Informatique et libertés

Cnil : organisation et pouvoirs, Informatique et libertés

Parution du 28ème rapport d’activité 2007 de la Cnil

/

Informatique et libertés Cnil : Organisation et Pouvoirs Le 28ème rapport d’activité de la Cnil est paru La Cnil a rendu public son rapport d’activité pour l’année 2007. Au cours de cette année, la Commission a reçu 4 455 plaintes (+ 25 % par rapport à 2006) et mené 164 missions de contrôle. Elle a adressé 101 mises en demeure et 5 avertissements, mais surtout elle a prononcé 9 sanctions financières correspondant à des amendes allant de 5 000 à 50 000 euros. La Cnil se comporte ainsi comme une véritable juridiction, ce que le Conseil d’état a confirmé en février 2008. Les secteurs d’activité qui, par ordre décroissant, ont suscité le nombre le plus important de plaintes sont la banque-crédit, la prospection commerciale, le travail et les télécommunications, d’où la nécessité pour ces secteurs d’activité d’établir un plan de mise en conformité à la réglementation Informatique et Libertés (audit de l’ensemble des traitements, identification des zones de risque et implémentation des mesures correctives qui s’imposent). Parmi les « temps forts » qui ont marqués l’année 2007 figurent notamment l’encadrement de la biométrie (494 dispositifs ont été autorisés et 21 refusés) et de la vidéosurveillance dont les formalités déclaratives sont en constante augmentation depuis cinq ans. Sur les 121 plaintes relatives à la vidéosurveillance en 2007, 70 concernent le secteur « travail », d’où la nécessité de faire preuve d’une vigilance accrue lors de la mise en place de tels dispositifs (déclaration préalable, information et consultation des IRP, information des salariés). La Cnil se félicite aussi du nombre croissant de correspondants à la protection des données désignés par les entreprsies, au total 685. Rappelons que la désignation d’un CIL présente de nombreux avantages comme celui de faciliter les relations avec la Cnil, améliorer la sécurité juridique et l’image de l’entreprise, participer à la mise en oeuvre d’une approche qualité, sans oublier l’allègement des formalités déclaratives, sauf pour les traitements soumis à autorisation et ceux dans lesquels sont prévus des flux transfrontières de données hors Union européenne. Dans ce dernier cas, notons que la Cnil a notamment accordé 1682 autorisations de transferts de flux. Ce chiffre englobe notamment les transferts encadrés par les règles internes d’entreprises que bon nombre de multinationales implantent pour gérer les flux intragroupe et satisfaire ainsi aux prescriptions légales. Au total depuis 1978, ce sont 1 216 404 fichiers qui ont été déclarés à la Cnil qui fête cette année ses 30 ans d’activité. Ce chiffre montre une prise de conscience croissante des entreprises concernant la protection des données à caractère personnel. 28ème rapport d’activité 2007 de la Commission nationale de l’informatique et des libertés (Mise en ligne Mai 2008)

Biométrie, Informatique et libertés

Vive le passeport biométrique !

/

Informatique et libertés Biométrie Le passeport électronique est mort, vive le passeport biométrique Le décret nécessaire à la mise en place du passeport dit « biométrique » est paru le 30 avril 2008. Il a été validé par la CNIL en décembre 2007 qui a demandé des garanties techniques pour mieux protéger les données (désormais centralisées sur un serveur à Paris) et par le Conseil d’Etat. Le passeport biométrique succédera ainsi progressivement au passeport « électronique ». Les expérimentations vont en effet pouvoir commencer dans cinq départements tests (Nord, Oise, Aube, Gironde, Loire-Atlantique) et une petite dizaine de villes. Les tests auront lieux entre mai et septembre 2008. Les mairies seront ensuite progressivement équipées de machines permettant la fabrication de passeports biométriques avec des normes conformes à celles de l’aviation civile internationale, entre octobre 2008 et juin 2009. Cela représente 2000 mairies qui percevront par ailleurs, une indemnité forfaitaire annuelle de 3 250 euros pour cette activité de fabrication des passeports. Enfin, rappelons que les passeports biométriques français doivent être disponibles avant le 28 juin 2009 conformément à l’accord européen du 13 décembre 2004. Décret n°2008-426, 30 avril 2008, JO 4 mai 2008 (Mise en ligne Mai 2008)

