RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Mon, 25 May 2015 10:00:00 +0200 Programme des contrôles 2015 http://www.cnil.fr/nc/linstitution/actualite/article/article/programme-des-controles-2015/ En 2015, la CNIL contrôlera des technologies ou des traitements récemment mis en œuvre et faisant partie du quotidien des Français.]]> En 2015, un objectif d’environ 550 contrôles est prévu (421 contrôles réalisés en 2014), se décomposant de la façon suivante :  
  • environ 350 vérifications sur place, sur audition ou sur pièces. Un quart des contrôles sur place portera sur les dispositifs de vidéoprotection / vidéosurveillance
  • 200 contrôles en ligne.

Les thématiques prioritaires des contrôles 2015 

Comme chaque année, la CNIL prévoit de dédier une part significative de son activité de contrôle à des thèmes choisis du fait de leur impact sur les libertés et du nombre important de personnes concernées.   Le paiement sans contact : le large développement de ces dispositifs en fait une thématique de première importance, eu égard notamment au nombre de personnes concernées. Outre les questions de sécurité, la prise en compte du droit d'opposition sera notamment vérifiée. Le traitement de données personnelles dans le cadre de la gestion des risques psycho-sociaux (RPS) en entreprise : dans le prolongement de l’accord national interprofessionnel de 2008 relatif à l’amélioration des conditions de travail, de plus en plus d’entreprises diligentent des enquêtes sur les risques psychosociaux auprès de leur salariés afin d’évaluer et de mieux lutter contre le stress au travail. Ces enquêtes soulèvent des questions pratiques qui ont conduit de nombreux salariés à saisir la CNIL. Les contrôles s’opèreront auprès de prestataires et d’entreprises (publiques et privées) ayant mené une enquête RPS ces dernières années. Le Fichier National des Permis de Conduire mis en œuvre par le ministère de l’Intérieur : ce fichier répertorie l’ensemble des permis de conduire enregistrés en France (environ 40 millions). Le solde des points restants sur le permis est consultable en ligne depuis le site telepoints.info. Le FNPC comporte également toutes les décisions relatives au permis de conduire, et notamment, les décisions administratives (retrait, suspension, annulation, restriction du droit d’en faire usage) et judiciaires (y compris les compositions pénales, amendes ainsi que les procès-verbaux des infractions constatées). Les vérifications porteront en particulier sur la fiabilité et la mise à jour des données, leurs modalités d’accès et leur sécurisation. Les objets connectés « bien-être et santé » : un écosystème s’est développé autour d’une offre bien-être et santé comprenant des objets connectés et des services en ligne, permettant le suivi individuel et le partage de données relatives par exemple à l’activité physique ou l’évolution de la corpulence du détenteur. Ces dispositifs suscitent de nombreuses interrogations quant à l’information et au consentement des utilisateurs. Les outils de mesure de fréquentation des lieux publics : ces nouveaux dispositifs déployés dans l’espace public (centres commerciaux, quartiers ou villes entières) permettent via les connexions aux bornes mobiles et wifi une mesure fine du trafic de données personnelles. Ces mesures permettent entre autres objectifs de monétiser l’espace publicitaire. Des contrôles sur ces thèmes permettront de renforcer la doctrine naissante. Les « Binding Corporate Rules » (BCR) : à ce jour, 68 sociétés ont adopté des BCR. Ces dispositifs n’ont fait pour l’heure l’objet d’aucun contrôle ex-post. La réalisation de contrôles de quelques entreprises ayant adopté des BCR fournira un éclairage sur l’impact du dispositif au regard de la protection des données personnelles et du respect de la vie privée au sein des groupes concernés. Enfin, l’année 2015 sera l’occasion pour la CNIL de continuer le travail de coopération internationale entre autorités de protection des données. Cette coopération s’effectuera notamment au travers du troisième volet du « Sweep Day » coordonnée par le GPEN ("Global Privacy Enforcement Network" – réseau international d’autorités en charge de la protection de la vie privée) qui concernera le thème de « la vie privée de la jeunesse » (« Youth Privacy »). Concrètement, l’audit conjoint qui sera réalisé en mai  portera sur les services en ligne proposés aux mineurs (sites visant particulièrement les utilisateurs de moins de 12 ans et/ou les adolescents). Les autorités se concentreront notamment sur l’information,  et le contrôle de l’âge. En outre, des contrôles seront menés dans le cadre de la coopération européenne en matière de police (Europol, Schengen, etc.).]]>
Actualités Contrôles Mon, 25 May 2015 10:00:00 +0200
Carte de paiement sans contact : mode d’emploi http://www.cnil.fr/nc/linstitution/actualite/article/article/carte-de-paiement-sans-contact-mode-demploi/ En France, plus de 33 millions de cartes de paiement ont des fonctionnalités sans contact, ce qui représente plus de 50% des cartes en circulation*. Comment ça marche, quelle sécurité, quels droits ?]]>

Comment reconnaître une carte bancaire sans contact ?

Le format d’une carte bancaire sans contact est le même que celui d’une carte bancaire classique. La puce sans contact n’est pas visible à l’œil nu car elle est à l’intérieur du plastique. C’est un logo spécifique sur la carte qui permet de savoir que celle-ci est sans contact (des vagues d’ondes comme pour représenter le signal wifi sur certains ordinateurs).

Pour quel type de transaction puis-je l’utiliser ?

La transaction peut uniquement s’effectuer à courte distance (jusqu’à une distance de 10 centimètres, NFC signifiant near field communication) et pour un montant inférieur à 20€. Au-delà de ce montant, il sera nécessaire de saisir son code. De plus, la saisie du code de la carte est exigée à partir d’un certain montant de transactions cumulées (par exemple tous les 80€ d’achat). Pour savoir si un commerçant l’accepte, il suffit de regarder si figure le logo avec des ondes sur son terminal de paiement.

