Nous avons souhaité établir une petite rétrospective, forcément subjective, des grands événements de cette année 2006. Le grand événement a évidemment été l'émergence des premiers CIL, Correspondants Informatiques et Libertés

| J | K | L | M | N | O | P | Q |


J comme Justice qui prend le relais de la CNIL pour condamner les infractions à la loi Informatique et Libertés. Depuis 1978, la CNIL dispose d'un pouvoir de dénonciation des infractions au Parquet ; les sanctions ainsi encourues ont été alourdies par la modification de la loi opérée en 2006.

En 2006, une société qui avait procédé à un sondage politique non anonyme (tout en l'ayant déclaré comme sondage simple) a été condamnée à une amende de 5000 € (avril) ; un dispositif d'écoutes téléphoniques mis en place par France Télécom pour améliorer son Support Client a été suspendu car non déclaré à la CNIL (avril) ; un P2Piste a été relaxé par le Tribunal Correctionnel de Bobigny en décembre, le traitement des adresses IP n'ayant pas été déclaré.

Enfin, la Cour de Cassation a défini en mars la notion de « collecte des données » dans une affaires de spam dénoncée par la CNIL (il est donc interdit d'aspirer des adresses e-mail sur des sites internet). Les tribunaux fondent fréquemment leurs décisions sur d'autres textes (loi Godfrain, LCEN…) ; le volet « Sanctions » de la loi Informatique et Libertés est ainsi assez sous-utilisé.

En savoir plus :
Un communiqué de la CNIL
L'arrêt du 14 mars 2006 de la Cour de Cassation (source Legalis.net)
Un article du Forum des Droits sur la condamnation de France Télécom




K comme Keylogger, dispositif permettant d'enregistrer l'activité d'un utilisateur à son insu (frappes de touches du clavier, clics souris…). Cette bonne vieille technique d'espionnage connait une nouvelle jeunesse. Ces logiciels permettent de récupérer des données sensibles comme les numéros de carte bancaires, de sécurité sociale, les identifiants de connexion, etc. Le CERTA a émis des recommandations de vigilance en décembre 2006, signe de la constante actualité de ce type de danger. En France, un réseau d'une dizaine de personnes a été arrêté en janvier pour avoir volé des codes d'accès de comptes bancaires en ligne via un keylogger.

En savoir plus :
Les recommandations du CERTA du 22 décembre 2006
Un article de la rédaction de 01Net

K, c'est aussi…
Kazakhstan : malgré nos efforts, nous n'avons pas trouvé trace d'une politique de Protection des Données Personnelles… pas plus qu'au Kirghizistan voisin, au Koweit ni au Kenya (non, le Kremlin n'est pas un pays). Et vous, avez-vous des informations ?




L comme Lieu de travail. Cybersurveillance, géolocalisation, gestion des accès et des horaires, mise en oeuvre de dispositifs d'alertes professionnelles… La frontière entre vie privée et activité professionnelle a connu de nombreuses modifications cette année. La Cour de Cassation a par exemple précisé sa jurisprudence « Nikon » en matière de communication électronique : « les dossiers et fichiers créés par un salarié grâce à l'outil informatique mis à sa disposition par son employeur pour l'exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l'employeur peut y avoir accès hors sa présence » (C. Cass. 18 octobre 2006). La CNIL a fait face à la montée de la biométrie au sein des entreprises et au développement des outils de géolocalisation (en particulier via les dispositifs GSM). Afin de canaliser les dossiers, la Commission a adopté des autorisations uniques et des recommandations définissant un cadre légal de déploiement de ces technologies.

En savoir plus :
Les autorisations uniques adoptées par la CNIL
L'arrêt du 18 octobre 2006 de la Cour de Cassation (source Forum des Droits)
Un article sur le site de The Register




M comme Médecine ou Donnée Médicales. En la matière, l'année 2006 a été marquée par le dossier du DMP (Dossier Médical Personnel) et l'hébergement de données de santé. En janvier, un décret fixe la procédure d'agrément des hébergeurs de données de santé. En juin, la CNIL autorise l’expérimentation du DMP dans treize régions et dix-sept sites pilotes retenus par le Groupement d’intérêt public du dossier médical personnel ( GIP-DMP). En décembre, le Conseil Constitutionnel censure 18 articles de la loi de financement de la Sécurité Sociale, dont deux relatifs au déploiement du DMP. Dans le même temps, l'expérience pilote menée par Santénergie tourne à la catastrophe,avec un arrêt du service pendant 3semaines et un audit de sécurité, lorsqu'un médecin testeur découvre un mécanisme de mots de passe digne d'un programmeur débutant… En 2007, on ne connait toujours pas le calendrier de mise en oeuvre du DMP.

L'inquiétude sur la protection de la vie privée des données médicales est également grandissante en Amérique du Nord. Les accès indus aux dossiers médicaux se multiplient (certaines personnalités se faisant soigner sous un faux nom) aux Etats-Unis. Au Canada les dossiers sont désormais indexés par un logiciel financé par la CIA. Deux situations mais une constante : le recul de la confiance des patients.

