9 mars 2010

Santé et Biotechnologies Assistance médicale à la procréation Avis du CCNE sur l’assistance médicale à la procréation chez les couples présentant un risque de transmission virale – Réflexion sur les responsabilités Les couples dont l’un des membres ou les deux présentent un risque viral comme le VIH ressentent généralement un sentiment de discrimination concernant l’assistance médicale à la procréation (AMP). Les médecins entendant leur cause se sentent pour leur part tiraillés entre l’envie de satisfaire leurs patients désireux de s’assurer une progéniture et le devoir de protéger les intérêts et l’avenir de l’enfant. C’est pourquoi le Comité consultatif national d’éthique (CCNE) étudie cette question en se penchant sur trois cas. Premièrement, il s’intéresse aux couples sérodifférents dont la femme est séropositive pour le VIH, puis à la prise en charge en AMP des couples dont l’homme et la femme sont séropositifs pour le VIH et enfin à la prise en charge des couples dont l’un ou les deux membres présentent plusieurs risques viraux. Entre devoir d’information et critère d’accès à l’AMP, le CCNE essaye dans ce court exposé de la situation, d’aider la médecine à faire face au cas de conscience que pose ces couples au désir légitime. Avis du CCNE n°069 (Mise en ligne Novembre 2001)

Santé et Biotechnologies Assistance médicale à la procréation Avis du CCNE sur l’extension du diagnostic préimplantatoire Le diagnostic préimplantatoire consiste à faire un diagnostic réalisé in vitro sur une ou deux cellules de plusieurs embryons, afin d’en sélectionner un qui soit indemne de l’affection redoutée pour le transférer in utero. A l’heure actuelle, cette pratique est extrêmement encadrée, eu égard aux risques de dérives, comme l’instrumentalisation de l’enfant. Réduit au cas des maladies génétiques d’une particulière gravité reconnues comme incurables, le Comité consultatif national d’éthique (CCNE) recherche s’il est possible d’élargir cette pratique pour les cas d’atteinte de la maladie de Fanconi et de la maladie de Hunington. Etudiant ces hypothèses sous l’angle éthique, scientifique et pratique, le CCNE conclut que les précautions à prendre dans ce domaine ont pour objectif de parer à une possible dérive conceptuelle que la société peut avoir de l’humain, qui deviendrait un moyen et non une fin. Il est d’ailleurs rappelé le principe selon lequel l’intérêt du tiers ne doit jamais nuire à l’intérêt de l’enfant à naître. Avis du CCNE n°072 (Mise en ligne Juillet 2002)

Santé et Biotechnologies Assistance médicale à la procréation Avis du CCNE sur les questions éthiques soulevées par le développement de l’ICSI L’ICSI (intra cytoplasmic sperm injection) consiste en une micro-injection d’un spermatozoïde dans le cytoplasme de l’ovocyte. S’emparant des séquelles en terme de transmission de maladies génétiques à l’enfant né de cette technique, le Comité consultatif national d’éthique appelle à la vigilance concernant l’utilisation de ce procédé qui reste un moyen en dernier ressort et non pas en première instance. A la lecture de cet avis, la carence législative est constamment soulignée. S’appuyant sur ce fait et plus généralement sur la discrétion qui entoure cette technique pourtant répandue à l’heure actuelle, le Comité met la puce à l’oreille du lecteur en insistant sur l’intérêt de l’enfant parfois négligé au profit de l’engouement pour cette technique. Le bien-être des générations futures dépend des questions que nous nous posons aujourd’hui et il n’est pas opportun d’attendre l’observation des résultats pour prendre des précautions. Avis du CCNE n°075 (Mise en ligne Décembre 2002)

