Après Note2be, un autre site internet de notation par les internautes a fait l’objet de plusieurs plaintes auprès de la Cnil. Le site Palmares.com permet de noter un peu près tout le monde, y compris son avocat ou son médecin.
Informatique et libertés Secteur internet Création du système d’information Pharos Par un arrêté du 16 juin 2009, un système dénommé Pharos (plate-forme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements) a été créé au sein de la police nationale, afin de permettre aux utilisateurs et acteurs d’internet, et notamment aux internautes, fournisseurs d’accès et services de veille étatiques, de signaler, par le biais d’un site internet, à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, des sites ou des contenus contraires aux lois et règlements diffusés sur internet. Faux e-mails de fournisseurs d’accès à Internet, fausses informations diffusées par les messageries électroniques, escroqueries, autant de signalements qui sont susceptibles d’être traités par les policiers et gendarmes affectés à la Plate-forme Pharos. Ce traitement de données à caractère personnel recueille les signalements, réalise des rapprochements entre eux et les oriente vers les services enquêteurs compétents en vue de leur exploitation. Arrêté du 16 juin 2009 (Mise en ligne Juillet 2009)
Informatique et libertés Secteur collectivité territoriale Contrôle de la Cnil des utilisations des fichiers électoraux La Cnil a contrôlé les organismes qui utilisent les fichiers électoraux, en application des dispositions du Code électoral, qui prévoit la communication des listes électorales dans leur intégralité à la seule condition de ne pas en faire « un usage purement commercial ». L’objectif de cette communication est double : réguler les inscriptions électorales ; gérer les opérations de communication électorale et politique. Cette pratique ne fait l’objet d’aucun contrôle ou de sanctions particulières, ce qui entraîne une absence de garantie de la protection des données à caractère personnel. La Cnil a constaté que des bases de données de plusieurs millions de personnes sont constituées à partir des fichiers électoraux et a adressé un courrier, avec la Commission d’accès aux documents administratifs (CADA), au ministre de l’intérieur, de l’outre-mer et des collectivités territoriales, afin d’encadrer « l’utilisation des informations personnelles » dans le cadre d’une réforme des textes en la matière. Dans son dernier rapport d’activité, la CADA souligne que les communes se sont largement faites l’écho des imperfections du cadre juridique actuel. Lettre du 11 mars 2009 Avis du 2 avril 2009 CADA, rapport d’activité 2008 (Mise en ligne Juin 2009)
Alain Bensoussan a été auditionné par le Sénat dans le cadre du rapport « La vie privée à l’heure des mémoires numériques ». Au cœur des débats : le droit à l’oubli.
Informatique et libertés Cnil : Organisation et Pouvoirs La labellisation Informatique et libertés des produits et procédures des entreprises facilitée par le législateur Depuis la réforme du 6 août 2004, la Cnil dispose d’un pouvoir de labellisation Informatique et libertés des produits et procédures des entreprises, dès lors qu’elle est saisie d’une telle demande par des organisations et institutions professionnelles regroupant des responsables de traitement. Ce pouvoir de la Cnil va désormais pouvoir être mis en oeuvre plus aisément, dans la mesure où la loi du 12 mai 2009 de simplification et de clarification du droit prévoit qu’en cas de difficulté d’évaluation d’un produit ou d’une procédure complexe, le président de la Cnil peut confier cette analyse à un expert indépendant. Pourront notamment faire l’objet d’une labellisation, un moteur de recherche sur Internet, un service de transaction électronique en ligne pour un site de commerce électronique, ou encore un logiciel de gestion de données de santé utilisé au sein d’un hôpital. La Cnil précise que la labellisation n’est pas une obligation puisqu’elle s’effectue sur la base du volontariat et que la Commission conserve la décision d’attribuer ou non un label à un produit, sur la base des résultats de l’évaluation. Il convient de ne pas hésiter à organiser une réunion avec la Cnil pour présenter son projet. La labellisation des produits et procédures des entreprises constitue pour ces dernières un nouvel outil de différenciation face à la concurrence et un gage de qualité et de confiance pour les particuliers. Loi 2009-526 du 12 mai 2009 (Mise en ligne Juin 2009)