Cette carte est-elle utilisable à l’étranger ?

Oui, vous pourrez utiliser votre carte de paiement sans contact à l’étranger chez tout commerçant acceptant ce mode de paiement. Les modalités de plafond peuvent varier.

Les établissements bancaires offrent-ils tous le choix de l’activation de la fonction paiement sans contact ? Quelles sont leurs obligations ?

Depuis la recommandation de la CNIL de juillet 2013, les porteurs de carte doivent être clairement informés de la fonctionnalité sans contact (article 32 de la loi « informatique et libertés ») et doivent pouvoir la refuser. Pour répondre à la demande des clients de ne pas avoir de carte sans contact : certaines proposent de distribuer une nouvelle carte identique aux anciens modèles, d’autres proposent une désactivation via le site internet de la banque et une prise en compte lors de la prochaine utilisation de la carte dans un distributeur automatique de billets. Ce cadre juridique n’empêche en aucun cas les banques de faire le choix de distribuer des cartes dont l’interface sans contact n’est pas active par défaut et qui peut être activée à la demande de l’utilisateur. Certaines banques ont d’ailleurs déjà fait ce choix.

Je ne souhaite pas avoir de carte de paiement sans contact, à qui m’adresser ?

Vous pouvez vous tourner vers votre banque dans un premier temps pour lui demander la désactivation ou la réédition gratuite d’une nouvelle carte sans cette fonctionnalité.

Je refuse cette nouvelle fonctionnalité et la banque ne répond pas à ma demande, que peut faire la CNIL ?

La banque a refusé de désactiver le sans contact gratuitement et sans condition ? Vous pouvez saisir la CNIL d'une plainte. Ajoutez toutes les preuves justificatives et le plus de détails possibles. La CNIL, après vérification qu’il s’agit bien d’une plainte et qu’elle dispose d’éléments suffisants, interviendra auprès de la banque. Parallèlement, vous pouvez saisir le médiateur de votre banque

Quelle sécurité pour les cartes sans contact ?

A la demande de la CNIL, sur les cartes émises depuis septembre 2012, le nom du porteur n’est plus lisible par l’intermédiaire de l’interface sans contact d’une carte bancaire. Et, depuis juin 2013, il n’est plus possible de lire l’historique des transactions. La réduction des données présentes sur la carte permet de réduire les risques d’atteintes à la vie privée. Ces données ne suffiraient pas à recréer de fausses cartes ou retirer de l’argent dans un distributeur automatique. La CNIL reste préoccupée par l’accessibilité des données. C’est pourquoi, dès juillet 2013, elle appelait le secteur bancaire à une adaptation constante des mesures de sécurité pour garantir que ces données ne soient pas collectées et réutilisées par des tiers.  Elle invite donc à la mise en œuvre des recommandations émises par l’Observatoire de la Sécurité des Cartes de Paiement dès 2007 et 2009 ainsi qu’à terme à un chiffrement des échanges, rendant tout accès aux données impossible. 

Après la carte sans contact, le paiement mobile ?