Sécurité des systèmes d’information Passeport biométrique Mise en place en France de passeports électroniques biométriques Le décret du 30 décembre 2005 permet la mise en place en France de passeports électroniques biométriques contenant d’une part les données habituelles contenues par les passeports et d’autre part l’image numérisée de leur titulaire. Il a pour finalité de faciliter l’authentification de son détenteur, de lutter contre la fraude documentaire et de simplifier la vie quotidienne des administrés, ce passeport permettant à toute personne de justifier de son identité. Une puce sans contact sera intégrée au nouveau passeport comportant l’ensemble des données habituelles des passeports (nom de famille, prénoms, couleur des yeux, taille, nationalité, domicile, date de délivrance, numéro de passeport etc.) ainsi que l’image numérisée de son titulaire. Sa durée de validité sera de dix ans et de cinq ans pour les mineurs. Le décret prévoit un titre 2 concernant les traitements automatisés de données à caractère personnel relatifs à délivrance du passeport électronique. Dans un souci de respect de la loi Informatique et libertés du 6 janvier 1978, le décret précise les catégories de données qui pourront être traitées par le Ministre de l’intérieur. Les destinataires de ces données sont également prévus. Il s’agit de certains fonctionnaires du Ministère de l’intérieur et du Ministère des affaires étrangères, des agents des préfectures et des sous-préfectures chargés de la délivrance des passeports, des agents diplomatiques et consulaires chargés de la délivrance des passeports et également des personnels chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité de l’authenticité des passeports au sein des services de la police nationale, de la gendarmerie nationale et des douanes. Le décret précise également les possibilités d’interconnexion entre ce système de traitements automatisés et les systèmes d’information Schengen et Interpol. La durée de conservation de ces données est fixée à quinze ans pour les passeports délivrés au majeurs et de dix ans lorsqu’ils sont délivrés à des mineurs. Enfin, le décret précise les conditions de l’exercice du droit d’accès et de rectification des titulaires des passeports auprès des autorités de délivrance, étant précisé que les titulaires de passeport n’ont pas de droit d’opposition conformément à l’article 38 de la loi du 6 janvier 1978. Ce décret fait suite à l’avis favorable rendu par la Cnil le 22 novembre 2005 relatif au projet de décret concernant « les passeports électroniques ». La Cnil considère que la mise en place de ces nouveaux passeports biométriques, faisant suite au règlement européen du 13 décembre 2004, prévoit des mesures de sécurité satisfaisantes pour garantir l’authentification, la confidentialité et l’intégrité des données. Ainsi, les données ne pourront être lues que si le passeport est présenté ouvert les échanges de données entre la puce sans contact et le lecteur seront cryptés et le contenu de la puce sera limité aux informations figurant déjà sur le passeport. La Cnil relève également que la production des passeports sera centralisée et prend acte des précautions particulières prises par le Ministère de l’intérieur quant à l’externalisation de la production des nouveaux titres. La Cnil note enfin que le Ministère de l’intérieur n’envisage pas pour l’heure que la photographie numérisée du titulaire du passeport soit utilisée dans le cadre de dispositifs automatisés de reconnaissance faciale en France, même si une telle reconnaissance faciale pourrait intervenir à l’étranger. La Cnil émet cependant deux souhaits.Elle demande à être informée dans un délai de trois mois du renforcement des mesures prises pour assurer le contrôle des accès au fichier national des passeports, une personne devant être désignée pour assurer le contrôle effectif des consultations de ce fichier. Ces nouveaux passeports biométriques devraient être mis en place en France dès octobre 2006. Le décret n° 2005-1726 relatif au passeport électronique et paru le 30 décembre 2005 (Mise en ligne Décembre 2005)

Sécurité des systèmes d’information Passeport biométrique La fabrication des passeports biométriques réservée à l’imprimerie nationale Le 3 mars 2006, le Conseil d’Etat a confirmé l’ordonnance de référé du Tribunal administratif de Paris du 23 novembre 2005 suspendant la décision du Ministre de l’intérieur visant à attribuer le contrat de fourniture des « passeports biométriques » à la société Oberthur Fiduciaires. Le Conseil d’Etat a accepté d’examiner cette ordonnance en raison de l’urgence de la situation due aux risques économiques encourus par l’Imprimerie nationale du fait de ne pas se voir attribuer le marché de la fabrication des passeports biométriques. La décision du Conseil d’Etat est fondée sur l’article 2 de la loi du 31 décembre 1993 relative à l’Imprimerie nationale qui prévoit qu’elle est seule autorisée à réaliser les documents déclarés secrets où dont l’exécution doit s’accompagner de mesures particulières de sécurité et qui concerne en particulier les passeports. Le Conseil d’Etat a jugé que le contrat visant à attribuer à la société Oberthur la fabrication des passeports biométriques n’était pas satisfaisant au regard des attributions de l’Imprimerie nationale prévues par la loi de 1993. Il a cependant affirmé que la suspension de la décision du Ministre de l’intérieur ne faisait pas obstacle à un autre montage juridique dans lequel l’Imprimerie nationale ferait appel à la sous-traitance pour réaliser certaines opérations. Cette décision du Conseil d’Etat retarde la mise à disposition des nouveaux passeports biométriques obligeant les citoyens français à obtenir un visa pour se rendre aux Etats-Unis. Arrêt du 3 mars 2006 (Mise en ligne Mars 2006)

