RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Tue, 21 Apr 2015 17:04:00 +0200 Avis sur la création du fichier des auteurs d’infractions terroristes (FIJAIT) http://www.cnil.fr/nc/linstitution/actualite/article/article/avis-sur-la-creation-du-fichier-des-auteurs-dinfractions-terroristes-fijait/ Le Gouvernement a décidé de publier l’avis de la CNIL du 7 avril 2015, portant sur un projet de dispositions législatives visant à créer un fichier national des auteurs d’infractions terroristes (FIJAIT).]]> Les avis de la CNIL portant sur un projet de loi ne peuvent être rendus publics que si le Gouvernement ou le Président d’une Commission permanente de l’une des deux assemblées en fait la demande (article 11-4°-a) de la loi « Informatique et Libertés »). Le Gouvernement a procédé à la publication de la délibération de la Commission sur son site internet (www.gouvernement.fr).  La CNIL s’est prononcée, lors de la séance plénière du 7 avril 2015, sur un projet de dispositions législatives visant à modifier le code de procédure pénale (CPP) en y insérant une section relative au fichier national des auteurs d’infractions terroristes (FIJAIT), dans leur version alors envisagée par le Gouvernement. La Commission a ainsi relevé que le traitement envisagé était proche du fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (FIJAISV), sur lequel elle s’est prononcée à plusieurs reprises et qui a fait l’objet d’un examen tant par le Conseil Constitutionnel que par la Cour européenne des droits de l’homme. Il s’agit ainsi de créer un fichier d’adresses spécifiques à une catégorie particulière d’infractions liées au terrorisme afin d’assurer un suivi des personnes qui y sont inscrites au travers de différentes obligations (justification d’adresses, des déplacements à l’étranger, etc.).  Dans la mesure où des garanties identiques au FIJAISV ont été prévues pour le FIJAIT, la Commission a considéré que celles-ci étaient a priori de nature à assurer un équilibre entre le respect de la vie privée et la sauvegarde de l'ordre public. Toutefois, la Commission a considéré qu'il lui appartenait de s'assurer, de manière effective, qu'il n'était pas porté une atteinte excessive au respect des droits et libertés fondamentaux. En particulier, elle a formulé des observations sur les points suivants : 
  • Sur la durée de conservation des données, la Commission a notamment relevé que dans la mesure où, par nature, le FIJAIT constitue un fichier d'adresses utilisé aux fins de suivi des personnes concernées, la conservation d'adresses non mises à jour n'apparait pas utile, ce qui est le cas des adresses conservées au-delà de la date de fin des obligations des personnes concernées. De même, la conservation de données qui pourraient déjà figurer dans d'autres fichiers judiciaires (TAJ et casier judiciaire, par exemple) ou de renseignement (tel CRISTINA) au-delà de la fin des obligations n'apparaît pas davantage nécessaire à la poursuite des finalités du FIJAIT. Elle a estimé que le dispositif projeté ne serait conforme aux dispositions de la loi du 6 janvier 1978 modifiée que dans la mesure où seules des données exactes et pertinentes y seraient conservées après cette date.
  • Sur l'inscription automatique des personnes inscrites au FIJAIT dans le FPR, le Gouvernement justifie cette inscription automatique par la nécessité pour les services du ministère de l'intérieur en charge du contrôle aux frontières d'identifier si la personne se trouve en violation de ses obligations. La Commission a dès lors considéré que seuls ces personnels devraient avoir accès à la situation des personnes inscrites au FIJAIT, à cette seule fin, et non l'ensemble des forces de sécurité publique ayant accès au FPR, comme le permet actuellement le projet de loi.
  • Sur les destinataires des données, la Commission a tout d'abord précisé que les autorités judiciaires et les services spécialisés de renseignement ne devaient pouvoir accéder au FIJAIT que dans le seul cadre de leurs missions de lutte contre le terrorisme, ce qui devrait figurer expressément dans les dispositions législatives projetées. Elle a également relevé que s'agissant des préfets et administrations de l'État, le périmètre des enquêtes leur permettant de recevoir communication des données était imprécis et a appelé l'attention du Gouvernement sur la nécessité de le restreindre à certaines activités ou professions en lien avec les infractions pouvant donner lieu à une inscription dans le fichier.
La CNIL restera particulièrement attentive aux éventuelles évolutions de ces dispositions législatives ainsi qu'aux conditions effectives de mise en œuvre de ce nouveau fichier. Elle rappelle qu'il est expressément prévu qu'un décret en Conseil d'État, qui lui sera soumis, précise les modalités et conditions d'application de celles-ci. Ce décret sera ainsi l'occasion de vérifier le respect des engagements pris par le Gouvernement devant la Commission (sur le contrôle du fichier par un magistrat, sur les données enregistrées dans le FIJAIT, sur les modalités et les cadres d'accès à ce dernier, sur les modalités d'information des personnes concernées et d'exercice de leurs droits, etc.).]]>
Actualités Fichiers de Police Tue, 21 Apr 2015 17:04:00 +0200
Bilan 2014 : les données personnelles au cœur du débat public et des préoccupations des Français http://www.cnil.fr/nc/linstitution/actualite/article/article/bilan-2014-les-donnees-personnelles-au-coeur-du-debat-public-et-des-preoccupations-des-franca/ L’actualité nationale et internationale a placé les données personnelles au centre du débat public : droit au déréférencement, projet de loi sur le numérique, projet de loi renseignement, rapport du Conseil d’Etat, règlement européen, etc.]]>

