RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Tue, 27 Jan 2015 11:16:00 +0100 Vous avez des droits sur vos données personnelles : profitez-en ! http://www.cnil.fr/nc/linstitution/actualite/article/article/vous-avez-des-droits-sur-vos-donnees-personnelles-profitez-en/ A l'occasion de la journée européenne de la protection des données qui se tiendra le 28 janvier, la CNIL met en ligne un nouvel espace entièrement dédié aux droits des citoyens en matière de données personnelles. ]]> Alors que 84% des français* se déclarent inquiets de l'usage qui peut être fait de leurs données personnelles, beaucoup d'entre eux méconnaissent leurs droits prévus par la loi Informatique et Libertés. Pour la journée européenne de la protection des données, la CNIL met en ligne une nouvelle version de sa rubrique VOS DROITS. Il s'agit de mieux accompagner les citoyens dans l'exercice de leurs droits en leur expliquant les démarches qu'ils ont à effectuer. Le plus souvent, ils doivent s'adresser directement auprès des organismes détenteurs de données (réseaux social, banque, administration...) en utilisant les modèles de courrier qui sont mis à disposition. En cas de non réponse ou de réponse insatisfaisante, la CNIL est à leurs côtés. Une vidéo d'animation explique en quelques secondes la procédure pour :
  • " Avoir un droit de regard sur les informations qu'un organisme détient sur vous "
  • " Demander à rectifier vos données "
  • " S'opposer à l'utilisation de vos données "
Trois " gardes fous " prévus par la Loi Informatique et libertés, et complétés par une rubrique consacrée au nouveau droit au déréférencement qui permet à tout internaute de demander à déréférencer d'un moteur de recherche un contenu gênant associé à son nom. N'hésitez pas à partager cette initiative et à nous offrir un retour sur nos comptes sociaux Twitter / Facebook ! ]]>
Actualités Tue, 27 Jan 2015 11:16:00 +0100
Cybersurveillance et libertés : l’encadrement est indispensable http://www.cnil.fr/nc/linstitution/actualite/article/article/cybersurveillance-et-libertes-lencadrement-est-indispensable/ Point de vue d’Isabelle Falque-Pierrotin publié dans Les Echos le 26/01/2015]]> Depuis quelques jours les opinions fusent sur les mesures nécessaires pour faire face aux attaques dont notre pays a été l’objet en janvier et une nouvelle fois, l’équilibre entre libertés et sécurité est au cœur des débats. Si cet équilibre est, par nature, dynamique, au regard notamment des menaces qui pèsent sur la sécurité nationale, il n’en demeure pas moins encadré. A ce titre, et parce que les libertés publiques sont consubstantielles à l’Etat de droit dont elles constituent le cœur, aucun impératif de sécurité ne peut conduire à leur remise en cause profonde. Dès lors, si l’on veut trouver de réelles voies d’action pour faire face à la situation actuelle, il faut sortir d’une opposition binaire entre les deux notions et introduire un troisième élément que sont les garanties pour les personnes. Pour être acceptable d’un point de vue juridique, éthique et social, le déplacement éventuel du curseur vers plus de sécurité doit nécessairement s’accompagner d’un renforcement des garanties qui encadrent l’action des services de sécurité.En d’autres termes, l’équilibre est à trouver entre trois éléments et non deux.

"Le rêve d'une prévention infaillible des actes de terrorisme

par des mégafichiers est une chimère. "