L’observatoire du NFC et du sans contact estime qu’il y a déjà 75 modèles de téléphones mobiles avec une fonctionnalité de paiement mobile sur le marché soit 6,5 millions d’appareils en France. Les professionnels considèrent que l’intégration de cette technologie dans l’iphone 6 devrait avoir des impacts significatifs sur le marché, même si aujourd’hui certains estiment que moins de 1% des paiements dans le monde sont réalisés avec un mobile. Pour que le paiement mobile sans contact se développe, il faut aussi que les commerçants soient équipés de terminaux de paiement sans contact. Aujourd’hui, seul 20,6% du parc de terminaux de paiement acceptent le sans contact.]]>
Actualités NFC Moyens de paiement Fiches pratiques Tue, 19 May 2015 14:39:00 +0200
Internet Sweep day : les sites pour enfants sont-ils respectueux de la vie privée ? http://www.cnil.fr/nc/linstitution/actualite/article/article/internet-sweep-day-les-sites-pour-enfants-sont-ils-respectueux-de-la-vie-privee/ Le 12 mai 2015, la CNIL et 28 autorités dans le monde mèneront, une opération conjointe d’audit en ligne pour examiner si les sites web destinés aux enfants respectent la vie privée.]]> Les résultats des précédents sweep day avaient démontré que de nombreux sites web et applications mobiles recueillent beaucoup de renseignements personnels, avec une information souvent insuffisante : information incomplète, voire absente, information difficile à trouver ou inadaptée à un écran de smartphone pour les applications mobiles (Voir l'article : "Internet Sweep day : des applications mobiles peu transparentes sur le traitement de vos données"). Or, les sites internet destinés aux enfants impliquent une attention particulière quant aux données collectées et aux mesures de protection mises en place.
En France, les enfants de 7 à 12 ans passent chaque semaine 5 heures sur internet et plus de 11 heures pour les adolescents de 13 à 19 ans (Ipsos/ Etude Connect 2014).
Cette année, 29 autorités de protection des données dans le monde, rassemblées au sein du GPEN (Global Privacy Enforcement Network)*, ont décidé de s’intéresser au respect de la vie privée par les sites à destination des enfants. Chaque autorité mènera donc, entre le 11 et le 15 mai, sur son territoire national des opérations d’audit. La CNIL a choisi le 12 mai pour examiner 50 sites à destination d’un jeune public. Il s’agira principalement de sites de jeux, de réseaux sociaux, ainsi que de sites offrant des services éducatifs ou de soutien scolaire. Concrètement, la CNIL et ses homologues vérifieront si les sites destinés au jeune public :
  • prévoient un accord parental avant l’utilisation des services et la collecte de données personnelles,
  • sensibilisent leur public aux enjeux de vie privée,
  • fournissent une information relative à la protection des données adaptée au jeune public visé (langage clair, animations, etc.),
  • facilitent la suppression des informations personnelles qui seraient transmises par des enfants.
Comme les années précédentes, la CNIL utilisera une grille d’analyse commune à l’ensemble des autorités participantes. Les résultats permettront de dresser un panorama mondial des pratiques des sites à destination des enfants, ainsi que des spécificités nationales. Ils devraient être rendus publics à l’automne 2015. Dans l’hypothèse où des manquements importants à la loi seraient relevés, la CNIL se réserve la possibilité d’effectuer des contrôles et, le cas échéant, d’engager des procédures de sanction. Au-delà de la collaboration entre autorités de protection des données, cette opération permettra de sensibiliser le public, notamment les parents d’enfants utilisateurs de services en ligne, ainsi que de promouvoir les bonnes pratiques auprès des acteurs du secteur.]]>
Actualités Internautes Internet Protection des mineurs Mon, 11 May 2015 14:30:00 +0200
Statistiques ethniques : quel cadre légal ? http://www.cnil.fr/nc/linstitution/actualite/article/article/statistiques-ethniques-quel-cadre-legal/ Le fait de constituer des fichiers faisant apparaître, directement ou indirectement, l’appartenance religieuse ou l’origine "ethnique ou raciale" vraie ou supposée des personnes est en principe interdit par la loi.]]> La loi "Informatique et Libertés" interdit, sauf exceptions limitativement énumérées, de recueillir et d’enregistrer des informations faisant apparaître, directement ou indirectement, les origines "raciales" ou ethniques, ainsi que les appartenances religieuses des personnes. En tout état de cause, de tels critères ne peuvent pas être utilisés pour opérer des tris et s’adresser à des populations ciblées. Le non-respect de la règle générale d’interdiction du « profilage communautaire » est passible d’une peine de cinq ans d’emprisonnement et de 300.000 € d’amende en application de l’article 226-19 du code pénal. Les responsables de tels fichiers peuvent également être sanctionnés par la CNIL. En 2008, deux sociétés qui effectuaient de la prospection commerciale ethnique pour un service de "rapatriement vers le pays d’origine" ont chacune fait l’objet d’une sanction pécuniaire de 15.000 €. Les dérogations à ce principe d’interdiction sont limitativement prévues par la loi, et soumises à des conditions strictes :
  • il est ainsi possible, lorsque cela est strictement nécessaire, d’enregistrer des informations "sensibles" avec l’accord écrit de la personne concernée ou lorsque celle-ci les a déjà révélées publiquement ;
  • bien évidemment, les associations ou organismes à caractère religieux peuvent aussi tenir des fichiers concernant leurs membres et les personnes avec lesquels ils entretiennent des contacts réguliers ;
  • chercheurs et statisticiens ont également la possibilité de conduire des études sur la diversité s’appuyant sur des données "sensibles", sous réserve de respecter l’encadrement rigoureux fixé par la loi et le Conseil constitutionnel. Celui-ci a notamment jugé, dans sa décision n° 2007-557 du 15 novembre 2007 portant sur la loi relative à l'immigration que « les traitements nécessaires à la conduite d'études sur la mesure de la diversité des origines des personnes, de la discrimination et de l'intégration (…) ne sauraient, sans méconnaître le principe énoncé par l'article 1er de la Constitution ([1]), reposer sur l'origine ethnique ou la race ».Seules des données « objectives » peuvent être traitées, dans des conditions garantissant la protection des données et l’anonymat des personnes, qui ont été précisées par la CNIL.

Pour approfondir :