Protéger sa vie privée en ligne : une préoccupation croissante des citoyens

Répartition des demandes de citoyens

En 2014, la CNIL a enregistré environ 5825 plaintes, ce qui correspond à une légère hausse des demandes (+3%). 39% de ces plaintes concernent des problématiques d’e-réputation : suppression de textes, photographies, vidéos, coordonnées, commentaires, faux profils en ligne, la réutilisation de données publiquement accessibles sur internet,  etc. Depuis la décision de la Cour de Justice de l’union Européenne en mai 2014, la CNIL a reçu 200 plaintes consécutives à des refus de déréférencement par les moteurs de recherche.  En plus d’internet, les autres secteurs concernés par les plaintes sont  les suivants :

Commerce

(16% des plaintes reçues) : radiation de fichiers publicitaires, conservation coordonnées bancaires, fichiers clients, opposition à recevoir des courriels publicitaires ;
M. F a réalisé un achat sur internet auprès de la société B. A la suite de cet achat, il a reçu de nombreux courriels de prospection commerciale. Un lien de désabonnement étant proposé, il l’utilise pour ne plus recevoir de prospection mais continue à recevoir les courriels. Deux mois après avoir exercé son droit d’opposition à recevoir de la prospection commerciale auprès de la société, il sollicite la CNIL afin que sa demande soit prise en compte. La CNIL a rappelé à la société que toute personne physique a le droit de s’opposer à ce que ses données soient utilisées à des fins de prospection. M. G n’a plus reçu de messages commerciaux de la société B.

Gestion des ressources humaines

(14% des plaintes reçues qui émanent de salariés ou de syndicats) : vidéosurveillance (300 plaintes), géolocalisation, accès au dossier professionnel, cybersurveillance ;
Une monitrice d’auto-école saisit la CNIL car son employeur a mis en place, sur sa voiture, un système de géolocalisation alors qu’elle est autorisée à l’utiliser en dehors de son temps de travail. La CNIL a effectué un contrôle sur place à l’issue duquel le gérant a enlevé le dispositif de géolocalisation.

Banque 

(12% des plaintes reçues) : le motif principal de plainte est la contestation de l’inscription au FICP (fichier national des incidents de remboursement des crédits aux particuliers, ou au FCC (fichier central des chèques et des retraits de cartes bancaires).
A la suite de sa perte d’emploi, Mme G a eu des difficultés pour payer son prêt à la consommation. Après deux mensualités impayées, sa banque l’a inscrite au FICP. Mme G a retrouvé un emploi et a remboursé intégralement sa dette. Un an après, elle a sollicité un prêt immobilier auprès d’une autre banque qui le lui a refusé au motif qu’elle était inscrite au FICP. Mme G n’arrivant pas à obtenir sa radiation du fichier d’incident a sollicité la CNIL.
La CNIL a rappelé à la banque qu’elle devait procéder à la radiation de l’incident immédiatement après le remboursement intégral de la dette par l’intéressé. Mme G a finalement été défichée.

Libertés publiques et collectivités locales

(11% des plaintes reçues) : élections municipales, presse en ligne, diffusion par les collectivités locales de documents publics sur internet, réutilisation de données publiques.
Un propriétaire dont le bien a été vendu aux enchères retrouve l’ensemble des documents concernant la vente, en ligne, sur le site d’un cabinet d’avocat. La CNIL est intervenue auprès de ce professionnel du droit pour lui rappeler ses obligations en matière de confidentialité des données. Les éléments ont été supprimés du site.

L’opposition à figurer dans un fichier, tous secteurs confondus, constitue le principal motif de plaintes, ainsi que l’exercice du droit d’accès.

Un nouveau service de plaintes en ligne depuis avril 2015

Les plaintes en ligne ont été étendues à de nouveaux cas de plaintes. Désormais, les internautes peuvent naviguer parmi une cinquantaine de cas correspondant aux plaintes les plus fréquentes. Le service permet ainsi de répondre :
  • aux difficultés liées à la suppression de données personnelles sur des sites, blogs, forums, réseaux sociaux ou des moteurs de recherches ;
  • aux problèmes liés au spam et à la prospection commerciale par courrier, courriel ou par téléphone ;
  • aux questions de surveillance des salariés ;
  • aux inscriptions dans les fichiers d’incidents de paiement (Préventel, FICP, FCC chèques ou cartes bancaires).

Des demandes de droit d’accès indirect en forte croissance   

En 2014, la CNIL a reçu 5246 demandes de droit d’accès indirect, soit une augmentation de 22% par rapport à 2013. Ces demandes reçues représentent un total de 7577 vérifications à mener concernant par ordre d’importance : le fichier FICOBA de l’administration fiscale,  les fichiers d’antécédents judicaires de la police et de la gendarmerie (fichier unique TAJ depuis le 1er janvier 2014) et les fichiers de renseignement.

