Protection de la vie privée, une interview du président de CNIL
Nous fournissons toujours plus d’informations sur nous-même - et sans toujours le savoir - lorque nous utilisons le web. La collecte et l’utilisation de ces infos, très privées, parfois sur notre vie intime, nos convictions, sont-elles un danger pour nos libertés individuelles ? Comment sommes-nous protégés ?
Dans un papier précédent, j’avais fait part de mon point de vue sur les possibilités d’apparition d’un "Big Brother", essayant de montrer que cette tentation de contrôle n’est nullement technologique, mais forcément politique. Pour aller plus loin, j’ai voulu interroger l’autorité en charge de la protection de nos droits électroniques, la CNIL. Voici cette interview, dans laquelle son Président, Alex Türk, répond à mes questions.
Avec le développement des sites web communautaires et collaboratifs tels que myspace, facebook ou des systèmes de mails non privés, comme gmail, se pose le problème de la protection des données personnelles sur internet d’une manière plus aiguë. Quelle est la position de la CNIL sur de tels outils ?
Ces outils sont généralement gratuits (au moins dans leur version la plus utilisée), mais l’utilisateur n’est pas toujours conscient qu’en dévoilant des données personnelles sur sa vie privée, ses habitudes de vie, ses loisirs, voire ses opinions politiques ou religieuses..., il permet ainsi à ces sites de se constituer de formidables gisements de données susceptibles ainsi de multiples exploitations commerciales. Ces outils sont financés par la publicité qui peut ainsi être de plus en plus ciblée. En fait, il s’agit d’abord d’attirer l’audience la plus large possible pour ensuite pouvoir vendre la publicité au mieux.
Ainsi, l’utilisateur révèle des informations au fournisseur du service, mais aussi au reste du monde dans le cas des sites communautaires (surtout s’il n’est pas sensibilisé aux aspects I&L et qu’il ne maîtrise pas le paramétrage de la privacy). Si la plupart de ces outils offrent la possibilité de contrôler l’étendue de diffusion des contenus, le paramétrage par défaut favorise souvent une diffusion très large des contenus, sans souci adéquat de protection des données personnelles.
Par conséquent, des données destinées à être partagées uniquement dans la sphère privée sont stockées en ligne et peuvent parfois devenir accessibles à tous (par exemple par des moteurs de recherche) ; elles échappent dès lors au contrôle de l’utilisateur car il n’est pas possible d’effacer toutes les copies d’un document et il n’est pas réellement assuré que les données ne seront pas réutilisées à d’autres fins que celles annoncées.
De plus, les informations qu’un utilisateur peut révéler sur lui-même impliquent généralement d’autres personnes (par exemple la publication de photographies sur lesquelles se trouvent plusieurs individus). La distribution de contenu par un utilisateur peut donc impacter d’autres utilisateurs à leur insu de manière parfois irrémédiable.
En pratique, l’utilisateur ne maîtrise pas suffisamment ces nouveaux outils. Il apprend souvent à s’en servir à ses dépens, au fil des erreurs qu’il commet. Il est du devoir des fournisseurs de service en ligne et aussi des autorités de protection des données d’informer les utilisateurs pour qu’ils sachent utiliser les services correctement. La CNIL dialogue également avec les acteurs majeurs du secteur afin qu’ils prennent en compte les problématiques informatique et libertés dès la conception de leurs produits.
En parallèle, les utilisateurs doivent élever leur niveau de connaissance de base en matière de protection des données personnelles. Des actions d’information et de sensibilisation doivent donc être conduites par la CNIL, en particulier à destination des plus jeunes, afin d’améliorer leur niveau de connaissance et leur apprendre à utiliser correctement les services en ligne.
En cas de violation des droits de protection des données personnelles, l’entreprise contrevenante s’expose à quelles sanctions ? Ces sanctions sont-elles dissuasives ou avant tout pédagogiques ?
De façon générale, les sanctions pénales encourues en cas de violation de la loi informatique et libertés (prévues par les articles 226-16 et suivants du Code pénal) peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende. Par ailleurs la CNIL dispose depuis 2004 de pouvoirs de sanction administrative (injonction de cesser le traitement par exemple) et financière (qui peuvent aller jusqu’à 150 000 euros d’amende) qu’elle n’hésite pas à utiliser. Sous certaines conditions ces sanctions peuvent être rendues publiques.