  • Mesure de la diversité, statistiques ethniques, égalité des chances : les 10 recommandations de la CNIL pour mieux lutter contre les discriminations (mai 2007).
  • Mesurer pour progresser vers l'égalité des chances : la CNIL et le Défenseur des Droits publient un guide méthodologique à l'usage des acteurs de l'emploi (mai 2012).
]]>
Actualités Citoyens Origine raciale Statistiques Gestion des administrés Thu, 07 May 2015 11:17:00 +0200
Avis sur la création du fichier des auteurs d’infractions terroristes (FIJAIT) http://www.cnil.fr/nc/linstitution/actualite/article/article/avis-sur-la-creation-du-fichier-des-auteurs-dinfractions-terroristes-fijait/ Le Gouvernement a décidé de publier l’avis de la CNIL du 7 avril 2015, portant sur un projet de dispositions législatives visant à créer un fichier national des auteurs d’infractions terroristes (FIJAIT).]]> Les avis de la CNIL portant sur un projet de loi ne peuvent être rendus publics que si le Gouvernement ou le Président d’une Commission permanente de l’une des deux assemblées en fait la demande (article 11-4°-a) de la loi « Informatique et Libertés »). Le Gouvernement a procédé à la publication de la délibération de la Commission sur son site internet (www.gouvernement.fr).  La CNIL s’est prononcée, lors de la séance plénière du 7 avril 2015, sur un projet de dispositions législatives visant à modifier le code de procédure pénale (CPP) en y insérant une section relative au fichier national des auteurs d’infractions terroristes (FIJAIT), dans leur version alors envisagée par le Gouvernement. La Commission a ainsi relevé que le traitement envisagé était proche du fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (FIJAISV), sur lequel elle s’est prononcée à plusieurs reprises et qui a fait l’objet d’un examen tant par le Conseil Constitutionnel que par la Cour européenne des droits de l’homme. Il s’agit ainsi de créer un fichier d’adresses spécifiques à une catégorie particulière d’infractions liées au terrorisme afin d’assurer un suivi des personnes qui y sont inscrites au travers de différentes obligations (justification d’adresses, des déplacements à l’étranger, etc.).  Dans la mesure où des garanties identiques au FIJAISV ont été prévues pour le FIJAIT, la Commission a considéré que celles-ci étaient a priori de nature à assurer un équilibre entre le respect de la vie privée et la sauvegarde de l'ordre public. Toutefois, la Commission a considéré qu'il lui appartenait de s'assurer, de manière effective, qu'il n'était pas porté une atteinte excessive au respect des droits et libertés fondamentaux. En particulier, elle a formulé des observations sur les points suivants : 
  • Sur la durée de conservation des données, la Commission a notamment relevé que dans la mesure où, par nature, le FIJAIT constitue un fichier d'adresses utilisé aux fins de suivi des personnes concernées, la conservation d'adresses non mises à jour n'apparait pas utile, ce qui est le cas des adresses conservées au-delà de la date de fin des obligations des personnes concernées. De même, la conservation de données qui pourraient déjà figurer dans d'autres fichiers judiciaires (TAJ et casier judiciaire, par exemple) ou de renseignement (tel CRISTINA) au-delà de la fin des obligations n'apparaît pas davantage nécessaire à la poursuite des finalités du FIJAIT. Elle a estimé que le dispositif projeté ne serait conforme aux dispositions de la loi du 6 janvier 1978 modifiée que dans la mesure où seules des données exactes et pertinentes y seraient conservées après cette date.
  • Sur l'inscription automatique des personnes inscrites au FIJAIT dans le FPR, le Gouvernement justifie cette inscription automatique par la nécessité pour les services du ministère de l'intérieur en charge du contrôle aux frontières d'identifier si la personne se trouve en violation de ses obligations. La Commission a dès lors considéré que seuls ces personnels devraient avoir accès à la situation des personnes inscrites au FIJAIT, à cette seule fin, et non l'ensemble des forces de sécurité publique ayant accès au FPR, comme le permet actuellement le projet de loi.
  • Sur les destinataires des données, la Commission a tout d'abord précisé que les autorités judiciaires et les services spécialisés de renseignement ne devaient pouvoir accéder au FIJAIT que dans le seul cadre de leurs missions de lutte contre le terrorisme, ce qui devrait figurer expressément dans les dispositions législatives projetées. Elle a également relevé que s'agissant des préfets et administrations de l'État, le périmètre des enquêtes leur permettant de recevoir communication des données était imprécis et a appelé l'attention du Gouvernement sur la nécessité de le restreindre à certaines activités ou professions en lien avec les infractions pouvant donner lieu à une inscription dans le fichier.
La CNIL restera particulièrement attentive aux éventuelles évolutions de ces dispositions législatives ainsi qu'aux conditions effectives de mise en œuvre de ce nouveau fichier. Elle rappelle qu'il est expressément prévu qu'un décret en Conseil d'État, qui lui sera soumis, précise les modalités et conditions d'application de celles-ci. Ce décret sera ainsi l'occasion de vérifier le respect des engagements pris par le Gouvernement devant la Commission (sur le contrôle du fichier par un magistrat, sur les données enregistrées dans le FIJAIT, sur les modalités et les cadres d'accès à ce dernier, sur les modalités d'information des personnes concernées et d'exercice de leurs droits, etc.).]]>
Actualités Fichiers de Police Tue, 21 Apr 2015 17:04:00 +0200
Bilan 2014 : les données personnelles au cœur du débat public et des préoccupations des Français http://www.cnil.fr/nc/linstitution/actualite/article/article/bilan-2014-les-donnees-personnelles-au-coeur-du-debat-public-et-des-preoccupations-des-franca/ L’actualité nationale et internationale a placé les données personnelles au centre du débat public : droit au déréférencement, projet de loi sur le numérique, projet de loi renseignement, rapport du Conseil d’Etat, règlement européen, etc.]]>

Protéger sa vie privée en ligne : une préoccupation croissante des citoyens

Répartition des demandes de citoyens

En 2014, la CNIL a enregistré environ 5825 plaintes, ce qui correspond à une légère hausse des demandes (+3%). 39% de ces plaintes concernent des problématiques d’e-réputation : suppression de textes, photographies, vidéos, coordonnées, commentaires, faux profils en ligne, la réutilisation de données publiquement accessibles sur internet,  etc. Depuis la décision de la Cour de Justice de l’union Européenne en mai 2014, la CNIL a reçu 200 plaintes consécutives à des refus de déréférencement par les moteurs de recherche.  En plus d’internet, les autres secteurs concernés par les plaintes sont  les suivants :

Commerce

(16% des plaintes reçues) : radiation de fichiers publicitaires, conservation coordonnées bancaires, fichiers clients, opposition à recevoir des courriels publicitaires ;
M. F a réalisé un achat sur internet auprès de la société B. A la suite de cet achat, il a reçu de nombreux courriels de prospection commerciale. Un lien de désabonnement étant proposé, il l’utilise pour ne plus recevoir de prospection mais continue à recevoir les courriels. Deux mois après avoir exercé son droit d’opposition à recevoir de la prospection commerciale auprès de la société, il sollicite la CNIL afin que sa demande soit prise en compte. La CNIL a rappelé à la société que toute personne physique a le droit de s’opposer à ce que ses données soient utilisées à des fins de prospection. M. G n’a plus reçu de messages commerciaux de la société B.

Gestion des ressources humaines

(14% des plaintes reçues qui émanent de salariés ou de syndicats) : vidéosurveillance (300 plaintes), géolocalisation, accès au dossier professionnel, cybersurveillance ;
Une monitrice d’auto-école saisit la CNIL car son employeur a mis en place, sur sa voiture, un système de géolocalisation alors qu’elle est autorisée à l’utiliser en dehors de son temps de travail. La CNIL a effectué un contrôle sur place à l’issue duquel le gérant a enlevé le dispositif de géolocalisation.