En savoir plus :
La CNIL autorise les expérimentations du dossier médical personnel
La décision du 14 décembre 2006 du Conseil Constitutionnel
Un article de Fulmedico sur la faille de sécurité chez Santénergie
Un article du New York Times concernant l'informatisation des données médicales
Un article de la presse canadienne




N comme NIR (Numéro d'Inscription au Répertoire d'identification des personnes), plus connu pour être le Numéro de Sécurité Sociale. A l'origine de la création de la CNIL et de la loi Informatique et Libertés suite à l'affaire SAFARI, le NIR est entouré de nombreuses précautions : l'utilisation d'un identifiant unique faciliterait l'interconnexion de fichiers, mais permettrait de tracer les individus dans tous les actes de la vie courante. Cette question revient pourtant régulièrement sur le devant de la scène : la CNIL a ainsi refusé en février l’utilisation du NIR par des organismes de recouvrement de créance au motif que la lutte contre la fraude ou l’homonymie n'est pas suffisante.

Seul l'intérêt général peut commander le recours au NIR ; dès lors, le gouvernement essaie d'activer ce levier dans le cadre du DMP : le NIR deviendrait ainsi l'identifiant santé unique permettant d'alimenter et de consulter le dossier médical du patient. La loi sur le financement de la Sécurité Sociale prévoyait une demande d'« avis conforme » de la CNIL sur cette question ; mais en décembre, le Conseil Constitutionnel a censuré cette disposition, estimant que seul un avis simple peut être demandé. L'utilisation du NIR est pour l'instant écartée…Par ailleurs, une vague d'opposition voit le jour : une pétition a été lancée pour appuyer la CNIL dans son refus l'utilisation du NIR.

En savoir plus :
Le rejet par la CNIL de l'utilisation du NIR sans motif d'intérêt général
L'actualité du NIS sur le blog du Dr. Fraslin de FULMEDICO
La position du GIP-DMP sur l'utilisation du NIR… et celle du Directeur des Services de Bull, acteur de l'expérimentation DMP
La pétition réclamant le rejet du NIR comme identifiant santé


N, c'est aussi…
Nomadisme, nouvelle forme de travail facilitée par le développement d'appareils portables. Le travail mobile et à distance peut toutefois faire courir des risques pour la protection des données. La perte d'un support (PC, CD-Rom, Clé USB) conjuguée à une sécurité défaillante (cryptage généralement inexistant) et aux erreurs humaines présentent un risque majeur pour la perte de données et leur réutilisation non autorisée.




O comme Ouverture de la CNIL sur ce qui l'entoure. La Commission a poursuivi ses efforts en matière de communication : nouvelles étapes du « Tour de France », mise en place d'un service « front-office » de renseignements téléphoniques, formations des premiers CIL, publication intégrale de délibérations de sanctions… La communication est un axe de travail important d'Alex Türk, Président de la Commission. Reste à poursuivre et améliorer les efforts entrepris, par exemple en publiant systématiquement les sanctions prises.




P comme Prospection politique, l'échéance des élections favorisant cette tendance. 2006 fut émaillée par l'affaire dite du « Sarko-spam » et l'envoi par milliers de courriers électroniques non sollicités. La CNIL est intervenue timidement dans le débat, en publiant une recommandation à l'intention des parties. Pourtant, cette affaire révèle l'interprétation extensive qui peut être faite de la LCEN – pour la CNIL, la loi autorise le « spam » BtoB – et le laxisme de certains vendeurs de fichiers d'adresses dans la segmentation des publics cibles. Il ne faut pas oublier que la loi Informatique et Libertés prohibe le traitement des idées politiques ou syndicales ; la violation de ce principe est constitutive d'un délit, passible de sanction pénale. C'est ce qu'a appris en avril le sondeur, dénoncé au Parquet par la CNIL, qui n'avait pas anonymisé ses questionnaires politiques.

En savoir plus :
La recommandation de la CNIL sur la constitution de fichiers dans le cadre d'activités politiques
Le compte-rendu de la table ronde organisée par la CNIL suite à l'affaire du « Sarko-spam » (source : Frédéric Couchet)


P, c'est aussi…
La Plainte déposée en Irlande par le Digital Rights Ireland contre la directive européenne 2006/24 CE sur la conservation des données (ce texte commande la rétention de données de connexion internet ou téléphoniques, filaires ou sans-fil). Le groupe reproche à la Directive de ne pas assurer une proportionnalité entre les mesures envisagées et la vie privée de millions d'individus.




Q comme la Question soulevée en novembre par la Conférence des Commissaires à la protection des données : « Vers une société de surveillance ? ». A cette occasion, les autorités européennes de protection des données se sont inquiétées de la multiplication des fichiers publics aux objectifs sécuritaires et de l'accélération technologique. Les manques d'anticipation, de concertation et de réflexion des pouvoirs publics sont vivement regrettés par les Commissaires européens. En France, la CNIL relaie cette idée en février puis en juillet, lorsqu'elle se demande si elle a été « écoutée » lors de l'adoption des lois antiterrorisme et prévention de la délinquance. En parallèle, l'association Privacy International dresse une carte des pays en fonction de leur niveau de surveillance.

En savoir plus :
Le rapport de la Conférence des Commissaires sur le thème de la société de surveillance
La CNIL a-t-elle été écoutée ?
L'étude de l'association Privacy International sur les sociétés de surveillance