C’est précisément le rôle de la CNIL que de contrôler cet équilibre, de participer à sa définition et de prévenir les dérives éventuelles. Pour cela trois nécessités se font jour : La première nécessité est de nous rassembler entre européens autour de nos valeurs communes. C’est ce que le groupe des CNIL européennes, le « G29 », a proposé dans une déclaration le 8 décembre dernier à l’occasion d’une conférence internationale à l’UNESCO. Cette déclaration pose le principe d’un nécessaire équilibre entre protection des données personnelles, innovation et surveillance, et met en avant la nécessité de mettre en œuvre des dispositifs ciblés et non massifs en matière de surveillance. Elle propose également un certain nombre de mesures opérationnelles, notamment en matière d’ordre public. La deuxième nécessité est d’assurer un niveau de garantie élevé pour prévenir les risques d’abus de dispositifs par nature intrusifs. C’est une exigence absolue de nos Etats de droit. L’annulation de la directive sur la rétention des données de connexion par la Cour de Luxembourg conforte le besoin d’une approche proportionnée et accompagnée de garanties effectives pour mettre en œuvre ces dispositifs. C’est à la lumière de ces mêmes principes que la CNIL a été saisie par le Gouvernement sur le PNR français qui permet la collecte de données des passagers aériens lors des vols à destination et en provenance du territoire national. Elle a, dans le cadre de l’examen du décret, demandé des garanties fortes (information des personnes, durée de conservation limitée, absence de données « sensibles », etc.). La troisième nécessité est de renforcer le contrôle en aval de ces dispositifs. Une personnalité qualifiée au sein de la CNIL sera ainsi chargée de contrôler le blocage des sites provoquant des actes de terrorisme ou en faisant l’apologie ainsi que les sites à caractère pédopornographique, afin de s’assurer que le blocage n’est pas disproportionné. De même, la CNIL a fait des propositions pour participer au contrôle des fichiers de renseignements.

"C'est par une approche lucide et proportionnée de la surveillance

que l'on protégera l'Etat de droit."

Ne nous trompons pas. Le rêve d’une prévention infaillible des actes de terrorisme par le biais de méga fichiers est une chimère. Les équilibres dont nous parlons sont fragiles et il n’y a pas de solution « toute faite » qui sorte du droit ou des technologies. C’est par une approche lucide et proportionnée des moyens de surveillance, conforme aux principes fondamentaux auxquels les Français sont fondamentalement attachés, que nous protégerons ensemble l’Etat de droit.

Isabelle Falque-Pierrotin

Présidente de la CNIL,

Présidente du G29 (le groupe des CNIL européennes)

Source : Les Echos Lundi 26 Janvier 2015

]]>
Actualités Mon, 26 Jan 2015 10:27:00 +0100
Laboratoires : adoption d’une autorisation unique pour les ATU et les RTU (AU-041) http://www.cnil.fr/nc/linstitution/actualite/article/article/laboratoires-adoption-dune-autorisation-unique-pour-les-atu-et-les-rtu-au-041/ La CNIL simplifie les formalités pour les dispositifs d’autorisation temporaire d’utilisation (ATU) et de recommandation temporaire d’utilisation (RTU) mis en œuvre par les laboratoires. ]]>

Qu'est-ce qu'une autorisation temporaire d'utilisation (ATU) ?

Les ATU ont pour objet de permettre l'accès précoce aux médicaments qui sont en phase finale d'évaluation avant l'obtention de leur autorisation de mise sur le marché (AMM) en France.

Qu'est-ce qu'une recommandation temporaire d'utilisation (RTU) ?

Les RTU ont pour objet de sécuriser les prescriptions de médicaments en dehors des indications prévues dans leur AMM. Elles fixent un cadre dans lequel des médicaments bénéficiant d'une AMM peuvent être prescrits pour de nouvelles indications en attendant une mise à jour de celle-ci.

Quel est le rôle des laboratoires ?

La sécurité des dispositifs d'ATU et de RTU suppose une étroite collaboration entre l'Agence nationale de sécurité du médicament et des produits de santé (ANSM), les laboratoires et les professionnels de santé (médecins prescripteurs et pharmaciens dispensateurs). Un suivi est mis en place afin d'assurer la sécurité des patients et de garantir que le rapport entre les bénéfices et les risques du médicament reste présumé favorable pour la situation thérapeutique identifiée. Les modalités de ce suivi sont parfois définies dans un protocole qui prévoit la mise en œuvre par les laboratoires d'un traitement de données de santé relatif aux patients. Ainsi, les laboratoires doivent contrôler, pour chaque patient, le respect des critères d'inclusion, recueillir les données de suivi transmises par les médecins prescripteurs, les analyser et établir des rapports périodiques de synthèse.