Informatique et libertés SI Ressources humaines Vote électronique pour les élections professionnelles La Cnil a fait une recommandation sur le vote électronique pour les élections professionnelles. Elle y précise qu’il s’agit essentiellement du vote dématérialisé par internet et non du vote par téléphone, par machine à voter ou par boîtier. Se faisant, elle donne la liste des garanties à respecter et préconise notamment le scellement et le chiffrement ininterrompu du bulletin jusqu’au dépouillement. Elle rappelle, par ailleurs, que tout système de vote doit faire l’objet d’une déclaration à la Cnil, qui a pour mission de vérifier le respect de sa recommandation, dont elle peut également vérifier le respect par un contrôle sur place. Communiqué Cnil du 30 avril 2009 (Mise en ligne Juin 2009)
Informatique et libertés Secteur marketing direct Norme simplifiée n° 48 : gestion des fichiers de clients et de prospects La norme simplifiée n° 48 remplace trois normes simplifiées (norme n° 11 relative à la gestion des clients actuels et potentiels, norme n° 17 concernant la gestion des fichiers de clientèle des entreprises dont l’objet social inclut la vente par correspondance et norme n° 25 concernant la gestion des fichiers de destinataires d’une publication périodique de presse). Applicable aux organismes privés et publics, la nouvelle norme couvre, de façon étendue, les traitements et fichiers relatifs à la gestion et à la prospection des clients, y compris dans le domaine de la vente à distance et des services de communication au public en ligne (internet, e-mailing, etc). La norme n° 48 vise les opérations relatives à la gestion des clients portant sur les contrats, les commandes, les livraisons, les factures, la comptabilité et la gestion d’un programme de fidélité ainsi que les opérations relatives à la prospection : constitution et gestion d’un fichier de prospects, sélection de clients, cession de fichiers, envoi de sollicitation, etc.. La norme comporte plusieurs limites à son champ d’application. Ainsi, les traitements susceptibles d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat ne peuvent être déclarés en norme simplifiée n° 48. De même, les groupes internationaux doivent prendre en compte le fait que les traitements comportant la transmission de données vers des pays tiers à l’Union européenne ne bénéficient pas de la simplification. Délibération n°2005-112 du 7 juin 2005 (Mise en ligne Juin 2009)
Informatique et libertés Vidéosurveillance Le projet LOPPSI : de la vidéosurveillance à la vidéoprotection Le projet de loi, présenté le 27 mai dernier au Conseil des Ministres par la Ministre de l’intérieur, Madame Michelle Alliot-Marie, traite de la protection des citoyens. Le volet vidéosurveillance vient compléter les dispositions juridiques existantes, notamment le décret du 22 janvier 2009, qui simplifie les formalités liées aux demandes d’autorisation préfectorale. Si les débats sur l’efficacité de la vidéosurveillance n’ont pas totalement disparu, la vidéosurveillance semble mieux acceptée par la société française. Selon un sondage Ipsos réalisé en 2008, 71 % des Français se disaient « favorables » à la présence de caméras dans les lieux publics, contre 28 % de « défavorables ». Ainsi, dans la lignée de la Grande Bretagne, qui compte plus de quatre millions de caméras, le plan national d’équipement voulu par la Ministre préconise de multiplier par trois le nombre de caméras sur le territoire, en passant de 20 000 à 60 000 caméras de voie publique, cette année. La « mise en réseau » et « l’interconnexion » des systèmes publics sont également des mesures qui doivent accompagner l’essor de la vidéosurveillance et permettre notamment aux collectivités qui investissent dans cet outil de s’assurer du retour sur investissement. En effet, le plan national d’équipement, impulsé par l’Etat, repose essentiellement sur le financement des collectivités. Or, en réalité, le poids financier de la vidéosurveillance repose moins sur la technologie choisie que sur les travaux publics nécessaires à la mise sur pied d’un système. Aujourd’hui, un projet de déploiement de caméras passe nécessairement par : la définition d’une stratégie globale (coopération, regroupement en communauté d’agglomération, intégration aux projets de mobiliers urbains) ; un diagnostic