Evolutiond es demandes de droit d'accès indirect de 2012 à 2014

Madame L a adressé à  la CNIL une demande de droit d’accès indirect car, si dans le cadre d’une enquête de moralité réalisée dans la perspective du concours d’accès à l’Ecole Nationale de la Magistrature, un avis favorable a été émis, elle a appris à cette occasion qu’elle faisait l’objet d’une inscription dans le fichier d’antécédents judiciaires pour des faits qu’elle n’avait pas commis. Tel était bien le cas et cette affaire de «complicité d’escroquerie », qui aurait pu lui faire perdre le bénéfice de ce concours, a été effacée.
Monsieur D, a saisi la CNIL après que le Préfet de son département lui a signifié une probable abrogation de son agrément en qualité d’agent de police municipale au motif de son inscription dans le fichier d’antécédents judiciaires. Au terme des vérifications, l’affaire concernée (« refus d’obtempérer, mise en danger de la personne, défaut de permis de conduire ») a été supprimée dans la mesure où il n’était nullement le mis en cause, mais la victime.
Monsieur L., préoccupé par l’absence de réponse obtenue quant à la délivrance de sa carte professionnelle d’agent de sécurité privée a souhaité exercer son droit d’accès indirect. Aux termes des vérifications menées, une affaire de « violences volontaires et d’outrage à agent de la force publique » enregistrée à son nom dans ce fichier a été supprimée car, commise par un tiers qui avait usurpé son identité.
Si on cumule les plaintes et les demandes de droit d’accès indirect, ce sont donc plus de 11 000 demandes individuelles qui ont été adressées à la CNIL en 2014, auxquelles s’ajoutent 133 000 appels téléphoniques reçus (contre 124 500 appels reçus en 2013). Ces chiffres témoignent donc de la sensibilité croissante des personnes quant à la protection de leurs données personnelles dans un univers numérique marqué par la très forte circulation de ces données.

Une action répressive avec des pouvoirs de contrôle renforcés

La logique de la loi et son application par la CNIL visent avant tout la mise en conformité des organismes mis en cause. A chaque phase d’instruction d’une plainte et/ou d’un contrôle, ceux-ci ont la possibilité de suivre les mesures recommandées par la CNIL pour se mettre en conformité. Dans l’immense majorité des cas, la simple intervention de la CNIL se traduit par une mise en conformité de l’organisme. Le prononcé de sanction par la CNIL permet de sanctionner des organismes qui persistent dans des comportements répréhensibles, et constitue donc un instrument de dissuasion important. 62 mises en demeure ont été adoptées (contre 57 en 2013), dont 69% d’entre elles ont donné lieu à une mise en conformité. Plusieurs mises en conformité sont encore en cours.
18 sanctions (contre 14 en 2013) ont été prononcées par la formation restreinte, dont 8 sanctions pécuniaires. La CNIL a réalisé 421 contrôles en 2014, dont les premiers contrôles en ligne. A l’occasion de l’adoption de la loi relative à la consommation du 17 mars 2014, la CNIL s’est vue reconnaître la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Cette adaptation du pouvoir d’investigation de la CNIL au développement numérique, vient s'ajouter aux autres moyens d'enquête déjà existants : contrôles sur place au sein des organismes, auditions sur convocation à la CNIL et contrôles sur pièces. Elle offre à la CNIL l’opportunité d’être plus efficace et réactive dans un univers en constante évolution. Elle peut ainsi plus rapidement constater et agir contre les atteintes à la protection des données et à la vie privée sur internet. Au total, 58 contrôles en ligne ont ainsi pu être effectué entre octobre et décembre 2014, sur plusieurs thématiques, dont :
  • la conformité des pratiques des acteurs du web à la recommandation cookies et autres traceurs, adoptée par la CNIL le 5 décembre 2013 ;
  • la publication des listes d’électeurs sur les sites web des Universités ;
  • la sécurité relative aux formulaires de demande en ligne d’actes d’état civil sur les sites des communes.

Les données personnelles, au cœur du débat public

En 2014, le débat public s’est fortement structuré autour de la protection des données personnelles et des libertés numériques en France et ailleurs. On peut citer notamment le rapport du Conseil d’Etat sur le numérique ou la consultation du CNNum sur le projet de loi numérique, auxquels la CNIL a largement contribué.  Elle a publié en janvier 2015 ses propositions qui comportent notamment : un droit à l’oubli pour les mineurs, des sanctions renforcées, la saisine systématique de la CNIL dans le cadre des propositions de loi.
Ce débat se poursuit en 2015 avec le projet de loi relatif au renseignement au sujet duquel l’avis de la CNIL a été rendu public, à la demande du Président de la Commission des Lois de l’Assemblée Nationale. La CNIL a aussi été très attentive au projet de loi santé, et notamment son article 47 relatif aux  modalités d’ouverture des données de santé. Au plan international, les suites des révélations d’Edward Snowden et les débats autour du droit au déréférencement consacré par la CJUE ont alimenté les discussions. En 2015, le projet de règlement européen sur les données personnelles sera un enjeu central, de même que les mesures visant à une lutte coordonnées de l’Europe contre le terrorisme (PNR, etc.). La CNIL, comme le G29, dont la CNIL occupe la Présidence pour deux ans, sera très active dans l’ensemble de ces débats et s’attachera à garantir un équilibre entre libertés, sécurité et innovation. ]]>
Actualités Presse Vie de la CNIL Missions Contrôles Droit d'accès Droit à l'oubli Renseignements généraux Prévention du terrorisme Thu, 16 Apr 2015 11:00:00 +0200
Enjeux 2015 (1) : libertés et sécurité, quel équilibre ? http://www.cnil.fr/nc/linstitution/actualite/article/article/enjeux-2015-1-libertes-et-securite-quel-equilibre/ Depuis les révélations d’Edward Snowden et à nouveau, avec les attaques terroristes perpétrées en janvier 2015 en France, l’équilibre entre libertés et sécurité est débattu. ]]> En 2013, E. Snowden a levé le voile sur la surveillance massive et généralisée de l’ensemble de la population par des acteurs privés, pour le compte d’acteurs publics. Ses révélations questionnent toutes les démocraties et les réponses que celles-ci élaborent face à une menace terroriste croissante. Les attaques terroristes de janvier 2015 ont de nouveau placé en haut de l’agenda des gouvernements le renforcement des moyens de lutte contre le terrorisme. Pour trouver de réelles voies d’action pour faire face à la situation actuelle, il faut sortir d’une opposition binaire entre sécurité et liberté. Le respect des libertés fondamentales n’est pas contradictoire avec l’impératif de sécurité : c’est le garde-fou de nos démocraties,. Libertés et sécurité sont donc indissociables, et leur équilibre dépend des garanties et des modalités de contrôles dont elles sont assorties. Le propre d’un Etat de droit est en effet de se doter des outils légaux nécessaires pour répondre aux menaces, mais en les assortissant de garanties suffisantes pour rester fidèle aux principes et aux valeurs qui le fondent. C’est précisément le rôle de la CNIL de contrôler cet équilibre fragile et de prévenir les dérives éventuelles, au plan national comme sur les dossiers européens. Pour ce faire, trois leviers d’action sont possibles :