Quelles sont les formalités à accomplir auprès de la CNIL ?

Les traitements de données à caractère personnel inhérents aux ATU et RTU relèvent du régime de l'autorisation préalable car ils comportent des données à caractère personnel relatives à la santé et  sont justifiés par l'intérêt public, en l'espèce un intérêt de santé publique. Pour simplifier les démarches des laboratoires et permettre un accès rapide à l'innovation thérapeutique dans des conditions respectueuses de la vie privée des patients, la CNIL a adopté, le 11 décembre 2014, une autorisation unique. Elle avait mené au préalable une concertation avec les autorités sanitaires (l'ANSM) et les Entreprises du Médicament (LEEM).

Quelles sont les principales conditions fixées par l'autorisation unique n° AU-041 ?

  • Les finalités : l'autorisation unique concerne,
    • le traitement des données à caractère personnel relatif au patient nécessaire à l'initiation, au suivi et à l'arrêt de prescription particulière de médicaments concerné par une ATU ou une RTU,
    •  la gestion des contacts avec les médecins prescripteurs et les pharmaciens dispensateurs de ce médicament.
  • Les données traitées : un numéro ou un code alphanumérique doit être utilisé pour identifier les patients. La collecte d'informations relatives à la santé doit être prévue dans un protocole de suivi visé par l'ANSM, lorsque celui-ci existe. Les données relatives à l'origine ethnique, la vie sexuelle et la consommation de tabac, d'alcool et de drogues peuvent être collectées uniquement si elles sont strictement nécessaires au regard du produit prescrit et de la pathologie en cause.
  • La durée de conservation des données : elle doit être déterminée et ne saurait excéder dix années après l'expiration de l'autorisation de mise sur le marché de la spécialité pharmaceutique concernée. Passé ce délai, les données doivent être supprimées ou archivées sous une forme anonyme.
  • Les destinataires des données : seuls les personnels habilités du laboratoire et des organismes publics en charge de la surveillance des médicaments sous ATU ou RTU peuvent accéder aux données collectées.
  • L'information des personnes : le médecin prescripteur doit remettre à ses patients une note d'information relative au traitement de leurs données à caractère personnel qui précise les modalités d'exercice de leurs droits d'accès et de rectification.
  • Les formalités : Les laboratoires qui adressent un engagement de conformité à cette autorisation unique sont autorisés à mettre en œuvre les traitements répondant aux conditions fixées par celle-ci. Tout traitement de données à caractère personnel qui excèderait les exigences définies par l'AU-041 doit faire l'objet d'une demande d'autorisation spécifique.
]]>
Actualités Professionnels de santé Gestion des patients Mon, 26 Jan 2015 09:17:00 +0100
Enregistrement des écoutes sur le lieu de travail : nouvelle norme simplifiée http://www.cnil.fr/nc/linstitution/actualite/article/article/enregistrement-des-ecoutes-sur-le-lieu-de-travail-nouvelle-norme-simplifiee/ La CNIL a adopté une nouvelle norme simplifiée encadrant les fichiers mis en œuvre lors de l'écoute et de l'enregistrement des conversations téléphoniques sur le lieu de travail à des fins de formation, d’évaluation ou d’amélioration de la qualité du service rendu.]]> Face au développement de l’écoute et de l’enregistrement des conversations téléphoniques sur le lieu de travail, conduisant ainsi au contrôle de l’activité des salariés, la CNIL a souhaité encadrer le traitement des données personnelles qui concerne à la fois les employés et des appelants (clients, consommateurs, etc.). Elle a, au préalable, consulté les principaux opérateurs du secteur (organisations syndicale et patronale, fédérations de centres d’appels, associations de consommateurs) afin de mieux connaître leurs pratiques et leurs besoins, et ainsi déterminer les finalités qui justifient l’écoute et l’enregistrement des conversations téléphoniques des employés. Le 27 novembre 2014, la CNIL a adopté une norme simplifiée (n°57) relative aux traitements mis en œuvre par les organismes publics et privés destinés à l'écoute et