Informatique et libertés, Secteur internet

Attention aux services d’un moteur de recherche

/

Informatique et libertés Secteur internet Attention avant de recourir aux services d’un moteur de recherche ! Le groupe des 27 Cnil européennes a adopté, le 4 avril, à l’unanimité, un avis précisant que les données personnelles enregistrées par les moteurs de recherche, doivent être effacées au plus tard au bout de 6 mois (1). Cet avis présente un ensemble de conclusions et recommandations sur les obligations des moteurs de recherche et les droits des internautes. L’un des points principaux de l’avis concerne la durée de conservation des données personnelles par les moteurs de recherche. Force est de constater que les pratiques actuelles des grands acteurs du secteur font état de durées de conservation bien plus longues (de l’ordre de 13 ou 18 mois). Or contrairement aux fournisseurs d’accès internet ou aux opérateurs de télécommunications, les moteurs de recherche ne sont pas légalement tenus de conserver des informations sur les connexions des utilisateurs. La conservation de l’historique des recherches sert en fait à enrichir le profil des internautes (à des fins notamment de ciblage commercial) et à utiliser les historiques de recherche pour envoyer des publicités ciblées. L’avis rappelle que l’activité de profilage nécessite le consentement des internautes qui doivent, par ailleurs, être clairement informés de l’ensemble de leurs droits (droits d’accès, de rectification et de suppression des données). Les entreprises qui ont recours, gratuitement ou non, aux divers services proposés par les moteurs de recherche sont également concernées par cet avis en tant que responsables des traitements de données. Leur responsabilité est, en effet ,engagée, même si les données font l’objet d’une opération de traitement de la part d’un sous-traitant. Elles doivent, notamment, vérifier si ce dernier présente des garanties suffisantes pour assurer la mise en œuvre de l’obligation de sécurité (2). La violation de l’obligation de sécurité est assortie de sanctions pénales pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (3). Pour les personnes morales, la peine d’amende encourue est quintuplée et peut donc aller jusqu’à 1 500 000 euros. Quoiqu’il en soit, un dialogue devra s’engager avec les principaux acteurs du marché (Google, Yahoo, Microsoft et les moteurs nationaux) pour éviter l’explosion de plaintes de la part des internautes. (1) Avis 1/2008 du G29 sur les moteurs de recherche, 4 avril 2008 (2) Loi du 6-1-1978 art.35 ; (3) C. pén. art. 226-17. (Mise en ligne Mai 2008)

Cnil : organisation et pouvoirs, Informatique et libertés, Informatique et libertés Contentieux

Sanction pour non déclaration de site internet à la Cnil

/

La déclaration à la Cnil est obligatoire pour les sites internet traitant des informations nominatives sous quelque forme que ce soit. Ainsi, le responsable d’un site internet avait envoyé un courrier pour prévenir la Cnil de la mise en ligne du site, mais n’avait pas, en revanche, retourné le formulaire de déclaration à la Commission.

Droits des personnes, Informatique et libertés

Publicité publipostage

/

Publicité Publipostage Publipostage et consentement préalable Selon la Cour de cassation, « le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques », constitue une collecte de données nominatives. D’autre part, cette collecte est déloyale, dès lors que les « adresses électroniques personnelles des personnes ont été recueillies à leur insu sur l’espace public d’internet, ce procédé faisant obstacle à leur droit d’opposition ». La capture des informations en cause a été opérée par un moyen illicite, et en tout cas déloyal, à la fois par le détournement des adresses mises en ligne et par l’absence de consentement au traitement des personnes titulaires de ces adresses. Cass.crim. 14 mars 2006 pourvoi n°05-83423