sécurité, dans lequel la pose de caméras ne s’accompagne pas automatiquement d’une réduction de personnel, mais plutôt de la formation d’agents de prévention et de sécurité. Le choix de zones ciblées et la rationalisation des caméras sont préférables à la multiplication des caméras. Il apparaît en tout cas intéressant de noter que les dispositions du projet de loi tentent toutefois de concilier la préservation de l’ordre public et le respect des libertés individuelles, tout en respectant le plan du triplement des caméras installées sur le territoire. Les articles 17 et 18 du projet étendent les finalités pour lesquelles il peut être recouru à la vidéosurveillance. Actuellement, les personnes privées ne peuvent installer un système de vidéoprotection dans des lieux ouverts au public que si les lieux sont susceptibles d’être exposés à des actes de terrorisme. Alors, ils ne peuvent visionner la voie publique que pour assurer la sécurité des abords immédiats de leurs bâtiments et installations. Les dispositions nouvelles leur permettent d’installer des systèmes de vidéoprotection filmant notamment les abords de leurs bâtiments, afin de prévenir des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d’agression ou de vol. Il est prévu que les délais de conservation des images pourront faire l’objet d’une durée minimale fixée par le Préfet. Également, en plus d’une mise en commun possible d’installation, le projet de loi encadre les possibilités de délégation de certaines compétences aux personnes privées. Pour renforcer la protection de la vie privée des personnes, les compétences de la Commission nationale informatique et libertés en matière de vidéoprotection sont élargies à une mission de contrôle du développement de cette technique. Parallèlement, le Préfet reçoit un pouvoir de sanction renforcé, en vertu duquel il peut décider la fermeture temporaire des établissements où fonctionne un système de vidéoprotection non autorisé. Ces nouvelles mesures, au centre desquelles doit figurer une nouvelle Commission, ne permettent pas de trancher le conflit de compétences entre la Cnil et le Préfet. La tendance est plutôt au renforcement des compétences du périmètre de la loi Pasqua. Doc. Ass. nat. n° 1697 du 27 mai 2009 Dossier de presse du ministère de l’Intérieur (Mise en ligne Juin 2009)
Informatique et libertés Droit des personnes Vers un droit à l’oubli… Le rapport « la vie privée à l’heure des mémoires numérique » des sénateurs Yves Détraigne et Anne-Marie Escoffier rendu public le 27 mai 2009, formule 15 recommandations parmi lesquelles la création d’un droit à « l’hétéronymat » et d’un « droit à l’oubli ». Cnil, Sénat, rapport du 27-5-2009 (Mise en ligne Mai 2009)
Informatique et libertés Cnil : Organisation et Pouvoirs 29e rapport d’activité Cnil En 2008, la Commission a multiplié les actions de contrôle sur place visant à vérifier le respect de la réglementation Informatique et Libertés par les entreprises et établissements publics. La Commission annonce d’ores et déjà pour l’année 2009 sa volonté d’augmenter le nombre des contrôles sur place ou sur pièces, y compris dans les régions où villes dans lesquelles elle n’a jamais eu l’occasion de se rendre à ce jour, d’où la nécessité de mettre en place rapidement un plan d’audit et de régularisation des formalités Cnil. Ces contrôles auront notamment pour objet de vérifier que les préconisations qu’elles a formulées en 2008 sont prises en compte, notamment celles relatives aux opérations de prospection commerciale par l’intermédiaire du réseau bluetooth. L’année 2008 a également été marquée par la multiplication des sanctions pécuniaires prononcées à l’encontre des contrevenants, en particulier lorsque la Commission a constaté des commentaires abusifs dans les zones « blocs notes » des applications relatives à la gestion commerciale et des ressources humaines. Enfin, la Cnil se réjouit de la progression du nombre de correspondants Informatique et libertés notifiés en 2008 (plus de 4 000) qui démontre la volonté des entreprises de déployer une politique informatique et libertés en leur sein. Cnil, 29e rapport 2008 (Mise en ligne Mai 2009)