à l'enregistrement des conversations téléphoniques sur le lieu de travail, permettant aux employeurs d’effectuer en ligne un simple engagement de conformité à cette norme. Celle-ci couvre les traitements de données à caractère personnel destinés à l’écoute et l’enregistrement ponctuel des conversations téléphoniques sur le lieu de travail. Les finalités sont limitées à la formation et l’évaluation des employés ainsi que l’amélioration de la qualité du service fourni. Il n’est donc pas possible dans le cadre de cette norme simplifiée d’enregistrer ou de procéder à des écoutes qui auraient une autre finalité. La norme simplifiée est applicable aux documents d'analyse, tels que les comptes-rendus ou les grilles d'analyse réalisés dans le cadre des écoutes et des enregistrements, dans la mesure où ils poursuivent l'une ou plusieurs des finalités énoncées dans la norme. Enfin, la norme rappelle que les employés ainsi que leurs interlocuteurs doivent être informés :
  • de l'identité du responsable de traitement ;
  • de la finalité ou des finalités poursuivie(s) par le traitement ;
  • des catégories de données traitées ;
  • des destinataires ou catégories de destinataires des données ;
  • de leurs droits d'accès, de rectification et d'opposition ainsi que des modalités d'exercice de ces derniers ;
  • le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne.
Plus particulièrement, les personnes doivent être informées de leur droit d'opposition avant la fin de la collecte des données les concernant, pour être en mesure d'exercer ce droit. Sont également expressément exclues du champ d’application de la norme, les traitements réalisés par des organismes dont les missions consistent à collecter des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée (exemple : SAMU). Enfin, les auditions menées auprès des principaux opérateurs ont également permis à la CNIL de réaffirmer sa doctrine selon laquelle l’écoute et l’enregistrement des conversations téléphoniques de manière permanente ou systématique ne se justifie pas, y compris à des fins à de constitution de preuve (à l’exception des cas où un texte légal l’impose). Les organismes qui souhaitent bénéficier de cette mesure de simplification doivent respecter l'ensemble des conditions posées par la norme n°57. A défaut, une déclaration normale devra être effectuée. Consulter la norme simplifiée n°57]]>
Actualités Wed, 21 Jan 2015 17:55:00 +0100
Pour qui les véhicules connectés roulent-ils ? http://www.cnil.fr/nc/linstitution/actualite/article/article/pour-qui-les-vehicules-connectes-roulent-ils/ Pour la première fois, les acteurs de la mobilité de demain se sont retrouvés début janvier à l’initiative de la CNIL pour échanger et identifier les nouveaux enjeux de ce secteur.]]> Le véhicule connecté a été particulièrement mis en valeur au Consumer Electronic Show de Las Vegas qui s’est achevé il y a quelques jours. A côté des géants de l’internet, constructeurs et start-ups ont présenté de nombreuses innovations qui vont dessiner le véhicule de demain. La CNIL était donc au cœur de l’actualité de l’innovation en organisant, le 7 janvier, la première rencontre de l’ensemble de l’écosystème français du véhicule connecté. En partenariat avec les animateurs du plan « Big data » du programme « Nouvelle France Industrielle », ce rassemblement était l’occasion pour les différents acteurs d’explorer ce nouveau territoire, voué à produire et consommer de grandes quantités de données. Etaient  réunis à cette occasion : des constructeurs, des opérateurs de transport, des assurances, des start-ups, des représentants des pouvoirs publics et des porteurs de projet dans le domaine de la mobilité. Au-delà du symbole du véhicule connecté, l’idée même de la mobilité se trouve en pleine mutation. La CNIL a ainsi permis aux participants d’échanger des visions parfois très différentes sur les services innovants, les données mobilisées et les nouvelles chaines de valeur qui émergent au sein de l’écosystème. Une synthèse et des propositions d’actions seront prochainement présentées dans une lettre IP, ouvrant la voie à de nouveaux travaux conjoints de l’ensemble de ces acteurs.