Banque 

(12% des plaintes reçues) : le motif principal de plainte est la contestation de l’inscription au FICP (fichier national des incidents de remboursement des crédits aux particuliers, ou au FCC (fichier central des chèques et des retraits de cartes bancaires).
A la suite de sa perte d’emploi, Mme G a eu des difficultés pour payer son prêt à la consommation. Après deux mensualités impayées, sa banque l’a inscrite au FICP. Mme G a retrouvé un emploi et a remboursé intégralement sa dette. Un an après, elle a sollicité un prêt immobilier auprès d’une autre banque qui le lui a refusé au motif qu’elle était inscrite au FICP. Mme G n’arrivant pas à obtenir sa radiation du fichier d’incident a sollicité la CNIL.
La CNIL a rappelé à la banque qu’elle devait procéder à la radiation de l’incident immédiatement après le remboursement intégral de la dette par l’intéressé. Mme G a finalement été défichée.

Libertés publiques et collectivités locales

(11% des plaintes reçues) : élections municipales, presse en ligne, diffusion par les collectivités locales de documents publics sur internet, réutilisation de données publiques.
Un propriétaire dont le bien a été vendu aux enchères retrouve l’ensemble des documents concernant la vente, en ligne, sur le site d’un cabinet d’avocat. La CNIL est intervenue auprès de ce professionnel du droit pour lui rappeler ses obligations en matière de confidentialité des données. Les éléments ont été supprimés du site.

L’opposition à figurer dans un fichier, tous secteurs confondus, constitue le principal motif de plaintes, ainsi que l’exercice du droit d’accès.

Un nouveau service de plaintes en ligne depuis avril 2015

Les plaintes en ligne ont été étendues à de nouveaux cas de plaintes. Désormais, les internautes peuvent naviguer parmi une cinquantaine de cas correspondant aux plaintes les plus fréquentes. Le service permet ainsi de répondre :
  • aux difficultés liées à la suppression de données personnelles sur des sites, blogs, forums, réseaux sociaux ou des moteurs de recherches ;
  • aux problèmes liés au spam et à la prospection commerciale par courrier, courriel ou par téléphone ;
  • aux questions de surveillance des salariés ;
  • aux inscriptions dans les fichiers d’incidents de paiement (Préventel, FICP, FCC chèques ou cartes bancaires).

Des demandes de droit d’accès indirect en forte croissance   

En 2014, la CNIL a reçu 5246 demandes de droit d’accès indirect, soit une augmentation de 22% par rapport à 2013. Ces demandes reçues représentent un total de 7577 vérifications à mener concernant par ordre d’importance : le fichier FICOBA de l’administration fiscale,  les fichiers d’antécédents judicaires de la police et de la gendarmerie (fichier unique TAJ depuis le 1er janvier 2014) et les fichiers de renseignement.

Evolutiond es demandes de droit d'accès indirect de 2012 à 2014

Madame L a adressé à  la CNIL une demande de droit d’accès indirect car, si dans le cadre d’une enquête de moralité réalisée dans la perspective du concours d’accès à l’Ecole Nationale de la Magistrature, un avis favorable a été émis, elle a appris à cette occasion qu’elle faisait l’objet d’une inscription dans le fichier d’antécédents judiciaires pour des faits qu’elle n’avait pas commis. Tel était bien le cas et cette affaire de «complicité d’escroquerie », qui aurait pu lui faire perdre le bénéfice de ce concours, a été effacée.
Monsieur D, a saisi la CNIL après que le Préfet de son département lui a signifié une probable abrogation de son agrément en qualité d’agent de police municipale au motif de son inscription dans le fichier d’antécédents judiciaires. Au terme des vérifications, l’affaire concernée (« refus d’obtempérer, mise en danger de la personne, défaut de permis de conduire ») a été supprimée dans la mesure où il n’était nullement le mis en cause, mais la victime.
Monsieur L., préoccupé par l’absence de réponse obtenue quant à la délivrance de sa carte professionnelle d’agent de sécurité privée a souhaité exercer son droit d’accès indirect. Aux termes des vérifications menées, une affaire de « violences volontaires et d’outrage à agent de la force publique » enregistrée à son nom dans ce fichier a été supprimée car, commise par un tiers qui avait usurpé son identité.
Si on cumule les plaintes et les demandes de droit d’accès indirect, ce sont donc plus de 11 000 demandes individuelles qui ont été adressées à la CNIL en 2014, auxquelles s’ajoutent 133 000 appels téléphoniques reçus (contre 124 500 appels reçus en 2013). Ces chiffres témoignent donc de la sensibilité croissante des personnes quant à la protection de leurs données personnelles dans un univers numérique marqué par la très forte circulation de ces données.

Une action répressive avec des pouvoirs de contrôle renforcés

La logique de la loi et son application par la CNIL visent avant tout la mise en conformité des organismes mis en cause. A chaque phase d’instruction d’une plainte et/ou d’un contrôle, ceux-ci ont la possibilité de suivre les mesures recommandées par la CNIL pour se mettre en conformité. Dans l’immense majorité des cas, la simple intervention de la CNIL se traduit par une mise en conformité de l’organisme. Le prononcé de sanction par la CNIL permet de sanctionner des organismes qui persistent dans des comportements répréhensibles, et constitue donc un instrument de dissuasion important. 62 mises en demeure ont été adoptées (contre 57 en 2013), dont 69% d’entre elles ont donné lieu à une mise en conformité. Plusieurs mises en conformité sont encore en cours.
18 sanctions (contre 14 en 2013) ont été prononcées par la formation restreinte, dont 8 sanctions pécuniaires. La CNIL a réalisé 421 contrôles en 2014, dont les premiers contrôles en ligne. A l’occasion de l’adoption de la loi relative à la consommation du 17 mars 2014, la CNIL s’est vue reconnaître la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Cette adaptation du pouvoir d’investigation de la CNIL au développement numérique, vient s'ajouter aux autres moyens d'enquête déjà existants : contrôles sur place au sein des organismes, auditions sur convocation à la CNIL et contrôles sur pièces. Elle offre à la CNIL l’opportunité d’être plus efficace et réactive dans un univers en constante évolution. Elle peut ainsi plus rapidement constater et agir contre les atteintes à la protection des données et à la vie privée sur internet. Au total, 58 contrôles en ligne ont ainsi pu être effectué entre octobre et décembre 2014, sur plusieurs thématiques, dont :
  • la conformité des pratiques des acteurs du web à la recommandation cookies et autres traceurs, adoptée par la CNIL le 5 décembre 2013 ;
  • la publication des listes d’électeurs sur les sites web des Universités ;
  • la sécurité relative aux formulaires de demande en ligne d’actes d’état civil sur les sites des communes.