Biométrie, Informatique et libertés

Mise en place en France de passeports électroniques biométriques

/

Pénal numérique Biométrie Mise en place en France de passeports électroniques biométriques Le décret du 30 décembre 2005 permet la mise en place en France de passeports électroniques biométriques contenant d’une part les données habituelles contenues par les passeports et d’autre part l’image numérisée de leur titulaire. Il a pour finalité de faciliter l’authentification de son détenteur, de lutter contre la fraude documentaire et de simplifier la vie quotidienne des administrés, ce passeport permettant à toute personne de justifier de son identité. Une puce sans contact sera intégrée au nouveau passeport comportant l’ensemble des données habituelles des passeports (nom de famille, prénoms, couleur des yeux, taille, nationalité, domicile, date de délivrance, numéro de passeport etc.) ainsi que l’image numérisée de son titulaire. Sa durée de validité sera de dix ans et de cinq ans pour les mineurs. Le décret prévoit un titre 2 concernant les traitements automatisés de données à caractère personnel relatifs à délivrance du passeport électronique. Dans un souci de respect de la loi Informatique et libertés du 6 janvier 1978, le décret précise les catégories de données qui pourront être traitées par le Ministre de l’intérieur. Les destinataires de ces données sont également prévus. Il s’agit de certains fonctionnaires du Ministère de l’intérieur et du Ministère des affaires étrangères, des agents des préfectures et des sous-préfectures chargés de la délivrance des passeports, des agents diplomatiques et consulaires chargés de la délivrance des passeports et également des personnels chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité de l’authenticité des passeports au sein des services de la police nationale, de la gendarmerie nationale et des douanes. Le décret précise également les possibilités d’interconnexion entre ce système de traitements automatisés et les systèmes d’information Schengen et Interpol. La durée de conservation de ces données est fixée à quinze ans pour les passeports délivrés au majeurs et de dix ans lorsqu’ils sont délivrés à des mineurs. Enfin, le décret précise les conditions de l’exercice du droit d’accès et de rectification des titulaires des passeports auprès des autorités de délivrance, étant précisé que les titulaires de passeport n’ont pas de droit d’opposition conformément à l’article 38 de la loi du 6 janvier 1978. Ce décret fait suite à l’avis favorable rendu par la Cnil le 22 novembre 2005 relatif au projet de décret concernant « les passeports électroniques ». La Cnil considère que la mise en place de ces nouveaux passeports biométriques, faisant suite au règlement européen du 13 décembre 2004, prévoit des mesures de sécurité satisfaisantes pour garantir l’authentification, la confidentialité et l’intégrité des données. Ainsi, les données ne pourront être lues que si le passeport est présenté ouvert les échanges de données entre la puce sans contact et le lecteur seront cryptés et le contenu de la puce sera limité aux informations figurant déjà sur le passeport. La Cnil relève également que la production des passeports sera centralisée et prend acte des précautions particulières prises par le Ministère de l’intérieur quant à l’externalisation de la production des nouveaux titres. La Cnil note enfin que le Ministère de l’intérieur n’envisage pas pour l’heure que la photographie numérisée du titulaire du passeport soit utilisée dans le cadre de dispositifs automatisés de reconnaissance faciale en France, même si une telle reconnaissance faciale pourrait intervenir à l’étranger. La Cnil émet cependant deux souhaits.Elle demande à être informée dans un délai de trois mois du renforcement des mesures prises pour assurer le contrôle des accès au fichier national des passeports, une personne devant être désignée pour assurer le contrôle effectif des consultations de ce fichier. Ces nouveaux passeports biométriques devraient être mis en place en France dès octobre 2006. Décret n°2005-1726 du 30 décembre 2005 relatif au passeport électronique