Nous rassembler entre européens autour de nos valeurs communes.

C’est ce que le groupe des CNIL européennes, le « G29 », a proposé dans une déclaration le 8 décembre dernier à l’occasion d’une conférence internationale à l’UNESCO. Cette déclaration pose le principe d’un nécessaire équilibre entre protection des données personnelles, innovation et surveillance, et met en avant la nécessité de mettre en œuvre des dispositifs ciblés et non massifs en matière de surveillance. Elle propose également un certain nombre de mesures opérationnelles, notamment en matière d’ordre public.

Exiger un niveau de garantie élevé pour prévenir les risques d’abus de dispositifs par nature intrusifs.

C’est une exigence absolue de nos Etats de droit. L’annulation de la directive sur la rétention des données de connexion par la Cour de Luxembourg en 2014 conforte  le besoin d’une approche proportionnée et accompagnée de garanties effectives pour mettre en œuvre ces dispositifs. C’est à la lumière de ces mêmes principes que la CNIL a été saisie par le Gouvernement sur le PNR français qui permet la collecte de données des passagers aériens lors des vols à destination et en provenance du territoire national. Elle a, dans le cadre de l’examen du décret publié le 26 septembre 2014, demandé et obtenu des garanties fortes (information des personnes, durée de conservation limitée, absence de données « sensibles », etc.).

Renforcer le contrôle en aval de ces dispositifs.