]]>
Actualités Mon, 19 Jan 2015 09:41:00 +0100
Signature d’une convention de partenariat entre la CNIL et le Défenseur des droits http://www.cnil.fr/nc/linstitution/actualite/article/article/signature-dune-convention-de-partenariat-entre-la-cnil-et-le-defenseur-des-droits/ Isabelle Falque-Pierrotin, Présidente de la CNIL a invité le Défenseur des droits, Jacques Toubon à intervenir devant les membres de la CNIL réunis en séance plénière. A cette occasion, ils ont signé une convention de partenariat.]]> Cette convention s’inscrit dans le cadre d’une mission commune de protection et de promotion des droits. Elle vise une coordination entre le Défenseur des droits et la CNIL en matière de traitement des plaintes. Les deux institutions s’engageront également à échanger et à mutualiser des informations et à organiser des actions et évènements conjoints. Leurs efforts de coordination porteront notamment sur les sujets suivants :
  • Réflexion sur une éventuelle décision cadre sur les dispositifs d’alerte des entreprises
  • Consultation de la CNIL pour savoir s’il est possible de mettre en place un fichier national d’enfants suivis en protection de l’enfance (ou une possibilité de croisement des fichiers départementaux), qui pourrait être un des supports d’un éventuel pilotage national de cette politique