Informatique et libertés Droit des personnes Les puces RFID et la protection des données personnelles et de la vie privée Les puces RFID permettent l’identification d’un produit ou d’un ensemble de produits à distance grâce à un lecteur qui capte les informations contenues dans la puce. Le transfert d’informations de la puce vers le lecteur s’effectue grâce à l’émission d’ondes radio. Il n’est donc pas nécessaire que le lecteur soit rapproché du produit pour que l’identification s’effectue. Les applications des puces RFID sont très nombreuses : grande distribution, paiements, sécurité, santé, marketing. En 2006, la Commission européenne a lancé une consultation publique sur la manière de concilier le développement de la technologie RFID et la protection des données à caractère personnel et de la vie privé. Elle préconise que les professionnels du secteur mettent en place une signalétique des puces RFID dans les produits de consommation proposés à la vente dans l’Union européenne. Pour la Commission en effet, « les puces RFID peuvent être considérées comme un moyen d’espionner les consommateurs. Il faut donc prendre des mesures pour garantir que cette technologie respecte la vie privée. Un emblème RFID sur les produits serait une première étape garantissant la transparence de l’industrie ». Elle propose, en outre, la mise en place de mécanismes de désactivation des puces RFID dans certaines situations, par exemple à la sortie des magasins, avec le libre choix des personnes. En effet, les puces RFID étant des données à caractère personnel, les individus ont un droit d’accès aux informations contenues dans la puce les concernant. Le 12 mai 2009, la Commission européenne a émis de nouvelles recommandations sur la manière de concilier la technologie RFID et la protection des données à caractère personnel et de la vie privé : les consommateurs devraient pouvoir exercer un contrôle sur les produits qu’ils achètent : lorsqu’un produit contient une puce RFID, celle-ci devrait être désactivée automatiquement, immédiatement et gratuitement dans le magasin, sauf si le consommateur demande expressément que la puce reste active ; les entreprises et les pouvoirs publics qui utilisent des puces RFID devraient informer les consommateurs du type de données collectées et de la finalité de la collecte. Ils devraient également s’assurer qu’un étiquetage clair permet d’identifier les dispositifs de « lecture » des informations stockées dans les puces ; les associations et les organisations de détaillants devraient faire mieux connaître aux consommateurs les produits équipés de puces RFID au moyen d’un signe européen commun indiquant la présence d’une puce dans un produit ; les entreprises et les pouvoirs publics devraient, avant de les utiliser, évaluer l’incidence des puces RFID sur la protection des données à caractère personnel et de la vie privée. La Commission européenne accorde aux Etats membres un délai de deux ans pour l’informer des mesures qu’ils entendent prendre pour atteindre ces objectifs. Recommandation du 12 mai 2009 Communiqué de presse du 12 mai 2009 (Mise en ligne Juin 2009)
La modernisation de notre système de santé est un projet ambitieux et qui requiert une exploitation optimum des nouvelles technologies, afin de limiter les risques sécuritaires qui leur sont associés. la semaine dernière, un pirate du net s’est introduit sur le réseau des professionnels de santé de l’Etat de Virginie.
Informatique et libertés Flux transfrontières Une nouvelle clause pour encadrer l’« outsourcing » de données à caractère personnel Les transferts internationaux de données à caractère personnel hors de l’Union européenne ou vers des pays n’ayant pas fait l’objet d’une reconnaissance par la Commission européenne d’une protection adéquate, nécessitent un encadrement spécifique. Sont notamment concernés le recours à un centre d’appels étranger avec transfert du fichier correspondant pour réaliser les opérations de prospection ou encore la centralisation d’une base de données CRM ou RH. De tels flux doivent faire l’objet d’une autorisation de la Cnil, qui demande à ce titre la conclusion d’une convention de flux de transfert de données, établie à partie de clauses contractuelles types élaborées par la Commission européenne (1). Confronté au phénomène croissant de l’externalisation des données personnelles vers des pays tiers, le G 29 (Groupe de l’article 29) a constaté que les sous-traitants procédaient eux-mêmes à des transferts ultérieurs des données vers des « sous-sous-traitants » établis hors de l’Union européenne. Or, les clauses contractuelles types ne prévoient pas de tels transferts complexes. Cette