Une personnalité qualifiée au sein de la CNIL est chargée depuis février 2015 de contrôler le blocage administratif des sites provoquant des actes de terrorisme ou en faisant l’apologie ainsi que les sites à caractère pédopornographique. Ce contrôle vise à s’assurer que le blocage n’est pas disproportionné afin d’éviter tout « sur blocage ». Dans le cadre du projet de loi relatif au renseignement, la CNIL a rendu un avis le 5 mars 2015, dans lequel elle a été très attentive aux modalités de contrôle des fichiers de renseignement. Ces fichiers bénéficient actuellement d'un cadre législatif spécifique interdisant le contrôle de leur régularité du point de vue de la loi Informatique et Libertés. Or, un tel  contrôle général constitue une exigence fondamentale afin d'asseoir la légitimité démocratique de ces fichiers dans le respect des droits et libertés des citoyens. La CNIL a proposé que le projet de loi lui permette d'exercer un tel contrôle, selon des modalités particulières, adaptées aux activités des services de renseignement, et en coopération avec la CNCTR (Commission Nationale de Contrôle des Techniques de Renseignement). Cette proposition n'a pour l'heure pas été suivie d'effet.]]>
Actualités Prévention du terrorisme Société de Surveillance Vie de la CNIL Presse Thu, 16 Apr 2015 10:55:00 +0200
Enjeux 2015 (2) : la protection des données, clé de voûte de l’innovation http://www.cnil.fr/nc/linstitution/actualite/article/article/enjeux-2015-2-la-protection-des-donnees-cle-de-voute-de-linnovation/ Alors que les innovations numériques reposent sur les données personnelles, une protection optimale de ces données constitue un impératif pour nos concitoyens, mais aussi un avantage concurrentiel.]]> Nombreux sont ceux qui, ces dernières années, ont tenté d’opposer artificiellement innovation et protection des données, voyant dans la loi « informatique et libertés » un obstacle potentiel au développement de nouveaux services ou technologies, notamment liés au « big data ». Or, loin d’une telle affirmation stérile et erronée, l’expérience concrète des projets montre que la protection des données personnelles et l’innovation sont aujourd’hui indissociables à l’ère numérique. La confiance des consommateurs dans l’économie numérique et les nouveaux services qui leur sont proposés est en effet subordonnée à la protection effective de leurs données. Une illustration en est fournie en matière de cloud : à la suite des révélations de M. Snowden, un rapport de l’Information Technology and Innovation Foundation a évalué les pertes pour les sociétés américaines à $22 milliards de dollars. Dans le même temps, les sociétés américaines ou européennes comprennent désormais qu’il ne s’agit pas seulement d’une question d’image, mais aussi d’une question de compétitivité. Au-delà des mots, c’est dans l’accompagnement concret de services opérationnels que la CNIL est quotidiennement engagée. Ainsi, si certains font valoir une nouvelle « révolution » du big data, permettant de croiser de manière quasi-universelle des volumes considérables de données pour faire émerger de nouveaux services il apparaît que le « big data » présente certes un caractère inédit par son échelle, mais s’inscrit dans le prolongement de processus classiques de croisements de données à des fins de profilage. Ce ne sont pas nécessairement les principes Informatique et Libertés qu’il faut remettre en cause mais c’est assurément les outils de la régulation qu’il faut adapter. C’est donc dans un état d’esprit pragmatique, ouvert et soucieux d’accompagner l’innovation que s’inscrit la CNIL. Elle a, à cet égard, organisé ses services et adapté ses modes de travail pour être au plus près de ses publics et des innovations. En promouvant le passage d’une logique de formalités administratives à une logique de conformité tout au long de la vie du traitement de données, la CNIL positionne ainsi l’innovation au cœur de son action et de son fonctionnement. Quelques exemples en témoignent :
  • La constitution d’un « pôle innovation et prospective », depuis plus de trois ans, porte ses fruits : la CNIL est désormais en contact avec de très nombreuses start-up ou pépinières de talents, qu’elle conseille dès la conception de leurs produits pour une protection optimale des données ;
  • La CNIL mène par ailleurs une activité de recherche, souvent en liaison avec des laboratoires, pour tester les dispositifs innovants ou proposer des solutions. Ainsi, le projet Mobilitics avec Inria constitue le premier projet d’expérimentation dans des conditions réelles permettant de connaître tous les échanges de données entre un smartphone et des entités tierces. De même, le logiciel Cookieviz, développé en open source par la CNIL, a été téléchargé plus de 100 000 fois et permet à des internautes de voir concrètement, et tous navigateurs confondus, la face cachée de leur navigation.
  • Enfin, la CNIL organise chaque année des rencontres thématiques réunissant l’ensemble d’un écosystème numérique : après une journée dédiée à l’open data, la CNIL a ainsi organisé en janvier 2015 une matinée dédiée à la voiture connectée, qui a rassemblé pour la première fois l’ensemble des acteurs de la filière.
Pour la CNIL, l’innovation n’est donc ni un mot, ni une notion abstraite : c’est une réalité, expérimentée et accompagnée quotidiennement dans le cadre d’outils innovants. En effet, au-delà de la connaissance de nouvelles pratiques ou technologies, la CNIL innove dans les modalités d’accompagnement de ces acteurs. C’est ainsi que la Commission a mis en place un nouvel outil de régulation, les « packs de conformité ». Elaborés en concertation avec les acteurs d’un secteur, ces packs regroupent des bonnes pratiques permettant de décliner les droits et obligations de la loi informatique et libertés pour les acteurs du secteur en question, et des instruments de simplification des formalités administratives (normes simplifiées, autorisations uniques, dispenses de déclarations, etc.). L’objectif est ainsi de fournir un cadre juridique et pratique sûr et adapté aux besoins d’un secteur donné. Plusieurs « packs » ont déjà été adoptés, pour les assurances, le logement social ou la domotique. Deux autres (banque et secteur social) sont en cours d’élaboration. Prolongeant les packs, la CNIL a également mis en place des « clubs conformité », qui réunissent de manière informelle les acteurs d’un secteur pour mieux identifier les innovations et les questions pratiques émergentes. Les labels s’inscrivent dans la même logique de responsabilisation des acteurs et de simplification. Lucidité sur les enjeux, expérience concrète de l’innovation, ouverture aux acteurs et nouveaux modes de régulation sont donc les orientations de la CNIL pour accompagner le développement d’un numérique durable.]]>