Les données personnelles, au cœur du débat public

En 2014, le débat public s’est fortement structuré autour de la protection des données personnelles et des libertés numériques en France et ailleurs. On peut citer notamment le rapport du Conseil d’Etat sur le numérique ou la consultation du CNNum sur le projet de loi numérique, auxquels la CNIL a largement contribué.  Elle a publié en janvier 2015 ses propositions qui comportent notamment : un droit à l’oubli pour les mineurs, des sanctions renforcées, la saisine systématique de la CNIL dans le cadre des propositions de loi.
Ce débat se poursuit en 2015 avec le projet de loi relatif au renseignement au sujet duquel l’avis de la CNIL a été rendu public, à la demande du Président de la Commission des Lois de l’Assemblée Nationale. La CNIL a aussi été très attentive au projet de loi santé, et notamment son article 47 relatif aux  modalités d’ouverture des données de santé. Au plan international, les suites des révélations d’Edward Snowden et les débats autour du droit au déréférencement consacré par la CJUE ont alimenté les discussions. En 2015, le projet de règlement européen sur les données personnelles sera un enjeu central, de même que les mesures visant à une lutte coordonnées de l’Europe contre le terrorisme (PNR, etc.). La CNIL, comme le G29, dont la CNIL occupe la Présidence pour deux ans, sera très active dans l’ensemble de ces débats et s’attachera à garantir un équilibre entre libertés, sécurité et innovation. ]]>
Actualités Presse Vie de la CNIL Missions Contrôles Droit d'accès Droit à l'oubli Renseignements généraux Prévention du terrorisme Thu, 16 Apr 2015 11:00:00 +0200
Enjeux 2015 (1) : libertés et sécurité, quel équilibre ? http://www.cnil.fr/nc/linstitution/actualite/article/article/enjeux-2015-1-libertes-et-securite-quel-equilibre/ Depuis les révélations d’Edward Snowden et à nouveau, avec les attaques terroristes perpétrées en janvier 2015 en France, l’équilibre entre libertés et sécurité est débattu. ]]> En 2013, E. Snowden a levé le voile sur la surveillance massive et généralisée de l’ensemble de la population par des acteurs privés, pour le compte d’acteurs publics. Ses révélations questionnent toutes les démocraties et les réponses que celles-ci élaborent face à une menace terroriste croissante. Les attaques terroristes de janvier 2015 ont de nouveau placé en haut de l’agenda des gouvernements le renforcement des moyens de lutte contre le terrorisme. Pour trouver de réelles voies d’action pour faire face à la situation actuelle, il faut sortir d’une opposition binaire entre sécurité et liberté. Le respect des libertés fondamentales n’est pas contradictoire avec l’impératif de sécurité : c’est le garde-fou de nos démocraties,. Libertés et sécurité sont donc indissociables, et leur équilibre dépend des garanties et des modalités de contrôles dont elles sont assorties. Le propre d’un Etat de droit est en effet de se doter des outils légaux nécessaires pour répondre aux menaces, mais en les assortissant de garanties suffisantes pour rester fidèle aux principes et aux valeurs qui le fondent. C’est précisément le rôle de la CNIL de contrôler cet équilibre fragile et de prévenir les dérives éventuelles, au plan national comme sur les dossiers européens. Pour ce faire, trois leviers d’action sont possibles :

Nous rassembler entre européens autour de nos valeurs communes.

C’est ce que le groupe des CNIL européennes, le « G29 », a proposé dans une déclaration le 8 décembre dernier à l’occasion d’une conférence internationale à l’UNESCO. Cette déclaration pose le principe d’un nécessaire équilibre entre protection des données personnelles, innovation et surveillance, et met en avant la nécessité de mettre en œuvre des dispositifs ciblés et non massifs en matière de surveillance. Elle propose également un certain nombre de mesures opérationnelles, notamment en matière d’ordre public.

Exiger un niveau de garantie élevé pour prévenir les risques d’abus de dispositifs par nature intrusifs.

C’est une exigence absolue de nos Etats de droit. L’annulation de la directive sur la rétention des données de connexion par la Cour de Luxembourg en 2014 conforte  le besoin d’une approche proportionnée et accompagnée de garanties effectives pour mettre en œuvre ces dispositifs. C’est à la lumière de ces mêmes principes que la CNIL a été saisie par le Gouvernement sur le PNR français qui permet la collecte de données des passagers aériens lors des vols à destination et en provenance du territoire national. Elle a, dans le cadre de l’examen du décret publié le 26 septembre 2014, demandé et obtenu des garanties fortes (information des personnes, durée de conservation limitée, absence de données « sensibles », etc.).

Renforcer le contrôle en aval de ces dispositifs.