Sécurité des systèmes d’information Passeport biométrique Le passeport électronique est mort, vive le passeport biométrique Le décret nécessaire à la mise en place du passeport dit « biométrique » est paru le 30 avril 2008. Il a été validé par la CNIL en décembre 2007 qui a demandé des garanties techniques pour mieux protéger les données (désormais centralisées sur un serveur à Paris) et par le Conseil d’Etat. Le passeport biométrique succédera ainsi progressivement au passeport « électronique ». Les expérimentations vont en effet pouvoir commencer dans cinq départements tests (Nord, Oise, Aube, Gironde, Loire-Atlantique) et une petite dizaine de villes. Les tests auront lieux entre mai et septembre 2008. Les mairies seront ensuite progressivement équipées de machines permettant la fabrication de passeports biométriques avec des normes conformes à celles de l’aviation civile internationale, entre octobre 2008 et juin 2009. Cela représente 2000 mairies qui percevront par ailleurs, une indemnité forfaitaire annuelle de 3 250 euros pour cette activité de fabrication des passeports. Enfin, rappelons que les passeports biométriques français doivent être disponibles avant le 28 juin 2009 conformément à l’accord européen du 13 décembre 2004. Décret n°2008-426, 30 avril 2008, JO 4 mai 2008 (Mise en ligne Avril 2008)

Sécurité des systèmes d’information Passeport biométrique L’UE dit oui au passeport biométrique Lors de sa séance du 14 janvier 2009, le Parlement européen a amendé et approuvé la proposition de règlement de la Commission des Communautés européennes modifiant le règlement (CE) n°2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres. Cette proposition de règlement avait été présentée par la Commission le 18 octobre 2007 et avait déjà donné lieu à un Avis du Contrôleur Européen de la Protection des Données en date du 26 mars 2008. C’est le règlement n°2252/2004 du 13 décembre 2004 qui avait introduit les passeports biométriques et l’obligation générale de stocker les empreintes digitales dans des supports de stockage contenus dans les passeports et documents de voyages. La France avait alors, conformément à ce règlement, adopté le décret n°2008-426 du 30 avril 2008, qui modifiait le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, afin d’intégrer « l’image numérisée des empreintes digitales de deux doigts » au sein des passeports français, tout en prévoyant une exception pour les enfants de moins de six ans. Après avoir constaté que les empreintes digitales des enfants âgés de moins de six ans n’étaient pas d’une qualité suffisante pour permettre de vérifier l’identité de ces enfants sur la base d’une comparaison entre deux séries d’empreintes, la Commission avait proposé de modifier le règlement n°2252/2004 afin de dispenser de l’obligation de donner les empreintes digitales des enfants de moins de six ans, mais également les personnes qui en sont physiquement incapables. La commission avait également proposé d’intégrer la règle « une personne un passeport », ne permettant plus aux parents d’avoir leurs enfants sur leurs passeports. Le Contrôleur Européen de la Protection des Données avait, par la suite, émis un avis favorable aux exemptions reposant sur l’âge ou sur l’incapacité de donner ses empreintes, tout en les jugeant insuffisantes, notamment au regard de l’âge des enfants exemptés ou de l’absence de dispositions spécifiques pour les personnes âgées. Le 14 janvier dernier, c’était donc au tour du Parlement européen de se prononcer sur cette proposition. Celui-ci a pris le soin de rappeler que « les États membres seront tenus de délivrer des passeports individuels aux mineurs et qu’il peut exister des différences significatives dans la législation des États membres en ce qui concerne le franchissement des frontières extérieures par des mineurs », avant de relever l’âge de l’exemption de donner les empreintes aux enfants de moins de douze ans. Suivant les recommandations du Contrôleur Européen de la Protection des Données, le Parlement européen précise que cet âge est fixé à titre provisoire, dans l’attente d’un rapport de la Commission relatif à la fiabilité et la faisabilité technique du recours aux empreintes digitales pour les enfants de moins de douze ans, à des fins d’identification et de vérification de l’identité. En outre, le Parlement crée un article 1 bis relatif au personnel chargé du relevé des empreintes et à la procédure de collecte, qui devra se faire dans le respect des droits consacrés par la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et par la Convention des Nations Unies relative aux droits de l’enfant. Il est également prévu que les États membres, tel que la France, qui auraient prévu un âge limite inférieur à douze ans peuvent appliquer leur limite actuellement en vigueur durant une période transitoire de quatre ans. La France devra donc revoir sa réglementation dans les années à venir, quant à l’âge de collecte des empreintes digitales des mineurs. En revanche, la règle « une personne un passeport » est déjà active, puisqu’il n’est plus possible d’inscrire un enfant mineur sur le passeport de l’un de ses parents. Globalement, le Parlement européen précise la proposition de la Commission qui s’était effectivement limitée à adopter des modifications succinctes au règlement 2252/2004, et intègre des éléments quant à la sécurité des données, le support de stockage devant être de « haute sécurité » et les spécifications techniques complémentaires visées à l’article 2 du règlement de 2004 devront désormais être « conformes aux normes internationales, notamment aux recommandations de l’Organisation de l’aviation civile internationale ». Parlement européen, Résolution législative du 14 janvier 2009 Parlement européen, Rapport du 15 décembre 2008 (Mise en ligne Janvier 2009)