situation est particulièrement dangereuse lorsque des données sensibles sont transférées. Par conséquent, la Commission européenne (2) propose d’insérer dans les clauses contractuelles types une clause « sous-traitance » qui imposerait : d’obtenir le consentement préalable écrit de l’exportateur de données ; d’effectuer le traitement pour le compte de l’exportateur selon ses instructions ; de conclure un contrat écrit avec le sous-traitant mettant à la charge de ce dernier les mêmes obligations que celles mises à la charge de l’importateur des données. Par ailleurs, lorsque le sous-traitant manque à ses obligations en matière de protection des données, conformément au contrat écrit, l’importateur de données assume l’entière responsabilité à l’égard de l’exportateur. La décision finale de la Commission ne devrait pas être prise avant plusieurs mois, mais il est recommandé d’adapter les conventions déjà conclues. (1) Clauses contractuelles types 2002/16/CE (2) G29 WP 161 Avis 3/2009 du 5 mars 2009 Paru dans la JTIT n°88/2009 p.7 (Mise en ligne Mai 2009)
Informatique et libertés Droit des personnes La défense par la Cnil des droits d’accès et de rectification des automobilistes flashés par radar La Cnil a été saisie de nombreuses plaintes d’automobilistes ayant été flashés par des radars et ne parvenant pas à exercer leur droit d’accès sur leurs photographies ou leur droit de rectification, notamment, sur leurs coordonnées. En conséquence, la Cnil a procédé à un contrôle du traitement automatisé mis en oeuvre par le CNT (centre national technique), localisé à Rennes, pour la gestion des infractions au code de la route constatées par radar. Deux lacunes de conformité à la réglementation Informatique et libertés ont été constatées. Premièrement, le CNT était dans l’impossibilité de retrouver dans ses fichiers les données concernant un automobiliste à partir de ses seuls noms et prénoms. Ainsi, à défaut d’indication dans le courrier de l’automobiliste de son numéro d’immatriculation ou de l’avis de contravention, sa demande d’accès ne pouvait être traitée. Deuxièmement, le CNT n’était pas en mesure de traiter les changements d’adresse autres que ceux communiqués au FNI (fichier national des immatriculations). En conséquence, les courriers de demande de rectification de leurs coordonnées envoyés par les automobilistes au CNT ne pouvaient être traités. Suite au contrôle de la Cnil, le CNT s’est engagé à résoudre ces écarts de conformité à la réglementation Informatique et libertés pour une meilleure prise en compte des droits d’accès et de rectification des automobilistes contrevenants flashés par radar. Cnil, Communiqué de presse du 31 mars 2009 (Mise en ligne Avril 2009)
Informatique et libertés Vidéosurveillance Conditions de déploiement des systèmes de vidéoprotection Une circulaire relative aux conditions de déploiement des systèmes de vidéoprotection a été publiée le 12 mars 2009 par le ministère de l’intérieur, de l’outre-mer et des collectivités territoriales. Ce document, qui expose l’ensemble des règles techniques propres à la vidéoprotection, abroge et remplace les circulaires des 22 octobre 1996 et 26 octobre 2006. Il s’inscrit dans le prolongement du décret promulgué le 22 janvier 2009 en vue de clarifier la procédure d’instruction des dossiers de demande d’autorisation. Cir. du 12-3-2009 (Mise en ligne Mars 2009)
La Cnil s’est prononcée sur un projet d’arrêté relatif à la cession de données issues du répertoire national d’identification des personnes physiques (RNIPP) par délibération en date du 18 décembre 2008. La loi 2007-1775 du 17 décembre 2007 consent en effet un droit d’accès aux organismes professionnels habilités à proposer des contrats d’assurance sur la vie,
En novembre 2008, la Commission européenne a nommé un groupe de cinq experts pour engager les travaux de modification de la Directive européenne de 1995 sur la protection des données à caractère personnel, au regard des nouveaux enjeux juridiques liés au développement des nouvelles technologies, à la globalisation et à la sécurité publique.
Par un arrêt du 13 janvier 2009, la la Cour de cassation a considéré que les constatations visuelles et la collecte d’adresses IP effectuées par un agent assermenté, dans le cadre des constatations prévues à l’article L.331-2 du code de la propriété intellectuelle, ne constituaient pas un traitement de données personnelles.