Actualités Prospective pack de conformité Labellisation Presse Thu, 16 Apr 2015 10:50:00 +0200
Enjeux 2015 (3) : quels nouveaux droits pour mieux maîtriser ses données ? http://www.cnil.fr/nc/linstitution/actualite/article/article/enjeux-2015-3-quels-nouveaux-droits-pour-mieux-maitriser-ses-donnees/ Pour être durables, les nouveaux modèles numériques doivent se construire autour de l’utilisateur. Comment lui redonner une véritable capacité de maîtrise et d’arbitrage sur ses données ? ]]> Si les utilisateurs ne font pas confiance aux services de l’économie numérique, ils ne les utiliseront pas. Cette exigence de confiance est fondamentale, mais elle est encore loin d’être satisfaite à en croire plusieurs études menées par la Commission européenne : ainsi, plus de 90% des Européens* s’inquiètent du fait que des applications mobiles collectent leurs données sans leur consentement (* Source : SPECIAL EUROBAROMETER 359 - Attitudes on Data Protection and Electronic Identity in the European Union, June 2011). Le projet de règlement sur la protection des données, en cours de négociations à Bruxelles, vise à favoriser le développement de cette confiance en Europe, en particulier en renforçant la capacité des citoyens à contrôler l’usage de leurs données. Pour ce faire, le projet de texte prévoit un véritable « droit à l’oubli », un « droit à la portabilité » des données, ainsi que le droit des personnes d’être informées des failles ayant affecté leurs données personnelles.  Le « droit à l’oubli » permettra d’obtenir la suppression des données de l’utilisateur si celui-ci souhaite qu’elles ne soient plus traitées et s’il n’y a pas de motif légitime pour qu’une entreprise les conserve. Appliqué aux moteurs de recherche, ce droit à l’oubli s’entend comme un « droit au déréférencement » sur lequel la CNIL et ses homologues européens ont adopté des lignes directrices communes en 2014. Une idée fausse encore répandue  consiste à soutenir que ce droit permet d’effacer le passé ou de restreindre la liberté de la presse. Tel n’est pas le cas. Le droit à l’oubli permet aux personnes de contrôler l’impact de la diffusion de leurs données sur leur vie personnelle et professionnelle. La pratique quotidienne de la CNIL et de ses homologues européens attestent de l’importance sociale de ce droit. Le texte vise également à garantir aux personnes un accès libre et aisé à leurs données personnelles, pour qu’elles puissent voir plus facilement quelles sont celles dont disposent les entreprises et les pouvoirs publics et qu’elles puissent transférer leurs données facilement et gratuitement d’un prestataire de services à un autre – c’est le principe de « portabilité des données ». Il s’agit de permettre aux personnes de ne pas demeurer captives d’un seul écosystème numérique et de pouvoir migrer vers d’autres, notamment quand ceux-ci s’avèreraient plus protecteurs en matière de vie privée. Le texte prévoit enfin une obligation de notification des failles, en imposant aux organisations d’informer les intéressés et l’autorité compétente en matière de protection des données dans les meilleurs délais – dans la mesure du possible, dans les 24 heures – si des données sont accidentellement ou illégalement détruites, perdues, altérées, consultées par des personnes non autorisées ou divulguées à de telles personnes. Aujourd’hui, seuls les opérateurs de communication électronique sont soumis à cette obligation de notification des failles. La CNIL et ses homologues européens apportent leur plein et entier soutien aux nouveaux droits prévus par le texte. De façon plus opérationnelle et afin de donner aux citoyens la possibilité d’exercer pleinement leurs droits, la CNIL a pris plusieurs initiatives :
  • Mise en ligne, le 28 janvier 2015, à l'occasion de la journée européenne de la protection des données, d’un nouvel espace entièrement dédié aux droits des citoyens en matière de données personnelles. La CNIL y explique les droits et propose de nombreux conseils pour les exercer plus facilement.
  • Ouverture en avril 2015 d’un nouveau service de plaintes en ligne étendu à de nouveaux cas de plaintes.
  • Lancement à partir de mai 2015 d’un service de réponses en ligne pour accompagner les particuliers au quotidien dans l’exercice de leurs droits.
]]>
Actualités Droit à l'oubli Droit d'accès Vie de la CNIL Presse Wed, 15 Apr 2015 10:45:00 +0200
La numérisation du commerce de détail http://www.cnil.fr/nc/linstitution/actualite/article/article/la-numerisation-du-commerce-de-detail/ Rendre les magasins plus « connectés » devient une préoccupation majeure des commerçants. La nouvelle lettre IP fait le point sur cette numérisation croissante de la consommation en magasin, qui implique la prise en compte d’un nombre grandissant de données. ]]> Pour s’adapter à l’évolution des modes de consommation – caractérisée par une fusion progressive des univers physique et numérique – certains commerçants utilisent désormais des capteurs ou technologies qui enrichissent l’expérience de consommation en magasin.  Au-delà des dispositifs de mesure de fréquentation et d’analyse du comportement des consommateurs, l’innovation est aussi guidée par une recherche de l’hyperpersonnalisation de la relation client en mobilisant tout un ensemble d’informations liées au contexte de l’utilisateur. Suivre ses déplacements dans le magasin, connaitre ses préférences, analyser son historique de transactions et simplifier la phase du paiement, deviennent des axes essentiels dans la numérisation du shopping. 