Si les sanctions pécuniaires que la CNIL peut infliger peuvent apparaître faibles, elles ont cependant un effet dissuasif et pédagogique, dissuasif, car le fait d’être sanctionné par une autorité telle que la CNIL (en particulier si la sanction est rendue publique) peut avoir un impact non négligeable sur la réputation d’une société et la confiance des clients, pédagogique car les entreprises ainsi sanctionnées mettent généralement en œuvre des plans de mesures correctives pour assurer le respect de la loi.
Quels sont les moyens d’action de la CNIL face à des sites hébergés à l’étranger et donc non soumis au droit français ? En cas de violation des droits à la protection des données personnelles, que peut faire un internaute français ?
Il y a lieu de considérer que les principes de protection des données tels que définis notamment par la directive européenne sur la protection des données et la loi informatique et libertés ont lieu de s’appliquer dès lors qu’un recueil d’informations est réalisé auprès d’internautes français ou encore si des traitements sont réalisés sur des serveurs en Europe ou si des cookies sont implantés sur les ordinateurs des internautes européens.
Si un internaute pense qu’il y a violation de la législation en matière de protection des données personnelles, il peut saisir la CNIL.
La CNIL est membre du "groupe de l’article 29" au niveau européen, M. Türk, président de la CNIL en est même le vice-président. Quelles sont les préoccupations européennes en matière de protection des données personnelles ? Quels sont les chantiers en cours ?
Sur les aspects internet, le G29 , c’est-à-dire l’organisation regroupant toutes les CNIL de l’Union européenne, est en train d’élaborer un avis sur les moteurs de recherche pour préciser quelles pratiques doivent être respectées et bannies par les moteurs de recherche.
La directive 2002/58/EC est également en cours de révision et sera probablement soumise à avis du groupe.
Enfin, les sites communautaires seront très probablement au programme des études conduites en 2008.
Dans l’ensemble des actions que la CNIL entreprend chaque année, quelle proportion prend le web dans les problèmes de protection des données personnelles ? Et quelle est la tendance ?
La proportion est importante et augmente du fait de la dématérialisation croissante et du développement des services en ligne. Ainsi, de nombreux services étudiés par la CNIL mettent en œuvre des services web dans des domaines variés (e-administration, géolocalisation, dossier médical personnel, vote électronique, etc.)
Quel est le délai moyen de réponse à une plainte ?
Ce délai s’apprécie vraiment au cas par cas selon le type de plaintes. Certaines plaintes très simples peuvent être réglées en quelques jours. D’autres plus complexes, qui nécessitent des contrôles, puis des sanctions, peuvent prendre plusieurs mois.
En 2005, vous avez publiquement exprimé votre inquiétude pour l’avenir de l’institution en raison de sa pauvreté. Selon vos services, en 2007 la CNIL dispose-t-elle des moyens de la politique fixée par les pouvoirs publics ? Quels sont les besoins financiers et humains de la CNIL pour travailler correctement ?
Voir réponse question suivante.
Avec l’élection présidentielle et les élections législatives, la donne politique a évolué en France. La CNIL a-t-elle déjà eu des assurances concernant sa dotation financière et en personnels. Pourrez-vous rejoindre d’ici à deux ans la "moyenne basse" européenne, comme vous l’aviez demandé en 2005 ?
Lors de la présentation de son rapport annuel en juillet dernier, j’avais lancé un appel au gouvernement et au Parlement afin que la Commission soit dotée des moyens lui permettant de faire face aux nouvelles missions qui lui ont été confiées par la loi d’août 2004 ainsi qu’au développement des nouvelles technologies de traçage des personnes (vidéosurveillance, GPS, biométrie, RFID, nanotechnologies...).
A l’issue des négociations budgétaires menées ces dernières semaines, c’est un total de 15 emplois (l’effectif actuel de la CNIL étant de 95 agents), ainsi qu’une augmentation du budget de fonctionnement, que le gouvernement a attribué à la CNIL pour l’année 2008.
Dans ces conditions, la CNIL sera en mesure d’engager le développement d’une politique de contrôles adaptée aux réalités de l’informatique d’aujourd’hui et davantage protectrice du respect de la vie privée des personnes.