Sécurité des systèmes d’information Passeport biométrique Le traitement des passeports biométriques par les communes La loi de finances rectificative pour 2008, votée par le Parlement le 30 décembre 2008, à savoir le nouvel article L. 1611-2-1 du code général des collectivités territoriales, donne désormais une base légale au rôle des communes dans la réception et la saisie des demandes de titres d’identité. Les administrés qui souhaitent refaire leur passeport et autres titres d’identité n’ont donc plus à se rendre en préfecture ou en sous-préfecture, mais peuvent directement passer par les services municipaux concernés. Le principe d’une indemnisation des communes a été confirmé, moyennant l’extinction des procédures en cours intentées par ces dernières contre l’État, du fait de l’illégalité des décrets du 25 novembre 1999 (cartes nationales d’identité) et du 26 février 2001 (passeports), prononcée par le conseil d’État le 5 janvier 2005 pour une raison de procédure (seule une loi pouvant imposer une telle obligation aux communes). La France a l’obligation de délivrer, avant le 28 juin 2009, un passeport doté de deux composants biométriques. Des stations de recueil et d’enregistrement des données biométriques vont être déployées dans 2 000 communes volontaires. Moyennant un préavis de deux mois, une commune peut, à tout moment, résilier la convention de mise en dépôt de la station de demandes de passeports et de cartes nationales d’identité électroniques a précisé la ministère de l’Intérieur, le 19 février, en réponse à une question écrite d’un sénateur (1). La loi de finances rectificative pour 2008 a fixé une dotation exceptionnelle d’un montant de 3 € par titre, plafonnée à 97,5 millions d’euros, répartie entre les communes en fonction du nombre de titres qu’elles ont délivré entre 2005 et 2008. Si le nombre total de titres émis ces quatre années est supérieur à 32,5 millions d’euros, la somme de 97,5 millions d’euros est répartie entre les communes proportionnellement au nombre de titres qu’elles ont émis dans cette même période. Enfin, signalons également la parution au Journal officiel du 13 février 2009 (2) d’un arrêté fixant les normes de qualité des photographies d’identité dans le cadre de la délivrance du passeport (format, fond, contraste, luminosité et détails du portrait). (1) Réponse ministérielle parue au JO Sénat du 19-2-2009 (2) Arrêté du 5-2-2009 Paru dans la JTIT n°88/2009 p.4 (Mise en ligne Mai 2009)

Sécurité des systèmes d’information Normes Respecter l’état de l’art en matière de sécurité des systèmes d’information De la loi Sarbanes-Oxley (SOX), aux accords de Bâle II(1), en passant par la loi de sécurité financière (LSF)(2), sécurité quotidienne, sécurité intérieur, Sarkosy I et la loi sur la protection des données personnelles, on ne compte plus les dispositifs légaux et réglementaires relatifs à la sécurité des systèmes d’information. Cet afflux de textes montre que cette préoccupation est aujourd’hui prise en compte par le législateur à travers l’élaboration d’un droit de la sécurité.Il est donc nécessaire pour l’entreprise de connaître avec précision l’ensemble du référentiel légal qui s’applique en matière de sécurité aux informations qu’elle manipule dans son secteur d’activité (aéronautique, santé, banque…). Le recours aux normes peut s’avérer indispensable. Si elles ne sont souvent que des recommandations techniques sans force obligatoire, leur application devient cependant de plus en plus courante au sein des professions, leur conférant ainsi une certaines portée juridique. Elles sont considérées par le juge comme la codification écrite regroupant des « règles de l’art » ou des « usages loyaux et constants ». Aquelle norme se référer pour les SI ? Il existe depuis octobre 2005 une norme internationale concernant la sécurité de l’information, la norme ISO/CEI 27001 dont le titre est « Technologies de l’information -Techniques de sécurité -Systèmes de gestion de sécurité de l’information – Exigences »(3). Cette norme représente le premier cadre normatif en matière d’organisation et de management de la sécurité des SI. Y faire référence dans un contrat par une clause ISO/CEI 27001 ou en l’intégrant au cahier des charges permet de la rendre obligatoire entre les parties. Mais au-delà de cette référence, il s’agit d’une norme qui peut être utilisée dans le cadre d’une certification par un organisme indépendant et reconnu, qui apporte la garantie-sécurité pour l’entreprise. La certification, qui est aujourd’hui possible en France, apporte un atout compétitif. Il est clair qu’une entreprise sera plus enclin à choisir un partenaire qui a mis en place une procédure de certification, preuve de la conformité de son SI. (1) Chantier qui va réformer le système international bancaire à l’échéance de 2007 (2) La SOX a été adoptée le 30/07/2002 par le Congrès américain et la LSF (loi n°2003-706) dont le périmètre est plus large date du 01/08/2003 (3) Elle définit l’ensemble des tests et contrôles à effectuer pour s’assurer du bon respect d’ISO/CEI 17799. Paru dans la JTIT n°50/2006 p.3 (Mise en ligne Mars 2006)