Iabelle falque-pierrotin et Jacques Toubon

]]>
Actualités Fri, 16 Jan 2015 15:38:00 +0100
Communiqué du G29 à la suite des attaques perpétrées à Paris http://www.cnil.fr/nc/linstitution/actualite/article/article/communique-du-g29-a-la-suite-des-attaques-perpetrees-a-paris/ Les autorités de protection des données européennes réunies au sein du G29 expriment leur profonde indignation après les attaques perpétrées à Paris et réaffirment leur attachement au respect de l’équilibre entre libertés individuelles et protection des données personnelles.]]> Le groupe de travail exprime ses plus sincères condoléances aux familles des victimes. Aujourd’hui plus que jamais, les citoyens européens doivent affirmer que nos sociétés ne permettront pas que ces valeurs communes soient remises en question. Ces valeurs sont des acquis démocratiques fondamentaux, qui se sont développés et affinés au fil des siècles, auxquelles nous ne devons renoncer pour aucun motif.
La protection de la vie privée et des données personnelles est au cœur de cet héritage démocratique, notamment parce qu’elle conditionne le respect d’autres libertés fondamentales telles que la liberté d’expression ou la liberté de circulation. Ce principe n’est ni absolu, ni exclusif puisqu’il doit s’articuler avec le respect d’autres libertés, avec les impératifs de sécurité publique et la nécessité de soutenir l’innovation.
Dans la situation actuelle, il est plus que jamais nécessaire de garantir qu’un juste équilibre soit trouvé entre ces objectifs, certes différents, mais non contradictoires.
Bien que les critères à prendre en considération pour ce faire puissent être amenés à varier en fonction des circonstances, il sera toujours nécessaire de veiller à ce qu’il soit procédé à la recherche de cet équilibre.
Cette exigence est un garde-fou que nos démocraties doivent respecter pour demeurer des Etats de droit.
Dans les circonstances actuelles, les autorités de protection des données européennes réaffirment avec fermeté leur engagement collectif à préserver ces valeurs et principes européens, et se déclarent prêtes à contribuer à la recherche de cet équilibre. Voir le communiqué en anglais]]>
Actualités Travaux du Groupe de l’article 29 Tue, 13 Jan 2015 18:08:00 +0100
Projet de loi numérique : propositions sur les évolutions de la loi informatique et libertés http://www.cnil.fr/nc/linstitution/actualite/article/article/projet-de-loi-numerique-propositions-sur-les-evolutions-de-la-loi-informatique-et-libertes/ Le Gouvernement a annoncé en février 2013 son intention de déposer un projet de loi sur le numérique. La CNIL a engagé une réflexion qui l’a conduite à présenter en mars 2014 plusieurs propositions d’évolution législative. A l’occasion des débats organisés par le Conseil national du numérique, elle a décidé de verser ces propositions au débat public.]]> Le Gouvernement avait annoncé, au mois de février 2013, à l’occasion d’un séminaire sur le numérique, son intention de déposer un projet de loi au cours de la législature. La CNIL a alors engagé une réflexion qui l’a conduite, en mars 2014, à présenter plusieurs propositions d’évolution législative au Gouvernement. Plusieurs rapports ont depuis contribué à enrichir le débat, parmi lesquels l’étude annuelle 2014 du Conseil d’Etat sur le numérique et les droits fondamentaux. Dans le cadre de la consultation confiée au Conseil national du numérique, la CNIL verse au débat public les propositions qu’elle avait présentées au Gouvernement. Elle s’est en outre fortement engagée dans la journée contributive du 9 janvier, à Strasbourg (animation de deux ateliers participatifs). La Présidente de la CNIL, Isabelle Falque-Pierrotin y a notamment rappelé les principes fondamentaux qui doivent structurer les réflexions et actions concrètes en matière de protection des données. Lire le discours d'ouverture Les propositions rendues publiques concernent les quatre principaux acteurs de l’écosystème « informatique et libertés » : la personne, les entreprises, les pouvoirs publics et la CNIL. Ces propositions sont organisées autour de cinq axes :
  1. Le renforcement de l’effectivité des droits pour les personnes
  2. La simplification des formalités et des règles applicables pour les entreprises
  3. L’amélioration du cadre juridique de certains traitements publics
  4. Le renforcement des relations entre la CNIL et les pouvoirs publics
  5. L’adaptation des pouvoirs de la CNIL, notamment en vue de renforcer l’efficacité et la crédibilité de la politique de contrôle et de sanction
Les propositions de modifications législatives doivent notamment tenir compte de deux éléments :
  • Le projet de règlement européen : les modifications éventuelles de la loi informatique et libertés devront naturellement être compatibles avec le règlement à venir dont l’adoption définitive est attendue au cours de l’année 2015.
  • La cohérence avec les autres pays de l’Union : la législation sur les données personnelles ayant une portée économique croissante, les modifications éventuelles ne doivent pas créer de distorsion entre pays de l’Union mais les bonnes pratiques doivent être valorisées car elles sont un élément de compétitivité.
Enfin, la discussion autour d’une réforme du cadre juridique fixé par la loi pourrait être utilement complétée par une réflexion sur la constitutionnalisation du droit à la protection des données personnelles. ]]>
Actualités Citoyens Entreprises privées Services publics Tue, 13 Jan 2015 10:49:00 +0100
Un nouveau label CNIL gouvernance Informatique et Libertés http://www.cnil.fr/nc/linstitution/actualite/article/article/un-nouveau-label-cnil-gouvernance-informatique-et-libertes-1/ La CNIL a créé son quatrième référentiel lui permettant de délivrer des labels aux procédures de gouvernance Informatique et Libertés.]]> Après les labels « formation », « procédure d’audit », « coffre-fort numérique » et déjà 37 labels délivrés, la CNIL a adopté le 11 décembre 2014 un nouveau référentiel pour les procédures de gouvernance.

En quoi consiste ce nouveau label ?

