Benchmark Groupe (Copainsdavant), Pagesjaunes, Skyrock (Skyrock.com), Trombi.com, Viadeo, Microsoft France (MSN, Windows live, Bing).

La CNIL a mis en ligne  l’édition 2010 de son « guide sur la sécurité des données personnelles». Organisé autour de 17 fiches pratiques, cet ouvrage très pédagogique traite aussi bien de L’authentification des utilisateurs, de la sécurisation de l’informatique mobile que des problématiques d’archivage et d’anonymisation. Chaque fiche, généralement illustrée d’un exemple, fait état des précautions élémentaires, liste ce qu’il ne faut pas faire et offre la possibilité d’aller plus loin en renvoyant si besoin à des ressources en ligne. On soulignera que si ce guide vaut pour les données personnelles, il constitue un bon départ pour connaitre le BA-BA de la sécurité des systèmes d’information.

La CNIL a publié une FAQ sur les obligations en vigueur en matière de conservation des données de connexion pour tous les points d’accès publics à internet, gratuits ou payants. Pour les collectivités, on retiendra :

• L’obligation ne concerne que les points d’accès publics (bornes, hot-spot wifi, bibliothèques…), pas les ordinateurs utilisés par les fonctionnaires municipaux.
• Seules les données de trafics doivent être conservées : IP, date, heure… pendant une durée d’un an. Les messages/ mails échangés ne doivent pas être conservés.
• L’identification préalable des utilisateurs n’est pas une obligation, si elle est pratiquée, ces données doivent cependant être également conservées pendant an.

Progressivement, de nouveaux compteurs électriques, dits « intelligents » parce qu’en mesure de transmettre via le réseau électrique des données sur les consommations, doivent remplacer les anciens, évitant ainsi des déplacements aux agents des distributeurs d’électricité. Un décret relatif aux dispositifs de comptage sur les réseaux publics d’électricité (JO du 2 septembre) précise que leur mise en œuvre était « obligatoire » selon un calendrier s’échelonnant entre 2012 et 2020. Il fixe surtout au 31 décembre 2010 la fin de la période d’expérimentation, menée actuellement à Tours et à Lyon. Un texte qui a fait réagir UFC Que Choisir et la FNCCR qui estiment qu’il faut aller jusqu’au bout des expérimentations – des bugs techniques ont été constatés sur les compteurs Linky, seul modèle actuellement testé – et surtout préciser le mode de financement de leur installation. Car aujourd’hui tout laisse penser que ce sera le consommateur qui paiera. Par ailleurs, les associations s’inquiètent, avec la Cnil, de l’utilisation qui pourrait être faites des données collectées via ce compteur. La commission a du reste affirmé « s’assurer que les informations concernant les usagers seront traitées dans le respect de la loi Informatique et Libertés ».

MAJ 17/9 :le gouvernement a finalement décidé de prolonger l’expérimentation « au moins  jusqu’au 31 mars 2011″. La généralisation s’opérera « qu’en cas de résultat concluant et uniquement dans ce cas ». Cela méritait d’être dit.