Je me félicite de cet effort très significatif puisqu’il nous permet de renforcer le service des contrôles, mais il est clair qu’il devra être poursuivi au cours des prochaines années, notamment de façon à permettre à notre Commission de mettre en place des délégations régionales pour traiter les problèmes que rencontrent nos concitoyens.
Dernière question : la CNIL est-elle suffisamment connue du grand public ? Quels sont vos initiatives pour combler un éventuel déficit d’image ? En définitive, la CNIL est-elle une autorité administrative indépendante au service des citoyens ?
La CNIL bénéficie d’une notoriété assez satisfaisante (39 % des personnes interrogées par TNS Sofres en décembre 2006 connaissaient la CNIL) et croissante. En revanche, cette même étude met en avant le manque de connaissance des droits en matière de protection des données personnelles. Ce droit est pourtant inscrit dans la charte européenne des droits fondamentaux, mais il est peu connu (27 % des personnes interrogées ont conscience de leurs droits).
Ne disposant pas d’un budget permettant des campagnes d’informations massives auprès du grand public, contrairement par exemple à l’autorité britannique, la CNIL utilise d’autres méthodes pour faire connaître son action et ses missions : relations avec les médias, site internet recueillant plus de 120 000 visiteurs par mois, lettre d’information électronique mensuelle adressée à 18 000 abonnés, édition de guides pratiques.
La CNIL a organisé depuis 2005 quatorze « Rencontres Régionales » à l’occasion desquelles elle est allée à la rencontre de l’ensemble des acteurs locaux concernés par la protection des données : entreprises, secteur social, secteur médical, avocats, secteur éducatif, services de l’Etat, etc. Il s’agit, au travers de ces actions de proximité, de mieux faire connaître la loi, la CNIL et la fonction de correspondant informatique et libertés et de pallier, pour le moment, l’absence de représentations régionales de la CNIL.
Propos recueillis par Manuel Atréide
18 réactions à cet article
-
Voila de la bonne information que vous ne lirez pas souvent dans les sites webs de « libé » ou « Le Monde » qui vous innondent de pubs,de spams,pour lire quelques dépêchent d’agences AFP.
L’utilisation de Facebook est interressante car c’est peut etre le début d’une nouvelle manière d’utiliser les données des utilisateurs et utilisatrices par des sociétés en vue d’en tirer profit pour des études marketing
-
@ Agoravox : Un article de Martin « Démographie et immigration : suicide collectif des Européens ? » a été publié hier et a reçu 121 commentaires. On a dit de cet article qu’il était raciste, ce qui n’est pas mon propos ; je suis contre toute censure.
Mon propos est que la seule réaction d’Agoravox est venue une heure avant que l’article ne soit enlevé. En trois (3) lignes, on est venu avouer que l’article était trop long - ce qu’il appartenait à la modération d’empêcher - pour ajouter, avec une rectitude politique parfaitement puérile, qu’il faut parfois contrevenir à la rectitude politique.
Je trouve navrante cette lâcheté de venir feindre de vous exprimer en vous assurant qu’on ne vous entendra pas et, surtout, que personne ne pourra engager avec vous un débat dont le passé semble indiquer qu’Agoravox n’aurait ni la culture, ni l’intelligence de sortir indemne. J’ai peur d’avoir dit trop de bien des médias citoyens avant de voir ce que des gens comme vous pourriez en faire. Je vais maintenant être plus critique.
Je viens vous le dire ici, parce que vous n’êtes plus là... et que, puisque vous n’avez ni nom ni visage, on peut bien cracher n’importe où en pensant que le vent apportera à chacun ce qu’il mérite.
Pierre JC Allard http://nouvellesociete.org/auteur.html
-
@ Pierre : Le pseudo AgoraVox dans l’article en question n’est pas le notre bien entendu. Sinon le commentaire serait en bleue. C’est un plaisantin qui a utilisé le pseudo AgoraVox.
-
C’est dommage qu’on est pas l’avis de ce monsieur sur le rapport Olivennes.
-
ni sur les données ethniques, même s’il est connu de tous.
-
J’aurai bien aimé connaitre son avis sur toutes ses sociétés qui « surveillent » les internautes par leur IP et qui se prenne pour la police ou la justice ainsi que combien de demandes d’autorisations de surveillance la CNIL recoit de la part de sociétés privées .... et quelle est la réponse de la CNIL.