Informatique et libertés Secteur transport La Cnil contrôle l’exercice du droit des usagers à se déplacer anonymement A l’occasion de l’opération de remplacement de la carte Orange par le passe « Navigo », la Cnil a effectué une opération de « testing » pour s’assurer de la mise en œuvre du passe anonyme « Navigo Découverte ». Dans ce contexte, la Cnil défend le droit de tous les usagers d’aller et venir librement anonymement. Déjà, le 8 avril 2004, la Cnil avait publié un avis relatif à l’exploitation des données de validation des passes « Navigo » par la RATP. Elle a préconisé que les usagers devaient avoir le droit de voyager anonymement « sans avoir à payer un surcoût par rapport à ceux ayant choisit le passe nominatif Navigo ». Le passe « Navigo » permet d’associer les détails d’un voyage (date, heure, lieu) à un numéro d’abonné pendant 48 heures. En revanche, le passe « Navigo Découverte » ne permet pas cette association, ce qui le rend anonyme. Ainsi, la Cnil avait obtenu la mise en place de ce passe « Navigo Découverte » dès le 1er septembre 2007. Dans son rapport du 6 janvier dernier, sur le contrôle opéré auprès de 20 guichets de la RATP, la Cnil déplore le manque d’effectivité de la mise en place d’un service de transport public de manière gratuite et anonyme. En effet, les plaintes des usagers auprès de la Cnil se sont avérées fondées, le passe anonyme est délivré : moyennant une somme forfaitaire de 5 euros ; dans des conditions difficiles (absence de documentation commerciale, difficulté pratique d’obtention du passe au guichet…) ; inaccessible pour les personnes bénéficiant de la tarification « solidarité transport ». Sur ce dernier point, la Cnil a considéré que rien ne justifie sur le plan technique une telle discrimination. Ainsi, le STIF (Syndicat des transports d’Ile de France) et la RATP doivent, sans délai, étendre la possibilité d’utiliser le passe « Navigo Découverte » aux personnes les plus modestes sans qu’elles ne perdent leurs avantages. Dans son rapport d’activité 2008, la Cnil précisait que ces contrôles ont augmenté de 21% sur l’année. Ainsi, janvier 2009 amorce déjà une politique d’investigation renforcée. Cnil, Communiqué de presse du 6 janvier 2009 (Mise en ligne Février 2009)
Informatique et libertés Droit des personnes Protéger la vie privée et la sensibilité des jeunes sur internet La protection des enfants sur internet est aujourd’hui un objectif mené tant au niveau national qu’européen. La Commission européenne a demandé aux réseaux sociaux de prendre leurs responsabilités pour protéger les mineurs sur leurs sites. Des discussions ont abouti afin de déterminer un ensemble de règles communes. En effet, 17 sites de réseau social, dont Facebook et MySpace ont signé un accord, en février 2009, pour mettre en place cinq mesures destinées à la protection des mineurs, comme empêcher les enfants trop jeunes d’utiliser leurs services dès avril 2009. En France, une politique se met en place, afin de mettre en oeuvre des mesures de protection des jeunes sur internet. Tout d’abord, « La Défenseure des droits » a déposé un amendement proposant d’étendre les compétences du Conseil Supérieur de l’Audiovisuel (CSA), autorité indépendante en matière de protection de l’enfance, « à l’ensemble des contenus audiovisuels mis à disposition du public sur internet » et à fixer les modalités et les règles de protection à respecter, notamment en référence à la signalétique jeunesse déjà utilisée par les chaînes de télévision. La Défenseure des enfants est une institution de l’Etat, qui a le statut d’Autorité administrative indépendante créée pour intervenir de façon neutre et impartiale en faveur des enfants dont les droits ne seraient pas respectés. Plus récemment, la Cnil a commandé un sondage à la Sofres, dont il résulte que : près de 61% des personnes interrogées estiment que la constitution de fichiers porte atteinte à leur vie privée; 26 % des personnes interrogées ont le sentiment d’être suffisamment informées de leurs droits à la protection des données personnelles. Face à de tels résultats et afin d’unir leurs efforts, une Convention de partenariat a été signée entre Président de la Cnil, Alex Türk, et « La Défenseure des enfants« . L’objectif de cette union est d’améliorer la connaissance de la loi Informatique et libertés auprès des jeunes et des personnes qui en ont la responsabilité. Selon les signataires du partenariat, « l’utilisation d’Internet par les enfants peut constituer un danger du fait de l’accès possible à des contenus qui peuvent être illégaux ou de nature à les troubler (tels que des contenus pornographiques, racistes ou à caractère violent), ou de l’exploitation de leurs données à des fins de prospection commerciale ou encore du risque de mise en contact avec des adultes mal intentionnés. En outre, il importe que les dispositifs de surveillance des enfants, comme par exemple les dispositifs biométriques, de vidéosurveillance ou encore de géolocalisation, ne puissent être mis en œuvre que dans le respect du droit à la protection des données et des droits de l’enfant. « Cnil, Communiqué de presse du 22 janvier 2009 Cnil, Communiqué de presse du 25 janvier 2008 (Mise en ligne Février 2009)
BUn arrêt rendu par le Conseil d’Etat le 25 juillet 2008 soulève la question de la communicabilité à des tiers de documents administratifs comportant des informations à caractère nominatif. Le litige porté devant la Haute juridiction portait principalement sur les points de droit suivants.