Figure 1 : Exemples de numérisation du parcours client

Exemple de numérisation du parcours client Les frontières traditionnelles entre les univers du paiement et de la fidélité sont donc de plus en plus floues. Les nouveaux moyens de paiement, qui prennent souvent la forme d’applications mobiles, intègrent ainsi des données portant sur l’ensemble de la relation commerciale.  La nouvelle Lettre Innovation et Prospective propose de s’intéresser à ces enjeux et d’anticiper les mutations à venir.]]>
Actualités Marketing Consommation commerce marketing Gestion du contentieux Publicité SPAM Surveillance des locaux commerciaux E-commerce Géolocalisation Tue, 31 Mar 2015 10:08:00 +0200
Analyse de flux https : bonnes pratiques et questions http://www.cnil.fr/nc/linstitution/actualite/article/article/analyse-de-flux-https-bonnes-pratiques-et-questions/ Le chiffrement des canaux de communication à l’aide du protocole https protège la confidentialité des échanges pour les services en ligne. Quelles sont les règles à respecter pour pouvoir déchiffrer et analyser ces flux ?]]>

Protéger les canaux de communication à l'aide d'https devient courant ...

En effet, le chiffrement des canaux de communication à l'aide du protocole https est de plus en plus préconisé et mis en œuvre (par exemple sur les sites de banque en ligne, sur les webmails, pour les téléservices, etc.). La CNIL recommande d'ailleurs son utilisation pour protéger les flux de données circulant via Internet entre le poste d'un internaute et le site web, car il réduit considérablement les risques liés à l'interception de communications, que ce soit pour les écouter ou pour les modifier.

... mais la protection apportée peut également poser un problème de sécurité au sein des organismes

Cette mesure peut également constituer une vulnérabilité pour la sécurité des systèmes d'information d'un organisme, puisqu'elle rend impossible la surveillance des données entrantes et sortantes. Ainsi, volontairement ou non, des salariés peuvent faire sortir des informations du réseau interne, ou faire entrer des codes malveillants, à leur insu comme à celui de leur employeur.

Certains employeurs souhaitent donc déchiffrer les flux https pour les analyser

De nombreux responsables de la sécurité des systèmes d'information (RSSI) souhaiteraient pouvoir déchiffrer le flux de données, pour analyser automatiquement son contenu avec des outils de sécurité ad-hoc, avant de re-chiffrer le flux et de le renvoyer vers sa destination. Techniquement, les bonnes pratiques pour réaliser cette action sont décrites par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dans ses " Recommandations de sécurité concernant l'analyse des flux https ".

Du point de vue " informatique et libertés " : une mesure légitime, mais qui doit être encadrée

Du point de vue " informatique et libertés ", ce déchiffrement est légitime du fait que l'employeur doit assurer la sécurité de son système d'information. Pour ce faire, il peut fixer les conditions et limites de l'utilisation des outils informatiques. Toutefois, le recours au déchiffrement doit être encadré et peut faire l'objet des mesures suivantes :
  • une information précise des salariés (sur les catégories de personnes impactées par la solution, la nature de l'analyse réalisée, les données conservées, les modalités d'investigation, les sites faisant l'objet d'une liste blanche, l'existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l'analyse des flux), par exemple dans la charte d'utilisation des moyens informatiques. L'information doit aussi préciser les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ;
  • une gestion stricte des droits d'accès des administrateurs aux courriers électroniques, lesquels sont présumés avoir un caractère professionnel sauf s'ils sont identifiés comme étant personnels ;
  • une minimisation des traces conservées (ex : fichier malveillant, source, destination, et non identifiants et mots de passe) ;
  • une protection des données d'alertes extraite de l'analyse (ex : chiffrement, stockage en dehors de l'environnement de production et durée de conservation de 6 mois maximum).

Une question en suspens : le déchiffrement porte-t-il d'une atteinte aux systèmes de traitements automatisés de données (STAD) ?