Une personnalité qualifiée au sein de la CNIL est chargée depuis février 2015 de contrôler le blocage administratif des sites provoquant des actes de terrorisme ou en faisant l’apologie ainsi que les sites à caractère pédopornographique. Ce contrôle vise à s’assurer que le blocage n’est pas disproportionné afin d’éviter tout « sur blocage ». Dans le cadre du projet de loi relatif au renseignement, la CNIL a rendu un avis le 5 mars 2015, dans lequel elle a été très attentive aux modalités de contrôle des fichiers de renseignement. Ces fichiers bénéficient actuellement d'un cadre législatif spécifique interdisant le contrôle de leur régularité du point de vue de la loi Informatique et Libertés. Or, un tel  contrôle général constitue une exigence fondamentale afin d'asseoir la légitimité démocratique de ces fichiers dans le respect des droits et libertés des citoyens. La CNIL a proposé que le projet de loi lui permette d'exercer un tel contrôle, selon des modalités particulières, adaptées aux activités des services de renseignement, et en coopération avec la CNCTR (Commission Nationale de Contrôle des Techniques de Renseignement). Cette proposition n'a pour l'heure pas été suivie d'effet.]]>
Actualités Prévention du terrorisme Société de Surveillance Vie de la CNIL Presse Thu, 16 Apr 2015 10:55:00 +0200
Enjeux 2015 (2) : la protection des données, clé de voûte de l’innovation http://www.cnil.fr/nc/linstitution/actualite/article/article/enjeux-2015-2-la-protection-des-donnees-cle-de-voute-de-linnovation/ Alors que les innovations numériques reposent sur les données personnelles, une protection optimale de ces données constitue un impératif pour nos concitoyens, mais aussi un avantage concurrentiel.]]> Nombreux sont ceux qui, ces dernières années, ont tenté d’opposer artificiellement innovation et protection des données, voyant dans la loi « informatique et libertés » un obstacle potentiel au développement de nouveaux services ou technologies, notamment liés au « big data ». Or, loin d’une telle affirmation stérile et erronée, l’expérience concrète des projets montre que la protection des données personnelles et l’innovation sont aujourd’hui indissociables à l’ère numérique. La confiance des consommateurs dans l’économie numérique et les nouveaux services qui leur sont proposés est en effet subordonnée à la protection effective de leurs données. Une illustration en est fournie en matière de cloud : à la suite des révélations de M. Snowden, un rapport de l’Information Technology and Innovation Foundation a évalué les pertes pour les sociétés américaines à $22 milliards de dollars. Dans le même temps, les sociétés américaines ou européennes comprennent désormais qu’il ne s’agit pas seulement d’une question d’image, mais aussi d’une question de compétitivité. Au-delà des mots, c’est dans l’accompagnement concret de services opérationnels que la CNIL est quotidiennement engagée. Ainsi, si certains font valoir une nouvelle « révolution » du big data, permettant de croiser de manière quasi-universelle des volumes considérables de données pour faire émerger de nouveaux services il apparaît que le « big data » présente certes un caractère inédit par son échelle, mais s’inscrit dans le prolongement de processus classiques de croisements de données à des fins de profilage. Ce ne sont pas nécessairement les principes Informatique et Libertés qu’il faut remettre en cause mais c’est assurément les outils de la régulation qu’il faut adapter. C’est donc dans un état d’esprit pragmatique, ouvert et soucieux d’accompagner l’innovation que s’inscrit la CNIL. Elle a, à cet égard, organisé ses services et adapté ses modes de travail pour être au plus près de ses publics et des innovations. En promouvant le passage d’une logique de formalités administratives à une logique de conformité tout au long de la vie du traitement de données, la CNIL positionne ainsi l’innovation au cœur de son action et de son fonctionnement. Quelques exemples en témoignent :
  • La constitution d’un « pôle innovation et prospective », depuis plus de trois ans, porte ses fruits : la CNIL est désormais en contact avec de très nombreuses start-up ou pépinières de talents, qu’elle conseille dès la conception de leurs produits pour une protection optimale des données ;
  • La CNIL mène par ailleurs une activité de recherche, souvent en liaison avec des laboratoires, pour tester les dispositifs innovants ou proposer des solutions. Ainsi, le projet Mobilitics avec Inria constitue le premier projet d’expérimentation dans des conditions réelles permettant de connaître tous les échanges de données entre un smartphone et des entités tierces. De même, le logiciel Cookieviz, développé en open source par la CNIL, a été téléchargé plus de 100 000 fois et permet à des internautes de voir concrètement, et tous navigateurs confondus, la face cachée de leur navigation.
  • Enfin, la CNIL organise chaque année des rencontres thématiques réunissant l’ensemble d’un écosystème numérique : après une journée dédiée à l’open data, la CNIL a ainsi organisé en janvier 2015 une matinée dédiée à la voiture connectée, qui a rassemblé pour la première fois l’ensemble des acteurs de la filière.
Pour la CNIL, l’innovation n’est donc ni un mot, ni une notion abstraite : c’est une réalité, expérimentée et accompagnée quotidiennement dans le cadre d’outils innovants. En effet, au-delà de la connaissance de nouvelles pratiques ou technologies, la CNIL innove dans les modalités d’accompagnement de ces acteurs. C’est ainsi que la Commission a mis en place un nouvel outil de régulation, les « packs de conformité ». Elaborés en concertation avec les acteurs d’un secteur, ces packs regroupent des bonnes pratiques permettant de décliner les droits et obligations de la loi informatique et libertés pour les acteurs du secteur en question, et des instruments de simplification des formalités administratives (normes simplifiées, autorisations uniques, dispenses de déclarations, etc.). L’objectif est ainsi de fournir un cadre juridique et pratique sûr et adapté aux besoins d’un secteur donné. Plusieurs « packs » ont déjà été adoptés, pour les assurances, le logement social ou la domotique. Deux autres (banque et secteur social) sont en cours d’élaboration. Prolongeant les packs, la CNIL a également mis en place des « clubs conformité », qui réunissent de manière informelle les acteurs d’un secteur pour mieux identifier les innovations et les questions pratiques émergentes. Les labels s’inscrivent dans la même logique de responsabilisation des acteurs et de simplification. Lucidité sur les enjeux, expérience concrète de l’innovation, ouverture aux acteurs et nouveaux modes de régulation sont donc les orientations de la CNIL pour accompagner le développement d’un numérique durable.]]>