-
@ toutes et tous ...
J’ai démarré ce travail visant à obtenir une interview de la CNIL il y a plusieurs semaines. Le processus a été long, mais je ne regrette pas ce temps passé, les réponses de la CNIL me semblent vraiment intéressantes à lire.
Bien sur, au moment où j’ai conçu l’interview, le rapport de Denis Olivennes n’était pas d’actualité. Au surplus, pour avoir évoqué de futures interviews avec mes interlocuteurs, je sais que la CNIL ne veut pas réagir ainsi « à chaud » sur ce genre de dossiers. Mais je compte bien en parler, le moment venu, lorsque le rapport sera dans les tubes pour une éventuelle loi.
Plus que d’alimenter une polémique, je crois que l’on doit attendre de la CNIL un avis raisonné, documenté, pris avec le recul necessaire. C’est en tout cas ce que j’attends, en tant que simple citoyen, d’une autorité de contrôle garantissant certains de nos droits les plus fondamentaux.
Maintenant, je ne suis pas ici pour prendre la défense de la CNIL, pas plus que je ne veux me mettre dans la peau d’un « procureur ». J’avais des questions à poser sur la problématique complexe des technologies web dans le cadre de la protection des droits des citoyens. Je crois avoir eu mes réponses. Tant par la parole, que par certains silences.
Manuel Atréide
-
Ce n’est peut être pas la solution idéale (trop de liberté ?), mais elle va certainement attirer de plus en plus de monde :
-
L’article met l’accent sur la protection de la vie privé mais il semble que la CNIL devrait avoir un rôle bien plus étendu. En effet, elle devrait être garante des droits de l’homme dans un monde où les nouvelles technologies rendent difficiles à l’ensemble des citoyens d’apprécier leur respect. Par exemple, je trouve la réaction de la CNIL fasse au problème du vote électronique insuffisante. Pour preuve, voici le communiqué de presse de la CNIL à la suite des votes électroniques dans les universités. http://www.ordinateurs-de-vote.org/Communique-de-la-CNIL-du-27.html
-
Une interview exclusive AV, c’est vraiment bien. Good job private.
-
Où en est-on à propos des emails ? Un courriel est-il considéré comme privé de la même manière qu’un courrier postal ?
L’interception d’un email est-il considéré comme une atteinte à la vie privée ?
Plus généralement, y-a-t-il une délimitation précise de ce qu’est l’espace privé d’un internaute ? A mon avis, ça devrait notamment inclure les espaces ftp et web privés (donc avec accès par mot de passe).
-
-
-
Merci Atreide pour cet article,
et on pourrait faire une petite distinction entre les hackers et les sociétés qui constituent des fichiers de données personnelles.
L’exploitation de ces fichiers à des fins mercantiles sont pourtant soumis à des lois sur la protection des données visant à protéger la vie privée, donc la liberté individuelle :
- loyauté et transparence de la collecte
- pertinence et exactitude des données collectées
- information des personnes sur les données collectées et leur finalité
- droit d’opposition ou consentement pour les données sensibles
- droit d’accès et de rectification
- obligation de sécurité et de confidentialité des données.
Une question reste non élucidée aux yeux de l’internaute qui se prévaut de cette législation : quelle est la finalité réelle du fichier, celle annoncée ( quand elle l’est ) correspond-elle vraiment à ce que l’on en fait ? Le véritable danger vient en fait de ces grandes firmes qui possèdent toutes les technologies pour observer chacun de nos mouvements et constituer, à notre insu, des fichiers qui méprisent les bases élémentaires de la vie privée. Ces fichiers seront revendues à prix d’or, à des fins publicitaires, marchandes, politiques......... ( une adresse email a une valeur marchande, et couplée à d’autres informations, vaut encore plus )
On ne pourra donc jamais avoir confiance dans l’avertissement donné de respect de la vie privée au rappel de la loi évoquée, et on ne sera jamais anonyme sur le net, malgré toutes les astuces technologiques possibles, à moins d’aller dans un cybercafé.
Et comme vous le disiez dans votre précédent papier, tout dépend en fait de l’esprit de celui qui a accès à ces données.