Informatique et libertés Cnil : Organisation et Pouvoirs Les avis de la Cnil sur les projets de loi pourraient bientôt être publics Actuellement, la Cnil ne peut pas publier ses délibérations portant sur les projets de lois et de décrets sans l’accord du gouvernement, s’agissant de documents non communicables au titre de la loi du 17 juillet 1978 relative à l’accès aux documents administratifs (documents administratifs dont la consultation ou la communication porterait atteinte au secret des délibérations du gouvernement et des autorités responsables relevant du pouvoir exécutif et documents préparatoires à une décision administrative tant qu’elle est en cours d’élaboration). Par ailleurs, la Commission d’accès aux documents administratifs estime que la Cnil ne peut pas communiquer un avis au public aussi longtemps qu’il revêt un caractère préparatoire, c’est-à-dire aussi longtemps que le projet de loi, d’ordonnance ou de décret auquel il se rapporte n’a pas été adopté. Le Président de la Cnil a attiré l’attention des pouvoirs publics sur le caractère incohérent d’un tel dispositif puisque les parlementaires sont amenés à débattre de questions examinées par la Cnil en sachant qu’un avis a été rendu par cette autorité, mais dont ils ne peuvent disposer pour éclairer leurs débats. Par ailleurs, l’avis de la CNIL a été rendu sur un texte qui a bien souvent considérablement évolué juridiquement, notamment sous l’influence de ses demandes et de celles formulées par le Conseil d’Etat, dont l’avis n’est pas davantage public. Le Parlement se retrouve donc face à une « procédure fantôme », puisque deux avis essentiels à la compréhension d’un texte sont tenus dans l’ombre. C’est pourquoi le Président de la Cnil (également Sénateur) a présenté devant le Sénat, le 16 décembre derneir, une proposition de loi ayant pour objet de prévoir que l’avis de la Cnil sur un projet de loi déposé devant le Parlement, -qui ne se rapporte donc plus à un document préparatoire-, puisse être rendu public à la demande du Président de l’une des commissions permanentes de l’Assemblée nationale ou du Sénat. Dans le sillage de cette démarche, plusieurs députés ont également présenté à l’Assemblée nationale, le 6 janvier dernier, une proposition de loi allant plus loin. Ils souhaitent en effet que soit modifiée la loi du 6 janvier 1978 pour rendre systématiquement obligatoire la transmission des avis de la Cnil aux parlementaires sur l’ensemble des projets de loi qui lui sont soumis. Ils souhaitent en outre que parmi les 17 membres composant la Cnil, les 2 députés et les 2 sénateurs soient désignés respectivement par l’Assemblée nationale et le Sénat, « à parité entre la majorité et l’opposition ». Assemblée nationale, Projet de loi du 6 janvier 2009 Sénat, Projet de loi du 16 décembre 2008 (Mise en ligne Janvier 2009)
Informatique et libertés Secteur transport La gestion des applications billettiques par les exploitants de transport public Par délibération en date du 3 juin 2008, a été adoptée par la Cnil une autorisation unique encadrant les traitements automatisés de données à caractère personnel relatifs à la gestion des applications billettiques par les exploitants et les autorités organisatrices de transport public. Prenant acte de la délivrance croissante de « nouveaux titres de transports aux usagers, sous forme de cartes nominatives à puce, en vue de faciliter leurs déplacements et de proposer des services complémentaires », la Cnil accorde aux organismes de transport collectif envisageant la mise en œuvre de traitements ayant pour finalité la gestion des applications billettiques la faculté de souscrire un engagement de conformité aux caractéristiques de l’autorisation unique