Sécurité des systèmes d’information Informatique et libertés Autorisation de deux dispositifs reposant sur la reconnaissance du contour de la main dans le cadre de contrôles d’accès à des cantines scolaires La Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques dans des organismes, collectivités locales ou entreprises (art. 25 de la loi du 06/01/1978 modifiée). La Cnil a été amenée à élaborer une jurisprudence qu’elle semble encore une fois confirmer en faisant la différence entre les techniques biométriques laissant des traces et celles qui n’en laissent pas. Elle fait ainsi la différence entre les solutions de reconnaissance du contour de la main qui ne laissent pas de trace et qui ne peuvent être utilisées pour des finalités non prévue en dehors de la présence de la personne concernée et la reconnaissance par empreintes digitales qui laisse inévitablement des traces et peut dériver vers des utilisations dont la finalité n’est pas prévue initialement. Se fondant sur cette différentiation bien établie, la Cnil a autorisé le 12 janvier 2006 deux lycées à utiliser des dispositifs reposant sur la reconnaissance du contour de la main pour permettre un contrôle à une cantine scolaire. La Cnil a, le même jour, refusé d’autoriser quatre dispositifs biométriques de reconnaissance par empreintes digitales permettant pour trois d’entre eux un contrôle d’accès et pour le dernier un contrôle des horaires. La Cnil considère en effet que la reconnaissance par empreintes digitales ne peut être utilisée qu’en cas de nécessité impérative de sécurité ce qui n’était manifestement pas le cas d’un contrôle d’accès dans une entreprise « classique » et d’un contrôle d’horaire. CNIL – Echos des séances du 30/01/2006 (Mise en ligne Janvier 2006)

Sécurité des systèmes d’information Ecoutes téléphoniques Création de la délégation aux interceptions judiciaires La loi du 10 juillet 1991 encadre les écoutes dites « administratives » (ou de sécurité) et les écoutes dites « judiciaires » ordonnées par un magistrat instructeur ou un procureur dans le cadre d’affaires d’un type bien défini. Les premières s’opèrent sous le contrôle de la Commission Nationale de Contrôle des Interceptions de Sécurité. Les secondes ne bénéficiaient pas d’un tel dispositif, étant contrôlées par le juge. Elles faisaient toutefois l’objet de nombreuses critiques du fait notamment de l’absence de structure administrative permettant de coordonner l’ensemble des nombreux départements ministériels impliqués (justice, défense, intérieur, douane, économie-finances-industrie). Une Délégation interministérielle aux interceptions judiciaires (DIIJ) avait déjà été mise en place en 2005 dans le cadre du plan de rationalisation des dépenses de la justice pour clarifier les modes de calcul des sommes versées aux opérateurs de téléphonie en contrepartie du respect par ceux-ci de leurs obligations. Elle est désormais officialisée par un décret et un arrêté du même jour et porte le nom de Délégation aux interceptions judiciaires (DIJ). La DIJ n’a pas vocation à contrôler l’opportunité d’une écoute judiciaire mais son coût en coordonnant l’ensemble des conditions d’exploitation, notamment financières, des opérations d’interception. Décret n° 2006-1405 du 17 novembre 2006 Arrêté du 17 novembre 2006 (Mise en ligne Novembre 2006)