-
« L’exploitation de ces fichiers à des fins mercantiles est pourtant soumise... » On en perd les mots raisonnables de ces questionnements sur le net. On n’a jamais pensé qu’agora était une grande firme, c’est une place citoyenne de grande envergure où le média citoyen donne le meilleur pour l’entière satisfaction de chacun.
-
On vit à une époque où l’on peut se faire exploser la troche par une bombe, et ce qui vous fait peur ce sont les moyens d’éviter les massacres - c’est-à-dire la sécurité.
On savait qu’AgoraVox plaisait à la LCR, mais là ça devient vraiment grotesqie.
-
Pff. C’est avec le même argument que les lobbies des armes US justifient la vente libre : « Si on interdit la vente libre, il n’y aura que les gangsters qui seront armés ».
Vous imaginez bien que ceux qui veulent vous exploser la tronche avec une bombe ne vont pas le dire avec leurs coordonnées sur Internet !
-
Merci pour l’article
Derriere les actions que la CNIL fait, se cache une bien triste réalité.
Il est en effet admis que diverses modifications de loi ont fait perdre à cette comission son essence même. Il est ainsi possible de nos jours qu’un grand groupe privé nomme lui même par délégation un représentant "données personelles" afin que celui ci "effectue" lui-même les tâches incombées à la CNIL (avec quand même toujours une déclaration de création de fichiers).
De plus une loi de 2002 a réduit considérablement son champ d’action puisque celle-ci autorise les créations de fichiers dans certains cas par décret après juste avis. Auparavant, si la CNIL rendait un avis défavorable, le conseil d’état intervenait, tandis que depuis 2002 seul un décret ministériel suffit.Je ne nie pas du tout le travail remarquable qu’a pu, fait ou fera la CNIL, mais il faut regarder les choses en face. La multiplication des opportunités de collecter des données personelles rend difficile ce contrôle et j’omets volontairement toute une partie "fichiers d’état".
Il est aussi apparu par le passé que la CNIL pouvait céder au poids de la pression politique (ou du lobbying indirect, à votre choix). Pour le lobbying, tout le monde se rapellera ces 2 commerciaux de Virgin qui offrait des bons de réduction pour l’achat de musique en ligne, et cela à l’intérieur même de l’assemblée nationale française.
Une autre affaire où la CNIL a montré ses limites est le fameux fichier homosexuels de l’établissement français du sang ; là encore ce fichier existe toujours même s’il est bonne voie de disparaître. Il est certain que ce type de fichiers mêlant nationalité, orientation sexuelle, origine ethnique, positions syndicales, etc etc échappe au contrôle de la CNIL. La question est : pourquoi créer de tels fichiers ? Dans quel but ? A quoi servent-ils ? Sont-ils croisés avec d’autres fichiers (là le pire est à imaginer) ?
Pour moi, la CNIL a de belles ambitions et s’est de suite attirée une certaine "sympathie" de la part des internautes mais ses moyens d’action sont limités et sa composition laissent des fois perplexes (on ne pourra pas me contredire sur le fait que Axel TURK soit à la fois président d’une comission aussi importante et en même temps sénateur, cela peut créer une ambiguité)
Alors bien sur, une augmentation de budget est annoncée etc etc. Mais comme il est sous entendu dans l’interview "développement des nouvelles technologies de traçage des personnes" (on croit réver), cela servira t il à renforcer les moyens actuels pour les mêmes missions ou juste assurer le minimum financier nécessaire à tout fonctionnement des futurs fichiers qui risquent d’être créés (et qui seront surement créés).
Comme quoi beaucoup de questions restent en suspens, et évidemment on nous rabache les oreilles avec le piratage et compagnie sans un mot sur la protection des données personelles.
Et à ceux qui me répondront : "si tu n’as rien à te reprocher, ca ne doit pas te déranger" au motif d’une sacro-sureté de l’etat, je leur réponds :"on va surveiller votre trafic internet, et installer des caméras chez vous, si vous refusez c’est que vous avez quelque chose à vous reprocher"
La CNIL était le seul rempart crédible du citoyen lambda pour sa protection des données privées, beaucoup ont déchanté il y a deux ans ; depuis la rancoeur ne cesse de croitre au sein d’une certaine partie des internautes qui voit la son seul rempart céder sous le lobbying et le politique.
-
-
-
-
-
-
-
-
-
-
Ajouter une réaction
Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page
Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.
FAIRE UN DON