Face au besoin grandissant des entreprises et organismes publics d’identifier clairement les procédures à mettre en place pour une bonne gestion des données personnelles, la CNIL a décidé d’élaborer un nouveau référentiel : le label « gouvernance informatique et libertés ». La gouvernance « Informatique et Libertés », définit les règles et les bonnes pratiques permettant à un organisme d’assurer une gestion de ses données respectueuse des principes Informatique et Libertés.

A qui s’adresse ce label ?

Le référentiel s’adresse aux organismes disposant d’un correspondant Informatique et Libertés (CIL). Il a été préparé en concertation avec les associations de CIL et fait du CIL la pierre angulaire du dispositif qui orchestre et veille au respect des procédures et de la loi Informatique et Libertés. Acteur essentiel d’une bonne gouvernance, le CIL peut aussi utiliser ce référentiel comme mode d’emploi ou guide des procédures à suivre et se fixer comme objectif l’obtention du label pour son organisme.

Quelles sont les exigences du référentiel ?

En pratique, les 25 exigences de ce nouveau référentiel sont organisées en trois thématiques qui concernent :
  • l’organisation interne liée à la protection des données ;
  • la méthode de vérification de la conformité des traitements à la loi Informatique et Libertés ;
  • la gestion des réclamations et incidents.

Quels sont les avantages pour les organismes ?

Véritable outil de responsabilisation des organismes traitant des données personnelles, le label est un indicateur de confiance pour leurs clients ou usagers. Il constitue, pour les entreprises, collectivités, associations ou administrations, un cadre éthique et juridique adapté, témoignant de la volonté de l’organisme d’innover et de traiter les données personnelles de manière responsable. Enfin, cette démarche permet de préparer les organismes aux règles du futur règlement européen en intégrant notamment le principe d’accountability. Comment obtenir le label ? ]]>
Actualités Collectivités locales Entreprises privées Associations Labellisation Tue, 13 Jan 2015 09:54:00 +0100
Internet et wi-fi en libre accès : bilan des contrôles de la CNIL http://www.cnil.fr/nc/linstitution/actualite/article/article/internet-et-wi-fi-en-libre-acces-bilan-des-controles-de-la-cnil/ Dans le cadre de son programme des contrôles, la CNIL s'est intéressée aux services de libre accès à internet. La plupart de ces services ne satisfont pas aux exigences de la loi " Informatique et Libertés ". La CNIL propose 5 mesures à adopter pour se mettre en conformité.]]> Au restaurant, à l'hôtel ou dans les bibliothèques, il est souvent possible d'utiliser un réseau internet wi-fi ou des postes informatiques en libre accès. La CNIL a décidé d'intégrer dans son programme annuel des contrôles la thématique de l'internet en libre accès. Elle a effectué plusieurs contrôles des modalités de mise en œuvre de ce type de service auprès d'organismes privés et publics. Lors de ces contrôles, l'attention de la CNIL a principalement porté sur :
  • le type de données collectées,
  • leur conservation,
  • le niveau d'information des utilisateurs
  • la qualité des mesures de sécurité qui y sont associées.
Plusieurs manquements récurrents ont été identifiés lors de ces contrôles. Au vu de ces constations, la CNIL rappelle aux fournisseurs de services d'internet en libre accès les mesures à adopter pour se mettre en conformité.

1. Conserver seulement les données de trafic

Les organismes qui mettent à disposition du public un service de libre accès à internet (postes informatiques, wi-fi, etc.) sont considérés comme opérateurs de communications électroniques (OCE) et sont soumis aux obligations prévues à l'article L. 34‑1 du code des postes et des communications électroniques (CPCE). A ce titre, ils doivent conserver les données de trafic répondant aux " besoins de la recherche, de la constatation et de la poursuite des infractions pénales " et destinées aux autorités légalement habilitées. La CNIL a constaté lors des contrôles que de nombreux opérateurs de communication électronique conservaient des données portant sur le contenu des correspondances échangées ou des informations consultées (URLs) alors qu'ils ne sont pas autorisés à le faire (article L. 34‑1 VI du CPCE). Les fournisseurs de service ne doivent pas collecter de telles données et supprimer celles qui auraient été conservées.