Actualités Prospective pack de conformité Labellisation Presse Thu, 16 Apr 2015 10:50:00 +0200
Enjeux 2015 (3) : quels nouveaux droits pour mieux maîtriser ses données ? http://www.cnil.fr/nc/linstitution/actualite/article/article/enjeux-2015-3-quels-nouveaux-droits-pour-mieux-maitriser-ses-donnees/ Pour être durables, les nouveaux modèles numériques doivent se construire autour de l’utilisateur. Comment lui redonner une véritable capacité de maîtrise et d’arbitrage sur ses données ? ]]> Si les utilisateurs ne font pas confiance aux services de l’économie numérique, ils ne les utiliseront pas. Cette exigence de confiance est fondamentale, mais elle est encore loin d’être satisfaite à en croire plusieurs études menées par la Commission européenne : ainsi, plus de 90% des Européens* s’inquiètent du fait que des applications mobiles collectent leurs données sans leur consentement (* Source : SPECIAL EUROBAROMETER 359 - Attitudes on Data Protection and Electronic Identity in the European Union, June 2011). Le projet de règlement sur la protection des données, en cours de négociations à Bruxelles, vise à favoriser le développement de cette confiance en Europe, en particulier en renforçant la capacité des citoyens à contrôler l’usage de leurs données. Pour ce faire, le projet de texte prévoit un véritable « droit à l’oubli », un « droit à la portabilité » des données, ainsi que le droit des personnes d’être informées des failles ayant affecté leurs données personnelles.  Le « droit à l’oubli » permettra d’obtenir la suppression des données de l’utilisateur si celui-ci souhaite qu’elles ne soient plus traitées et s’il n’y a pas de motif légitime pour qu’une entreprise les conserve. Appliqué aux moteurs de recherche, ce droit à l’oubli s’entend comme un « droit au déréférencement » sur lequel la CNIL et ses homologues européens ont adopté des lignes directrices communes en 2014. Une idée fausse encore répandue  consiste à soutenir que ce droit permet d’effacer le passé ou de restreindre la liberté de la presse. Tel n’est pas le cas. Le droit à l’oubli permet aux personnes de contrôler l’impact de la diffusion de leurs données sur leur vie personnelle et professionnelle. La pratique quotidienne de la CNIL et de ses homologues européens attestent de l’importance sociale de ce droit. Le texte vise également à garantir aux personnes un accès libre et aisé à leurs données personnelles, pour qu’elles puissent voir plus facilement quelles sont celles dont disposent les entreprises et les pouvoirs publics et qu’elles puissent transférer leurs données facilement et gratuitement d’un prestataire de services à un autre – c’est le principe de « portabilité des données ». Il s’agit de permettre aux personnes de ne pas demeurer captives d’un seul écosystème numérique et de pouvoir migrer vers d’autres, notamment quand ceux-ci s’avèreraient plus protecteurs en matière de vie privée. Le texte prévoit enfin une obligation de notification des failles, en imposant aux organisations d’informer les intéressés et l’autorité compétente en matière de protection des données dans les meilleurs délais – dans la mesure du possible, dans les 24 heures – si des données sont accidentellement ou illégalement détruites, perdues, altérées, consultées par des personnes non autorisées ou divulguées à de telles personnes. Aujourd’hui, seuls les opérateurs de communication électronique sont soumis à cette obligation de notification des failles. La CNIL et ses homologues européens apportent leur plein et entier soutien aux nouveaux droits prévus par le texte. De façon plus opérationnelle et afin de donner aux citoyens la possibilité d’exercer pleinement leurs droits, la CNIL a pris plusieurs initiatives :
  • Mise en ligne, le 28 janvier 2015, à l'occasion de la journée européenne de la protection des données, d’un nouvel espace entièrement dédié aux droits des citoyens en matière de données personnelles. La CNIL y explique les droits et propose de nombreux conseils pour les exercer plus facilement.
  • Ouverture en avril 2015 d’un nouveau service de plaintes en ligne étendu à de nouveaux cas de plaintes.
  • Lancement à partir de mai 2015 d’un service de réponses en ligne pour accompagner les particuliers au quotidien dans l’exercice de leurs droits.
]]>
Actualités Droit à l'oubli Droit d'accès Vie de la CNIL Presse Wed, 15 Apr 2015 10:45:00 +0200
La numérisation du commerce de détail http://www.cnil.fr/nc/linstitution/actualite/article/article/la-numerisation-du-commerce-de-detail/ Rendre les magasins plus « connectés » devient une préoccupation majeure des commerçants. La nouvelle lettre IP fait le point sur cette numérisation croissante de la consommation en magasin, qui implique la prise en compte d’un nombre grandissant de données. ]]> Pour s’adapter à l’évolution des modes de consommation – caractérisée par une fusion progressive des univers physique et numérique – certains commerçants utilisent désormais des capteurs ou technologies qui enrichissent l’expérience de consommation en magasin.  Au-delà des dispositifs de mesure de fréquentation et d’analyse du comportement des consommateurs, l’innovation est aussi guidée par une recherche de l’hyperpersonnalisation de la relation client en mobilisant tout un ensemble d’informations liées au contexte de l’utilisateur. Suivre ses déplacements dans le magasin, connaitre ses préférences, analyser son historique de transactions et simplifier la phase du paiement, deviennent des axes essentiels dans la numérisation du shopping. 

Figure 1 : Exemples de numérisation du parcours client

Exemple de numérisation du parcours client Les frontières traditionnelles entre les univers du paiement et de la fidélité sont donc de plus en plus floues. Les nouveaux moyens de paiement, qui prennent souvent la forme d’applications mobiles, intègrent ainsi des données portant sur l’ensemble de la relation commerciale.  La nouvelle Lettre Innovation et Prospective propose de s’intéresser à ces enjeux et d’anticiper les mutations à venir.]]>
Actualités Marketing Consommation commerce marketing Gestion du contentieux Publicité SPAM Surveillance des locaux commerciaux E-commerce Géolocalisation Tue, 31 Mar 2015 10:08:00 +0200