Flux transfrontières, Informatique et libertés

Les flux transfrontières de données personnelles

/

Informatique et libertés Flux transfrontières Les flux transfrontières de données personnelles La loi Informatique et libertés impose une réglementation stricte pour l’exportation des données à caractère personnel hors Union européenne dans les pays n’ayant pas une protection suffisante. Or, il existe de nombreuses situations susceptibles de générer des transferts internationaux de données et dont il faut tenir compte lors de la déclaration de traitement et surtout, de son exploitation. Des entreprises françaises qui communiquent avec des partenaires, des sociétés filiales ou mères ou qui ont des activités situées hors de l’Union européenne sont des situations dans lesquelles se produiront des transferts internationaux de données à caractère personnel. De même, la centralisation intra-groupe de la base de données de gestion des commandes, de la comptabilité clients, ou de la gestion des ressources humaines d’un groupe multinational, ou encore la délocalisation de centres d’appel constituent autant de situations qui entraîneront des transferts de données à caractère personnel hors des frontières communautaires. La Commission européenne a établi une liste des pays accordant une protection adéquate. Il s’agit des vingt-cinq pays de l’Union européenne, des pays membres de l’Espace Economique Européen (1), des pays ayant fait l’objet d’une reconnaissance de protection adéquate (2). En ce qui concerne les Etats-Unis, un accord au titre du Safe Harbor, a été négocié. La Cnil n’a pas à autoriser les transferts vers les pays dont la protection est jugée adéquate. Cette situation est gérée lors des formalités déclaratives. Pour les pays tiers n’ayant pas une protection suffisante, l’opération de transfert n’est possible que si elle entre dans les dérogations définies de manière restrictive à l’article 69 de la loi de 1978, à défaut de quoi, une autorisation de la Cnil est nécessaire. L’autorisation s’obtient en encadrant le flux d’échanges par une convention de flux transfrontières ou des règles internes. Enfin, il convient d’ajouter que les règles internes (codes de bonne conduite, chartes) constituent pour les groupes de sociétés une alternative à la convention de flux. Adoptées de manière unilatérale par la direction du groupe, elles évitent de conclure autant de contrats qu’il existe de transferts de données en son sein. (1) Islande, Liechtenstein, Norvège. (2) Argentine, Canada, Guernesey, Ile de Man, Suisse, entreprises américaines adhérentes au Safe Harbor (Déc. CE 2000/520 du 26/7/2000). (Mise en ligne Avril 2008)

Informatique et libertés, Secteur internet

FDI Rapport de synthèse de la consultation 2008 des internautes

/

Informatique et libertés Secteur internet Rapport de synthèse de la consultation 2008 des internautes Le Forum des droits sur l’Internet a publié fin mars le rapport de synthèse d’une consultation réalisée auprès des internautes entre le 5 février et le 4 mars 2008. Ce rapport permet de dégager trois thèmes principaux sur lesquels les internautes se sont exprimés. Ces derniers ont tout d’abord exprimé leur préoccupation au regard de la protection de la vie privée et des libertés fondamentales sur internet. La question de la protection de l’identité numérique et de la collecte des données personnelles par des tiers, notamment sur les sites de socialisation, a été souligné par les internautes comme étant un problème majeur. Par ailleurs, les discussions ont porté sur la question de l’enseignement et d’internet. A ce titre, les internautes estiment qu’il est nécessaire de former les personnes aux technologies de l’information dès le plus jeune âge et d’améliorer la formation des enseignants aux nouvelles technologies. Enfin, un nombre important des messages a porté sur les difficultés rencontrées par les internautes au regard de leur fournisseur d’accès internet. Ces derniers sont pointés du doigt en raison des nombreuses coupures d’accès à internet. Les internautes réclament également davantage de protection du consommateur sur Internet et dénoncent le caractère intrusif des nombreuses publicités en ligne. Rapport de synthèse FDI de la consultation 2008 (Mise en ligne Mars 2008)

Cnil : organisation et pouvoirs, Informatique et libertés

La Cnil simplifie les formalités de déclaration

/

Informatique et libertés Formalités préalables hors CIL La Cnil « vous simplifie la déclaration » La Cnil met à la disposition des responsables de traitements un module interactif destiné à leur permettre de vérifier si un fichier doit être déclaré et, dans l’affirmative, de savoir quel formulaire de déclaration compléter en ligne. Accessible gratuitement depuis janvier 2008, ce service devrait être bientôt étendu par la Cnil aux demandes d’autorisation et demandes d’avis. Cnil, Service d’aide à la déclaration (Mise en ligne Février 2008)

Cnil : organisation et pouvoirs, Informatique et libertés

Les conditions de l’auto-saisine de la Cnil

/

Informatique et libertés Cnil : Organisation et Pouvoirs Phase de décision pendant la procédure de sanction Le Conseil d’Etat considère que « la possibilité conférée à un organisme administratif, telle la Commission nationale de l’informatique et des libertés qui, eu égard à sa nature, à sa composition et à ses attributions, peut être qualifié de tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, de se saisir de son propre mouvement d’affaires qui entrent dans le domaine de compétence qui lui est attribué n’est pas, en soi, contraire à l’exigence d’équité dans le procès énoncé par ces stipulations ; que celles-ci, pas plus qu’aucun principe général du droit, n’imposent la séparation des phases d’instruction et de jugement au sein d’un même procès ». CE Ord. référé 19 février 2008, n° 311974, Soc. Profil France (Mise en ligne Février 2008)

Informatique et libertés, Secteur public

Cnil : parution du guide 2008 des collectivités territoriales

/

Informatique et libertés Secteur collectivité territoriale Cnil : L’édition 2008 du guide Collectivités locales est paru ! Les collectivités territoriales sont amenées à recourir de façon croissante aux moyens informatiques pour gérer les nombreux services dont elles ont la compétence. Afin d’accompagner les élus locaux impliqués dans la mise en oeuvre d’applications informatiques ou l’exploitation de données personnelles, la Cnil a publié l’édition 2008 du guide Collectivités locales visant à les « informer sur les modalités d’application de la loi » Informatique et libertés et à les « conseiller sur les mesures à adopter pour s’y conformer ». Guide Cnil 2008 « Collectivités locales » (Mise en ligne Janvier 2008)

Biométrie, Informatique et libertés

L’usage de l’empreinte digitale encadré par la Cnil

/

Informatique et libertés Biométrie L’usage de l’empreinte digitale encadré par la Cnil La Cnil a publié une communication le 28 décembre 2007 relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données. Il s’agit de permettre aux entreprises, administrations et collectivités locales qui envisagent de se doter de tels dispositifs de se poser « les bonnes questions informatique et libertés » avant de prendre leur décision et de déposer, auprès d’elle, une demande d’autorisation adéquate. Pour la Commission, la finalité d’un dispositif de reconnaissance des empreintes digitales doit être limitée au contrôle d’accès d’un nombre limité de personnes à une zone bien déterminée : représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme et ayant trait à la protection de l’intégrité physique des personnes ou à celle des biens et des installations ou à celles de certaines informations. En ce qui concerne les biens et les installations, ce qui est en jeu, c’est le dommage grave et irréversible qui peut leur être porté, indépendamment de la valeur du bien lui-même (sauf cas exceptionnels) et sous réserve que cela dépasse l’intérêt strict de l’organisme. Il s’agit par exemple du contrôle d’accès à certaines zones d’une entreprise travaillant pour la Défense nationale, ou encore au centre de contrôle et de sécurité d’une grande entreprise de messageries. En ce qui concerne les personnes, ce qui est en jeu, c’est leur intégrité physique. Il doit par exemple s’agir de protéger des installations comportant un risque élevé d’explosion ou de diffusion de matières dangereuses ou de détournement de celles-ci par des tiers non autorisés ou d’assurer la protection de personnes exposées à des risques particuliers en raison de leurs activités. Enfin, en ce qui concerne la protection des informations, il s’agit de celles devant faire l’objet d’une protection particulière en raison des conséquences que leur divulgation, leur détournement à d’autres fins ou leur destruction auraient pour les personnes concernées par l’activité de l’entreprise (secret défense, secret industriel, secret professionnel). Communication de la CNIL du 28/12/2007 disponible sur le site de la Cnil Paru dans la JTIL n°19/2008 p.1 (Mise en ligne Janvier/Février 2008)

Informatique et libertés, Secteur public

Le cadastre sur internet

/

Informatique et libertés Secteur collectivité territoriale Le cadastre sur internet La direction générale des impôts met en service, sur internet et dans les services des impôts via l’intranet, un traitement automatisé de données nominatives dénommé «Service de consultation du plan cadastral (SCPC) ». Le service qui sera prochainement mis en ligne sur le site cadastre.gouv.fr comportera un volet «consultation» en libre accès permettant à toute personne de consulter les plans cadastraux et certaines données associées, et d’en éditer des extraits papier et un volet «acquisition» permettant de commander, après création d’un «compte client» et identification, des fichiers cartographiques numériques. Pour les usagers d’internet, ce service vise seulement à faciliter l’accès au plan cadastral et n’a pas pour vocation de rendre accessibles sur internet les données relatives aux propriétaires. La CNIL rappelle que la réutilisation d’informations publiques des données à caractère personnel est soumise aux dispositions de l’article 13 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004. Elle préconise qu’un message d’information, sur le site du service de consultation du plan cadastral, puisse expressément rappeler les conditions de réutilisation des informations communiquées à des fins autres que de service public. Arrêté du 21 janvier 2008 JO du 29 janvier 2008 (Mise en ligne Janvier 2008)

Droits des personnes, Informatique et libertés

Les recommmandations de la Cnil sur la loi sur l’immigration

/

Informatique et libertés Droit des personnes Les recommmandations de la Cnil intégrées à la loi sur l’immigration Les recommandations formulées par la Cnil ont été prises en compte lors de l’adoption du texte définitif de la loi relative à la maîtrise de l’immigration, à l’intégration et à l’asile. Ce texte poursuit un double objectif : faciliter les études portant sur l’évaluation de la diversité des origines sur la discrimination ; favoriser l’intégration des personnes immigrées ou demandant l’asile et protéger les droits des personnes. Il prévoit deux mesures de protection : les traitements de telles données sensibles laissant apparaître les origines raciales ou ethniques des personnes seront soumis au régime d’autorisation ; la Cnil pourra saisir un comité scientifique désigné par décret pour trancher toute question complexe pouvant se poser lors de l’autorisation. Le Sénat a introduit une disposition assurant l’anonymat du résultat de ces études. La loi informatique et libertés sera modifiée pour en tenir compte. Loi n°2007-1631 du 20 novembre 2007 Paru dans la JTIL n°18/2007 (Mise en ligne Novembre-Décembre 2007)

Correspondant à la protection des données, Informatique et libertés

Les universités créent leur premier réseau de Cil

/

Un réseau de Cil a été créé dans les universités le 5 décembre 2007. Réunissant une vingtaine de Cil, il est le fruit d’une étroite collaboration entre des représentants de la Conférence des Présidents d’Université, la Cnil et l’Agence de Mutualisation des Universités et Etablissements. Pour le président ou le directeur d’un établissement d’enseignement supérieur, la désignation d’un Cil est le meilleur moyen de veiller à l’application de la loi Informatique et libertés.

Informatique et libertés, Vidéosurveillance - Vidéoprotection

Vers une redéfinition du cadre juridique de la vidéosurveillance

/

Informatique et libertés Vidéosurveillance Vidéosurveillance : la Cnil prône une redéfinition du cadre juridique Le développement des dispositifs de vidéosurveillance rend nécessaire une redéfinition du cadre juridique qui leur est applicable. Aux termes d’une note sur les difficultés d’application des règles relatives à la vidéosurveillance adressée à Madame Michèle Alliot-Marie, Ministre de l’intérieur, la Cnil a souhaité attirer l’attention du gouvernement sur les risques d’une multiplication des caméras de surveillance sans une clarification de leur régime juridique. La Cnil souligne le nombre croissant de demandes de conseil et de plaintes du public et des professionnels du fait de leur incompréhension des règles applicables. En effet, les systèmes de vidéosurveillance peuvent relever de deux régimes distincts, à savoir la loi n°95-73 du 21 janvier 1995 soumettant les systèmes de vidéosurveillance visionnant les lieux ouverts au public à une autorisation préfectorale et la loi Informatique et libertés réglementant les systèmes de vidéosurveillance installés dans un lieu non ouvert au public ou implantés dans des lieux publics lorsqu’ils sont couplés ou intégrés à un traitement de données à caractère personnel. Face à cette dualité des régimes juridiques applicables, la Cnil se propose d’encadrer et d’accompagner le développement de la vidéosurveillance. Note adressée à Madame Michèle Alliot-Marie (Mise en ligne Novembre 2007)

Actualités, Informatique et libertés, Secteur public

La mise en œuvre de dispositifs de géolocalisation par les compagnies d’assurance

/

Informatique et libertés Secteur transport La mise en œuvre de dispositifs de géolocalisation par les compagnies d’assurance progresse Les assureurs automobiles (notamment la société AXA) ont consulté la Cnil au sujet d’un traitement portant sur la géolocalisation des conducteurs. Les assureurs souhaitent en effet installer des dispositifs de télématique embarquée sur les véhicules, afin de connaître l’usage réel du véhicule et d’adapter la prime d’assurance. En 2005, la Cnil avait refusé d’autoriser un assureur à géolocaliser les jeunes conducteurs au motif que le projet consistait à enregistrer les dépassements de vitesse autorisée, ce qui est interdit par la loi car cela revient à tenir un fichier d’infractions. En 2007, une société d’assurance a lancé sa nouvelle offre pour l’assurance automobile des flottes d’entreprises à laquelle la Cnil a été associée (1). Aucune collecte de données sur des infractions n’est réalisée puisque les informations utilisées dans ce traitement portent sur des statistiques de dépassements de vitesse à risque et non de vitesse légale. De plus, les données de circulation ne sont jamais associées à un conducteur déterminé. L’assureur reçoit des données relatives au kilométrage parcouru, à la durée de parcours et au nombre d’enregistrement en fonction du zonage (zone urbaine ou non urbaine), des voies empruntées par commune sur une base minimale de cinq véhicules par flotte. L’association de la Cnil a ce nouveau projet devrait ainsi limiter les risques au regard des libertés individuelles des automobilistes ou des salariés. La géolocalisation des conducteurs par les compagnies d’assurance est réalisée en concertation avec la Cnil ce qui devrait permettre aux assureurs d’adapter leurs primes à l’usage réel des véhicules sans atteinte aux libertés individuelles. (1) Le «pay as you drive» progresse en concertation avec la CNIL, Echos des séances du 26/09/2007, disponible sur le site de la Cnil, www.cnil.fr. Paru dans la JTIL n°18/2007 (Mise en ligne Novembre-Décembre 2007)

Informatique et libertés, Secteur santé

La Cnil valide le dispositif «Web médecin»

/

Santé et Biotechnologies Dossier médical La Cnil valide le dispositif «Web médecin» Jugeant satisfaisante l’expérimentation menée auprès de quelques départements, la Cnil a décidé d’autoriser la mise en oeuvre au niveau national, du dispositif du « Web médecin ». Rappelons que ce dispositif a pour objectif d’améliorer les soins apportés aux patients en favorisant une information exhaustive, par voie électronique, des médecins sur les prescriptions dont les patients ont bénéficié au cours des 12 derniers mois. La Cnil a toutefois émis un certain nombre de recommandations : d’une part l’obligation pour les médecins de se doter d’un antivirus et d’un pare-feu mis à jour régulièrement afin de réduire les risques d’intrusion sur leurs ordinateurs et d’autre part le caractère primordial de l’information des patients sur les opérations susceptibles d’être réalisées avec la carte Vitale. Le cœur de ce dispositif repose en effet sur l’accord préalable et exprès du patient avant toute consultation par le médecin. Enfin ce fichier ne pourra pas être consulté par les médecins du travail et les médecins experts ainsi que par les médecins des compagnies d’assurance. Cnil, rubrique Actualité, article du 10 octobre 2007 (Mise en ligne Octobre 2007)

Informatique et libertés, Vidéosurveillance - Vidéoprotection

Publication du 27ème rapport d’activité 2006 de la Cnil

/

Informatique et libertés Vidéosurveillance Publication du 27ème rapport d’activité 2006 de la CNIL Le 9 juillet dernier, la CNIL a publié son rapport annuel 2006 dressant le bilan de l’année 2006. Trois grandes tendances se détachent : la convergence des technologies ; la profusion des textes en France et en Europe ; la tension des relations entre les Etats-Unis et l’Europe en matière de protection des données. La Cnil dresse un bilan chiffré où elle met en exergue une augmentation de son activité en 3 ans de 570 %. Pour faire face à son activité, les moyens de la Cnil sont insuffisants. Alex Türk, son président, demande une revalorisation et une « sanctuarisation » de son budget. Concernant la convergence des technologies proprement dite, le bilan de la Cnil est le suivant : avancée de la vidéosurveillance qui se manifeste par un accroissement du nombre de déclarations relatives aux systèmes de vidéosurveillance (880 en 2006 contre 300 en 2005); encadrement de la géolocalisation des véhicules de salariés ; accroissement du recours à la biométrie (demandes multipliées par 10 en un an). CNIL rapport d’activité 2006 Paru dans la JTIT n°69/2007 (Mise en ligne Octobre 2007)

Actualités, Informatique et libertés, Secteur public

La Cnil va contrôler les traitements des constructeurs et concessionnaires automobiles

/

Informatique et libertés Secteur transport La Cnil va contrôler les traitements des constructeurs et concessionnaires automobiles Les pratiques commerciales exercées par les constructeurs et concessionnaires automobiles auprès de leurs clients ne sont pas conformes à la loi Informatique et libertés. A la suite de nombreuses plaintes de consommateurs concernant des sollicitations commerciales, la Cnil a décidé d’exercer son droit de contrôle et de vérification sur les traitements de données à caractère personnel détenus par les constructeurs et concessionnaires automobiles. En outre, les différents documents destinés aux particuliers (bon de commande, courrier publicitaire, formulaire, etc) ne comportent pas de mentions d’informations. Cnil, en bref, du 02/10/2007 (Mise en ligne Octobre 2007)

Cnil : organisation et pouvoirs, Informatique et libertés, Informatique et libertés Contentieux

Un agent assermenté de la Sacem qualifié d’auxiliaire de justice

/

Un agent assermenté de la Sacem ne peut être qualifié d’auxiliaire de justice au sens de l’article 25 de la loi Informatique et libertés et doit, en conséquence, obtenir l’autorisation de la Cnil avant de mettre en place un traitement relatif à des infractions. Le 6 septembre 2007, le Tribunal de grande instance de Saint-Brieuc a, en matière correctionnelle, rendu une décision précisant la notion d’auxiliaire de justice prévue par la loi Informatique et libertés en son article 25.

Cnil : organisation et pouvoirs, Informatique et libertés, Informatique et libertés Contentieux

L’adresse IP n’est pas une donnée à caractère personnel

/

La Cnil considère que l’adresse IP est une donnée personnelle, malgré deux arrêts contraires rendus le 27 avril et le 15 mai 2007 par la 13e chambre de la Cour d’appel de Paris, qui a estimé que le simple procès-verbal probatoire d’un agent assermenté de la Société civile de producteurs de phono-grammes (SCPP) ne constituait pas un traitement de données personnelles et ne devait donc pas être autorisé par la Cnil.

Retour en haut