Les dispositions figurant aux articles 323-1 à 323-7 du code pénal interdisent notamment " d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un STAD " et " d'entraver ou de fausser le fonctionnement d'un STAD ". Cette question est particulièrement importante dès lors que le déchiffrement met potentiellement en cause la sécurité des communications initiées par un tiers et la confidentialité des données qu'il transmet. Elle relève de la compétence du juge, la CNIL n'étant pas compétente pour apprécier une éventuelle infraction au code pénal sur ce point. Le recours au déchiffrement de flux https pourrait donc nécessiter une base légale justifiant qu'il puisse être porté atteinte aux mesures techniques déployées par des tiers pour garantir la confidentialité de leurs échanges.]]>
Actualités Internet Sécurité du SI Tue, 31 Mar 2015 09:37:00 +0200
Vidéosurveillance au travail : clôture de la mise en demeure de la société APPLE RETAIL France http://www.cnil.fr/nc/linstitution/actualite/article/article/videosurveillance-au-travail-cloture-de-la-mise-en-demeure-de-la-societe-apple-retail-france/ La Présidente de la CNIL a adopté le 14 octobre 2014 une mise en demeure publique à l'encontre de la société APPLE RETAIL FRANCE. La société s'étant depuis mise en conformité, la mise en demeure est clôturée.]]> A la suite de la mise en demeure du 14 octobre, la société APPLE RETAIL France a mis en œuvre les mesures afin que les dispositifs de vidéosurveillance déployés dans ses magasins soient conformes aux exigences de la loi " Informatique et Libertés ". Ainsi, et pour l'intégralité de ses magasins installés en France, les actions de mise en conformité sont les suivantes :
  • masquage ou repositionnement des caméras installées dans les zones réservées aux salariés afin qu'elles ne filment plus ces derniers à leur poste de travail de manière permanente,
  • information complète des salariés sur les dispositifs de vidéosurveillance par voie d'affichage dans les zones non accessibles au public et par mention portée au règlement intérieur.Ces mesures étant de nature à répondre aux injonctions de la mise en demeure, la Présidente de la CNIL a décidé de procéder à la clôture de la procédure.
]]>
Actualités Travail Assurance chômage Oeuvres sociales Gestion du personnel des RH Recrutement Surveillance des salariés Alertes professionnelles Mise en demeure Salariés Wed, 25 Mar 2015 18:14:00 +0100
BCR : la CNIL facilite les formalités liées aux transferts internationaux de données http://www.cnil.fr/nc/linstitution/actualite/article/article/bcr-la-cnil-facilite-les-formalites-liees-aux-transferts-internationaux-de-donnees/ La mise en œuvre de BCR (règles contraignantes d’entreprise), témoigne de l’engagement des entreprises multinationales à protéger les données personnelles. Grâce aux autorisations uniques, elles bénéficieront de formalités simplifiées.]]> La CNIL délivrera une autorisation unique à chaque groupe ayant adopté des BCR (ou des règles contraignantes d'entreprise " RCE " francophones). Ceci permettra aux entités d'un groupe soumises au respect des obligations de la loi Informatique et Libertés de ne plus avoir à demander pour chaque type de transfert hors Union européenne une autorisation à la Cnil. Elles effectueront simplement un engagement de conformité sur le site de la CNIL lorsque leurs échanges de données encadrés par des BCR seront conformes à l'autorisation unique délivrée au groupe. Une fois qu'ils auront effectué leurs engagements de conformité, les responsables de traitement devront tenir à disposition des services de la CNIL une liste à jour de chaque transfert, détaillant les informations suivantes :
  • La finalité générale de chaque transfert couvert par les BCR,
  • La ou les catégories de personnes intéressées par les transferts encadrés par les BCR,
  • La ou les catégories de données personnelles transférées sur la base des BCR,
  • Les informations relatives à chaque destinataire des données (raison sociale, groupe auquel il appartient et ayant adopté des BCR responsable de traitement, des BCR sous-traitant et/ou des règles contraignantes d'entreprise francophones, pays d'établissement, catégories de destinataire des données et nature du traitement opéré par ce dernier).
Plus d'une soixantaine d'entreprises multinationales seront contactées par les services de la CNIL dans les prochaines semaines afin de définir le contenu de leurs autorisations uniques respectives.]]>
Actualités Formalités déclaratives Transferts internationaux de données Tue, 24 Mar 2015 09:19:00 +0100
Publication de l’avis sur le projet de loi relatif au renseignement http://www.cnil.fr/nc/linstitution/actualite/article/article/publication-de-lavis-sur-le-projet-de-loi-relatif-au-renseignement/ A la demande du Président de la Commission des Lois de l’Assemblée Nationale, la CNIL publie son avis du 5 mars 2015 sur le projet de loi relatif au renseignement.]]> Les avis de la CNIL portant sur un projet de loi ne peuvent être rendus publics que si le Président de la Commission permanente de l'une des deux assemblées en fait la demande (article 11-4°)-a) de la loi "informatique et libertés"). Monsieur Jean-Jacques Urvoas, Président de la Commission des Lois de l'Assemblée Nationale, a demandé ce jour à la Présidente de la CNIL que l'avis de la Commission sur le projet de loi relatif au renseignement soit rendu public, afin d'éclairer les travaux du Parlement sur ce texte. La CNIL s'est prononcée, lors de la séance plénière du 5 mars 2015, sur ce projet de loi, dans sa version alors envisagée par le Gouvernement. Le projet de texte a sensiblement évolué depuis cette date, en tenant compte, sur plusieurs points de l'avis de la Commission. En particulier, des garanties substantielles ont été apportées sur les points suivants :
  • S'agissant des interceptions de sécurité, le projet de loi a été précisé afin de limiter les personnes pouvant faire l'objet de telles " écoutes ". Il prévoit dorénavant la nécessité d'une autorisation expresse pour intercepter les correspondances des personnes qui ne font pas l'objet d'une surveillance particulière mais qui appartiennent à l'entourage d'une personne surveillée et qui sont susceptibles de jouer un rôle d'intermédiaire ou de fournir des informations essentielles.
  • S'agissant du recueil de données en temps réel sur les réseaux des opérateurs, le projet de loi précise que de telles opérations ne peuvent porter que sur les données techniques de connexion, et en aucun cas sur le contenu des correspondances échangées (téléphone, courriel, contenu des SMS, etc.).
  • Les conditions de mise en œuvre et de contrôle des dispositifs techniques de proximité (dits " IMSI catcher ") ont été précisées. La nature des données pouvant être recueillies par ces dispositifs a été limitée et des conditions de conservation plus rigoureuses ont été prévues s'agissant des correspondances.
  • Enfin, les techniques actuellement dévolues à la seule police judiciaire, et particulièrement intrusives (pose de balises de localisation, de micros ou utilisation de key-loggers), ne pourront être utilisées par les services de renseignement qu'en dernier ressort, si aucun autre moyen n'est utilisable. De même, les durées de mise en œuvre de ces techniques et de conservation des données ainsi recueillies ont été réduites.
La CNIL restera attentive aux suites de ce texte, notamment sur les modalités de contrôle des fichiers de renseignement. Ces fichiers bénéficient actuellement d'un cadre législatif particulier interdisant de fait le contrôle de leur régularité du point de vue de la loi " Informatique et Libertés ". Or, le contrôle de ces fichiers constitue une exigence fondamentale afin d'asseoir la légitimité de ces fichiers dans le respect des droits et libertés des citoyens. Dans ce contexte, la Commission a proposé que le projet de loi lui permette d'exercer un tel contrôle, selon des modalités particulières, adaptées aux activités des services de renseignement, et en coopération notamment avec la CNCTR (Commission Nationale de Contrôle des Techniques de Renseignement). Cette proposition n'a pour l'heure pas été suivie d'effet. ]]>
Actualités Renseignements généraux Police Sûreté Sécurité justice Société de Surveillance Coopération policière européenne et internationale Eurojust Europol Acc Schengen Fichiers de Police Immigration Visas Thu, 19 Mar 2015 15:59:00 +0100