2. Définir une durée de conservation des données limitée et proportionnée

La plupart des fournisseurs de service conservent les données issues des journaux de connexion sans qu'aucune durée de conservation n'ait été définie. Or, les données de trafic doivent être conservées pendant 1 an à compter du jour de leur enregistrement ( Article R. 10-13 du Code des postes et des communications électroniques) Les autres données collectées dans le cadre de l'offre d'internet en libre accès, telles que les informations d'abonnement, etc. doivent être supprimées régulièrement (article 6-5° de la loi n°78-17 du 6 janvier 1978 modifiée) lorsqu'elles ne sont plus nécessaires (désinscription ou inutilisation prolongée de l'abonnement).

3. Fournir une information complète sur les traitements de données :

Les contrôleurs de la CNIL ont observé que l'information fournie aux utilisateurs des services d'internet en libre accès, ne s'avérait pas toujours satisfaisante, voire inexistante. Les opérateurs de communication électronique doivent délivrer une information aux utilisateurs de leur service sur les modalités de traitement de leurs données (article 32 de la loi n°78-17 du 6 janvier 1978 modifiée). Le support de cette information doit être le formulaire d'inscription au service. A défaut, l'information doit être fournie par voie d'affichage, dans une charte informatique, etc. (Voir les modèles de mention d'information). Par ailleurs, les opérateurs de communication électronique doivent prévoir des procédures de gestion des demandes d'accès, de rectification et de suppression des données par leurs utilisateurs (art. 38 à 40 de la loi n°78-17 du 6 janvier 1978 modifiée).

4. Veiller à la conformité des outils utilisés, notamment aux outils de surveillance :

Plusieurs opérateurs de communication électronique contrôlés utilisaient des outils de surveillance afin d'assurer la sécurité des postes informatiques, la gestion des tarifications, les impressions, etc. L'utilisation de tels outils (consultation ou prise en main à distance, contrôle de l'historique de la navigation, etc.) est susceptible de donner accès à un grand nombre d'informations excessives au regard de la finalité pour laquelle elles sont collectées (identifiants-mots de passe, numéros de compte bancaire, etc). Le recours à de tels outils doit être évité ou un paramétrage limité doit être mis en place.

5. Assurer la confidentialité et la sécurité des données :

Plusieurs lacunes en termes de sécurité et de confidentialité ont été révélées lors des contrôles :
  • L'absence de chiffrement des réseaux wi-fi ;
  • L'accessibilité du BIOS (absence ou faiblesse du mot de passe) permettant de modifier la configuration basique du système ;
  • La possibilité de prendre le contrôle de la machine en démarrant un système d'exploitation depuis une clé USB ; etc.
Pour y remédier, les opérateurs de communication électronique doivent inclure une clause relative à la sécurité des données dans le contrat conclu avec le prestataire réseaux (voir le modèle de clause de confidentialité). Par ailleurs, ils doivent adopter des mesures de sécurité afin de (voir les guides sur " La sécurité des données personnelles ") :
  • sécuriser les accès aux journaux de connexion ;
  • assurer la robustesse des mots de passe d'accès au BIOS permettant de modifier la configuration basique du système ;
  • limiter à quelques minutes la durée de stockage des documents en attente d'impression (pour éviter la divulgation de documents à des tiers).

Rappel : Tout traitement de données à caractère personnel doit faire l'objet de formalités auprès de la CNIL ; à défaut, le traitement est considéré comme illicite. S'agissant de la gestion d'un service d'internet en libre accès, ce traitement doit faire l'objet d'une déclaration normale auprès de la CNIL.

 

]]>
Actualités Services publics Associations Entreprises privées Wi-fi Sécurité du SI Données de trafic Internet Contrôles Formalités déclaratives Mon, 22 Dec 2014 09:31:00 +0100