AU-015, attestant qu’ils respectent les dispositions de la présente décision unique. Il leur appartient cependant de prévoir la délivrance concomitante de titres de transports anonymes destinés à préserver la liberté de circuler sans identification de l’usager. Par ailleurs, les traitements ayant pour finalité la gestion des opérations de contrôle des titres nominatifs de transport devront faire l’objet d’un engagement de conformité à l’autorisation unique AU-012, adoptée par la Cnil aux termes d’une délibération du 11 janvier 2007 relative aux traitements afférents à la gestion des infractions à la police des services publics de transports terrestres ou, à défaut, d’une demande d’autorisation déposée auprès de la Cnil. Délibération 2008-161 du 3 juin 2008 – Autorisation unique AU-015 Délibération 2007-002 du 11 janvier 2007 – Autorisation unique AU-012 (Mise en ligne Décembre 2008)
Informatique et libertés Vidéosurveillance Le rapport du Sénat recommande une évolution du régime juridique de la vidéosurveillance Le groupe de travail de la commission des lois du Sénat sur la vidéosurveillance formule onze recommandations dans son rapport rendu public le 17 décembre dernier. Il préconise notamment de réunir sous la seule autorité de la Cnil les compétences d’autorisation et de contrôle de la vidéosurveillance. Les co-rapporteurs Jean Patrick Courtois (sénateur Saône et Loire et maire de Mâcon) et Charles Gautier (sénateur Loire Atlantique et maire de Saint Herblain) estiment important de se doter d’un cadre juridique nouveau et adapté à un outil qui connaît un développement rapide. L’utilisation de la vidéosurveillance par les collectivités territoriales, qui comprend aujourd’hui environ 20 000 caméras sur la voie publique, devrait, fin 2009, voir son parc augmenter de 40 000 caméras supplémentaires. 242 centres municipaux de supervision devraient également être raccordés aux services de police et de gendarmerie. Or, si l’efficacité des systèmes de vidéosurveillance, notamment pour prévenir la délinquance, n’est pas démontrée, l’interconnexion est un facteur majeur selon le rapport, dans la mesure où les cameras concourent néanmoins à l’élucidation des crimes et délits. Le rapport indique également que « certains dispositifs ont pu être installés sans demande d’autorisation, les demandes de renouvellement qui doivent être effectuées tous les 5 ans n’étant pas systématiquement faites » précise le maire de Saint Herblain. La hausse importante du nombre de systèmes autorisés implique de revoir un régime juridique désormais dépassé. En effet, « les modifications législatives, ainsi que la généralisation de la technologie numérique, ont relancé les débats sur la compétence de la Cnil en matière de vidéosurveillance des espaces publics ». Des incertitudes demeurent entre le corpus juridique constitué de la loi du 21 janvier 1995 et de la loi du 6 janvier 1978 modifiée en 2004. Si la Cnil est compétente lorsqu’un dispositif de vidéosurveillance est installé dans un lieu non accessible au public, en revanche les systèmes numériques de vidéosurveillance avec enregistrement sur la voie publique ou dans les lieux ouverts au public suscitent une controverse. Les co-rapporteurs ajoutent que les innovations technologiques importantes vont modifier la nature de la vidéosurveillance. Cette évolution prévisible nécessite de redonner une cohérence forte au cadre légal avant que des dérives n’apparaissent. A cet égard, les sénateurs estiment que « la Cnil semble la mieux placée pour assurer cette mission en lieu et place des préfets. » Sénat, Rapport d’information sur la vidéosurveillance (Mise en ligne Décembre 2008)
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |