Secteur internet

Un communiqué de la Cnil du 16 décembre 2010 précise que la Commission dispose désormais d’un profil sur les réseaux participatifs Viadeo et LinkedIn, après avoir ouvert un compte sur Facebook et Twitter.

Dans un article publié sur son site, la Cnil a constaté l’augmentation du phénomène de « Cyberbullying » ou harcèlement virtuel qui consiste en la création d’espaces de discussion sur Facebook ou sur des blogs afin d’y insulter, humilier ou menacer une personne. De manière générale, la Cnil considère que tout ce qui est préjudiciable à l’identité numérique d’une personne (piratage d’un profil Facebook

La Cnil a publié, le 26 mars 2009, un rapport du 5 février 2009 sur la publicité ciblée en ligne. Dans ce rapport, la Cnil rappelle que les systèmes de publicité en ligne mis en place par les acteurs de l’Internet sont soumis aux dispositions relatives à la protection des données à caractère personnel, dans la mesure où les données traitées peuvent être rattachées à un individu identifié ou identifiable.

Informatique et libertés Secteur internet Règles applicables aux réseaux sociaux : le G29 se prononce Afin de préciser et d’harmoniser les règles européennes, le G29 (groupe des CNIL européennes) a adopté un avis sur les réseaux sociaux sur internet. Cet avis vise également à renforcer, par les recommandations énoncées, la protection des données à caractère personnelles collectées auprès des internautes. Une réponse des principaux réseaux sociaux est préconisée par le G29, qui pourrait procéder à leur audition en fin d’année. Avis du G29 sur les réseaux sociaux

Informatique et libertés Secteur internet Création du système d’information Pharos Par un arrêté du 16 juin 2009, un système dénommé Pharos (plate-forme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements) a été créé au sein de la police nationale, afin de permettre aux utilisateurs et acteurs d’internet, et notamment aux internautes, fournisseurs d’accès et services de veille étatiques, de signaler, par le biais d’un site internet, à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, des sites ou des contenus contraires aux lois et règlements diffusés sur internet. Faux e-mails de fournisseurs d’accès à Internet, fausses informations diffusées par les messageries électroniques, escroqueries, autant de signalements qui sont susceptibles d’être traités par les policiers et gendarmes affectés à la Plate-forme Pharos. Ce traitement de données à caractère personnel recueille les signalements, réalise des rapprochements entre eux et les oriente vers les services enquêteurs compétents en vue de leur exploitation. Arrêté du 16 juin 2009 (Mise en ligne Juillet 2009)

Informatique et libertés Secteur internet Vives critiques sur Google Maps Google Maps, à l’origine, moteur de recherche de cartes et de plans, a développé une nouvelle application qui offre aux utilisateurs la possibilité de participer au développement des produits et services de Google, en leur permettant de donner leur avis sur les établissements et les professionnels référencés sur Google. Cette nouvelle application suscite de vives critiques. Ainsi, des professionnels de santé ont été consternés de voir apparaître sur leur profil, des commentaires anonymes désobligeants concernant leurs pratiques professionnelles ou des incidents survenus dans leur établissement, et ce d’autant plus que le contenu ne peut être supprimé. Les professionnels concernés ont immédiatement averti le Conseil National de l’ordre des Médecins, qui est intervenu récemment à propos d’un problème similaire concernant le site « not2bib», le site de notation des médecins. Ce dernier avait suspendu ses activités en raison notamment de l’impossibilité d’identifier les auteurs des commentaires. La Cnil devrait également se prononcer sur cette problématique et rappeler le droit de tout individu de s’opposer et de rectifier les données à caractère personnel le concernant. (Mise en ligne Octobre 2008)

Informatique et libertés Secteur internet Les français jugent insuffisante la protection de leur vie privée sur internet La Cnil a publié, le 13 octobre 2008, sur son site internet les résultats d’un sondage réalisé par IPSOS sur la perspection par les français de la protection de leur vie privée dans les fichiers en général, et sur internet en particulier. Il en ressort que 71% des personnes interrogées jugent insuffisante la protection de leur vie privée. Communiqué Cnil du 13 10 2008 (Mise en ligne Octobre 2008)

Informatique et libertés Secteur internet Google prêt à réduire à 9 mois la conservation des données de ses utilisateurs Dans son avis du 4 avril 2008 sur les moteurs de recherche, le groupe de l’article 29 qui regroupe les autorités européennes de protection des données préconisait l’effacement au bout de 6 mois des données personnelles enregistrées par les moteurs de recherche. Dans une réponse adressée le 8 septembre aux mêmes autorités européennes, Google annonce qu’il va réduire à 9 mois la conservation des données de ses utilisateurs. A cette occasion, il déclare que les adresses IP associées aux requêtes effectuées sur le moteur seront désormais anonymisées à l’expiration d’un délai de 9 mois (au lieu de 18 actuellement), sans toutefois spécifier les mécanismes d’anonymisation. Par ailleurs, pour informer clairement et sensibiliser les internautes à la protection des données, un lien vers sa politique de confidentialité figurera désormais sur sa page d’accueil. Mais sur le fond, le moteur de recherche n’est pas encore prêt à se soumettre à la législation européenne sur la protection des données. Il considère en effet qu’elle ne lui est pas applicable, alors même qu’il dispose de serveurs et d’établissements en Europe. Les autorités européennes doivent mener prochainement des auditions au cours desquelles elles aborderont les points de discorde avec Google. Le chemin est encore loin avant de pouvoir garantir les droits des internautes et assurer le respect de leur vie privée. A suivre… Avis 1/2008 du G29 sur les moteurs de recherche, 4 avril 2008 Communiqué de presse du G29 sur la réponse de Google, 8 septembre 2008 (Mise en ligne Septembre 2008)

Informatique et libertés Secteur internet Traitement des données personnelles par les moteurs de recherche : quelles sont les limites ? Dans son avis du 4 avril 2008 sur les moteurs de recherche (1), le groupe de l’article 29, qui regroupe les autorités européennes de protection des données, précise que les données à caractère personnel enregistrées par les moteurs de recherche doivent être effacées au plus tard au bout de 6 mois. Ce délai n’est toutefois fondé sur aucun cadre juridique existant dans l’Union européenne et peut sembler bien trop court pour constituer une règle efficace. Actuellement, le statut des moteurs de recherche ne fait l’objet d’aucune disposition spécifique dans la loi sur le commerce électronique (LCEN) (2), pas plus que dans la directive qu’elle a transposée (3). Bien au contraire, il a été prévu la remise d’un rapport sur l’application de la directive qui examinerait la nécessité de présenter des propositions relatives à la responsabilité des fournisseurs de liens hypertextes et de services de moteurs de recherche. En fait, la détermination de la loi applicable aux moteurs de recherche (à défaut de statut) trouve sa source à la fois dans la LCEN et dans la loi informatique et Libertés. La première assimile les moteurs de recherche aux activités de commerce électronique, lesquelles sont soumises à la loi de l’Etat membre sur le territoire duquel la personne qui l’exerce est établie. La seconde, modifiée en août 2004, retient le critère de « l’établissement stable » pour déterminer la loi nationale qui s’impose au responsable de tout traitement de données à caractère personnel (celui qui en détermine les finalités et les moyens). En l’absence d’établissement stable sur le territoire européen, la loi dispose que le responsable d’un tel traitement est néanmoins soumis à la loi nationale lorsqu’il recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire. Or, les moteurs de recherche détiennent de nombreuses données (Fichiers log, adresse IP, cookies, etc.), dont ils assurent la conservation pour des durées indéterminées. Les moteurs de recherche non établis en Europe doivent donc désigner un représentant établi sur chaque territoire national afin de se soumettre aux exigences de la loi locale. (1)Avis 1/2008 du G29 sur les moteurs de recherche, 4 avril 2008 (2) Loi du 21/06/2004 (3) Dir. CE n°2000/31 du 08/06/2000 Paru dans la JTIT n°80/2008 p.7 (Mise en ligne Septembre 2008)

Informatique et libertés Secteur internet Attention avant de recourir aux services d’un moteur de recherche ! Le groupe des 27 Cnil européennes a adopté, le 4 avril, à l’unanimité, un avis précisant que les données personnelles enregistrées par les moteurs de recherche, doivent être effacées au plus tard au bout de 6 mois (1). Cet avis présente un ensemble de conclusions et recommandations sur les obligations des moteurs de recherche et les droits des internautes. L’un des points principaux de l’avis concerne la durée de conservation des données personnelles par les moteurs de recherche. Force est de constater que les pratiques actuelles des grands acteurs du secteur font état de durées de conservation bien plus longues (de l’ordre de 13 ou 18 mois). Or contrairement aux fournisseurs d’accès internet ou aux opérateurs de télécommunications, les moteurs de recherche ne sont pas légalement tenus de conserver des informations sur les connexions des utilisateurs. La conservation de l’historique des recherches sert en fait à enrichir le profil des internautes (à des fins notamment de ciblage commercial) et à utiliser les historiques de recherche pour envoyer des publicités ciblées. L’avis rappelle que l’activité de profilage nécessite le consentement des internautes qui doivent, par ailleurs, être clairement informés de l’ensemble de leurs droits (droits d’accès, de rectification et de suppression des données). Les entreprises qui ont recours, gratuitement ou non, aux divers services proposés par les moteurs de recherche sont également concernées par cet avis en tant que responsables des traitements de données. Leur responsabilité est, en effet ,engagée, même si les données font l’objet d’une opération de traitement de la part d’un sous-traitant. Elles doivent, notamment, vérifier si ce dernier présente des garanties suffisantes pour assurer la mise en œuvre de l’obligation de sécurité (2). La violation de l’obligation de sécurité est assortie de sanctions pénales pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (3). Pour les personnes morales, la peine d’amende encourue est quintuplée et peut donc aller jusqu’à 1 500 000 euros. Quoiqu’il en soit, un dialogue devra s’engager avec les principaux acteurs du marché (Google, Yahoo, Microsoft et les moteurs nationaux) pour éviter l’explosion de plaintes de la part des internautes. (1) Avis 1/2008 du G29 sur les moteurs de recherche, 4 avril 2008 (2) Loi du 6-1-1978 art.35 ; (3) C. pén. art. 226-17. (Mise en ligne Mai 2008)

Informatique et libertés Secteur internet Rapport de synthèse de la consultation 2008 des internautes Le Forum des droits sur l’Internet a publié fin mars le rapport de synthèse d’une consultation réalisée auprès des internautes entre le 5 février et le 4 mars 2008. Ce rapport permet de dégager trois thèmes principaux sur lesquels les internautes se sont exprimés. Ces derniers ont tout d’abord exprimé leur préoccupation au regard de la protection de la vie privée et des libertés fondamentales sur internet. La question de la protection de l’identité numérique et de la collecte des données personnelles par des tiers, notamment sur les sites de socialisation, a été souligné par les internautes comme étant un problème majeur. Par ailleurs, les discussions ont porté sur la question de l’enseignement et d’internet. A ce titre, les internautes estiment qu’il est nécessaire de former les personnes aux technologies de l’information dès le plus jeune âge et d’améliorer la formation des enseignants aux nouvelles technologies. Enfin, un nombre important des messages a porté sur les difficultés rencontrées par les internautes au regard de leur fournisseur d’accès internet. Ces derniers sont pointés du doigt en raison des nombreuses coupures d’accès à internet. Les internautes réclament également davantage de protection du consommateur sur Internet et dénoncent le caractère intrusif des nombreuses publicités en ligne. Rapport de synthèse FDI de la consultation 2008 (Mise en ligne Mars 2008)

Informatique et libertés Secteur internet L’internet, un outil de démocratie «directe» encadré par la Cnil La Cnil applique au domaine politique le principe de l’opt-in posé en matière commerciale par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004. Elle fixe également certains garde-fous à cet outil de démocratie directe qu’est l’internet. Elle vient de mettre à jour les règles qu’elle avait successivement élaborée en 1991 et en 1996, alors que le spamming ne faisait pas encore partie de la panoplie des candidats à une élection. Elle a ainsi établi de nouvelles règles en ce qui concerne la gestion des fichiers internes des élus et partis politiques et l’organisation d’opérations de communication politique et d’opérations de parrainage. La principale nouveauté de cette recommandation concerne l’organisation d’opérations de parrainage, c’est-à-dire d’opérations par lesquelles les partis cherchent à s’adresser « directement » à une personne dont les données leur ont été communiquées par un tiers (collecte indirecte). Dans ce cas, la personne parrainée doit recevoir « un seul et unique message » qui devra préciser l’identité du parrain. Les coordonnées ainsi collectées devront être effacées à l’issue de l’envoi du message. S’agissant des opérations de communication, l’e-mailing politique ne peut concerner que des « personnes ayant exprimé leur consentement à être démarchées », principe de l’« opt-in » posé par la LCEN du 21 juin 2004 en matière de prospection commerciale « directe ». Un parti, un groupement à caractère politique, un élu ou un candidat peut donc utiliser, à des fins de communication politique, les fichiers commerciaux détenus par des tiers (fichiers de clients ou de prospects) ainsi que ceux qu’il détient à la condition toutefois que les personnes soient averties, au moment du recueil de leurs données, de la possibilité d’une telle utilisation et qu’elles ont par ailleurs, la possibilité de notifier leur accord ou leur refus. Cette contrainte pose des difficultés pour les bases de données constituées sur le principe de l’accord du destinataire (opt out). La CNIL recommande alors aux gestionnaires de ces bases de recontacter les personnes concernées en leur adressant un courrier électronique pour les informer que leur adresse électronique est dorénavant « susceptible d’être utilisée à des fins de prospection politique et de la faculté qu’elles ont de s’y opposer ». Dans son guide pratique intitulé « L’utilisation des fichiers dans le cadre d’activités politiques : obligations légales et préconisations de la Cnil » (téléchargeable sur son site), l’autorité de contrôle ajoute une règle qui ne figure pas dans sa délibération et qui est pourtant lourde de conséquences : « il appartient au parti ou à l’élu de vérifier que les sociétés ont adressé un courrier électronique à chacune des personnes (…) » ! Elle déduit cette obligation du fait qu’au regard de la loi Informatique et libertés, c’est lui qui est responsable du fichier utilisé dans le cadre d’une opération de prospection politique, même s’il a recours à des prestataires techniques, notamment pour l’envoi de messages. Il est le « maître du fichier ». En conséquence, il devra gérer cette obligation au niveau du contrat avec les prestataires. La Cnil prévoit également des limitations dans la gestion des radiations exprimées par les personnes, réservée uniquement « aux sociétés prestataires, afin que les partis ne tirent pas de conclusions des orientations politiques des internautes ». Enfin la Cnil rappelle que si les fichiers utilisés à des fins de communication politique doivent être déclarés, ils peuvent faire l’objet d’une formalité allégée d’engagement de conformité à la nouvelle norme 34 adoptée par la Cnil en même temps que sa recommandation. Délibération n°2006-229 du 5 octobre 2006 portant adoption de la norme simplifiée numéro 34 Délibération n°2006-228 du 5 octobre 2006 portant recommandation (Mise en ligne Octobre 2006)

Informatique et libertés Secteur internet Suppression du formulaire spécifique de déclaration de sites internet Le formulaire spécifique de déclaration de sites internet a été supprimé par la Cnil. Les sites internet doivent désormais faire l’objet, selon le cas, d’une déclaration normale complétée par des annexes, d’une déclaration simplifiée en référence à la norme n° 48 relative à la gestion des fichiers de clients et de prospects ou d’une déclaration de conformité à une dispense de déclaration tel que celles qui existent pour les sites personnels ou les sites d’associations. (Mise en ligne Mai 2006)

Informatique et libertés Secteur internet La collecte déloyale de données à caractère personnel sur les espaces publics de l’internet Aux termes de l’article 6 de la loi Informatique et libertés modifiée en août 2004, « les données sont collectées et traitées de manière loyale et licite ». Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. Pour les personnes morales, la peine d’amende encourue est quintuplée, soit 1 500 000 euros, et s’accompagne des peines prévues à l’article 131-38 du Code pénal. Il n’existe pas de définition légale de la collecte déloyale. Le caractère déloyal de la collecte est donc laissé à l’appréciation du juge. La collecte d’informations auprès de tiers, à l’insu des intéressés, constitue une manœuvre déloyale, ces derniers n’ayant pas la possibilité de faire jouer leur droit d’opposition à la collecte. Dans une décision du 14 mars 2006 la Cour de cassation a considéré que la collecte d’adresses électroniques personnelles dans les espaces publics de l’internet constituait une collecte déloyale. La Cour estime déloyal le fait de collecter des adresses sans en avertir les titulaires, en ne les mettant pas en mesure de consentir à cette collecte et de faire valoir leurs droits à ce moment. Cette position de la Cour de cassation contraint toutes les entreprises susceptibles de telles collectes à mettre les personnes concernées en mesure de faire valoir leurs droits sur leurs données, lors de la collecte. La présence d’une donnée à caractère personnel sur un espace public ne signifie pas que cette dernière soit libre d’utilisation. Lors de la collecte, il convient de s’assurer que les données peuvent être utilisées librement. (Mise en ligne Mars 2006)

Informatique et libertés Secteur internet Peer to peer : la Cnil autorise un système de détection du piratage sur internet La Cnil autorise le Syndicat des éditeurs de logiciels de loisirs (Sell) à mettre en œuvre des traitements automatisés de détection des infractions au Code de la propriété intellectuelle (1). La loi permet en effet aux sociétés de gestion collective de droits d’auteur (comme la SACEM) et aux organismes de défense professionnelle de mettre en place des outils collectant les adresses IP d’utilisateurs se livrant à des actes de contrefaçon (2). Ces adresses sont des données de connexion indirectement nominatives et ne peuvent donc pas identifier les internautes. Seul un rapprochement entre l’adresse IP et l’identité de l’abonné à qui le fournisseur d’accès à l’Internet (FAI) a attribué cette adresse permet une identification. L’obtention des données d’identification des personnes connectées au réseau ne peut s’opérer que sur réquisition du juge (3). Grâce à l’autorisation de la Cnil, le SELL pourra scanner le web à la recherche des clients de réseau p2p, collecter leur adresse IP (ou pseudos de connexion) et leur envoyer des messages sur le caractère illégal de leurs actes et les sanctions encourues. Les adresses IP ne pourront pas être conservées ni utilisées pour dresser un procès-verbal d’infraction. Toutefois, dans les cas limités, caractérisés par la gravité de l’infraction, les adresses IP recueillies permettront à la SELL de saisir la justice afin que les FAI fournissent les identités cachées derrière les adresses IP. (1) Délibération n°2005-005 du 18 janvier 2005 (2) Loi n°78-17 du 6 janvier 1978 modifiée, Article 9 (3)Code des postes et communications électroniques, Article L.32-3 (Mise en ligne Janvier 2005)