COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS (CNIL)
M. Gwendal Le Grand, directeur des technologies et de l'innovation
12 février 2014
Depuis une dizaine d'années, le centre de gravité des intérêts de la CNIL s'est complètement déplacé et prend de plus en plus en compte la dimension économique des données à caractère personnel et les modifications profondes induites par l'informatisation de la société dans son ensemble. Ce que l'on voit aussi, à une échelle macroscopique, c'est le passage d'une informatique de gestion des systèmes à une informatique de la donnée. Aujourd'hui, la valeur est dans la donnée ; des géants de l'Internet traitent de la donnée. Beaucoup d'entreprises gèrent de la donnée, de l'information et vont en tirer de la valeur.
La quantité de données produite par l'humanité, depuis son origine jusqu'en 2003, c'est à peu près cinq téraoctets de données, soit cinq mille milliards d'octets et, en 2010, il suffisait de deux jours pour produire l'équivalent de cette information.
Cette tendance n'est pas près de s'arrêter ; aujourd'hui, on parle d'informatique, de numérique ambiant, d'Internet des objets ; des études de Bi Intelligence ou de l'IDATE prédisent que, en 2018, il devrait y avoir dix-huit milliards voire quatre-vingts milliards d'objets connectés, ces objets échangeant des données, produisant des données qui ensuite sont traitées par les systèmes.
La CNIL s'est adaptée à cette mutation profonde de la société et elle essaie d'anticiper au mieux les risques dans cet environnement. C'est d'autant plus important que les entreprises qui traitent les données à caractère personnel, traitent de manière indifférenciée les données industrielles, les données de leurs clients, des données de prospects, des données de salariés qui sont bien souvent des données à caractère personnel.
Les problématiques de sécurité des systèmes d'information, de protection des données industrielles des entreprises recoupent donc très largement les problématiques de protection des données à caractère personnel pour lesquelles la CNIL est compétente.
Trois points vont préciser l'action de la CNIL dans cet environnement : d'abord, les aspects stratégiques pour les entreprises et l'ensemble des acteurs liés à la donnée. Quelle est la valeur de la donnée ? Quels sont les problèmes créés d'un point de vue informatique et libertés par les traitements de donnés utilisés aujourd'hui ?
Deuxièmement, la sécurité des systèmes d'information : dans la loi informatique et libertés, l'article 34 indique que, lorsqu'on traite des données de caractère personnel, on est tenu de garantir leur sécurité. Pour cela, la CNIL a produit un certain nombre d'outils pour aider les entreprises à sécuriser leur système de données.
Troisième aspect : comme la sécurité repose beaucoup sur l'humain, un accompagnement des entreprises a été mis en place. Plus largement, vis-à-vis du grand public, des actions sont menées autour de l'éducation numérique.
Sur le premier point, quant à l'aspect stratégique pour les entreprises et pour l'ensemble des acteurs du traitement de données à caractère personnel , les données personnelles sont devenues indispensables à l'économie moderne. On parle de pétrole du numérique, de puissance du futur... On invente de nouveaux termes pour qualifier les données à caractère personnel et montrer qu'elles ont de la valeur et qu'elles alimentent tous les services de la société de l'information.
L'action menée récemment par la CNIL vis-à-vis de Google , en partenariat avec ses homologues au niveau européen, a conduit à conclure que la politique de confidentialité de Google n'était pas conforme aux règles européennes ; l'information donnée aux personnes lors de l'utilisation de ces services était insuffisante, les utilisateurs ne disposant pas d'un contrôle suffisant sur les combinaisons des données ; enfin, Google ne précisait pas la durée de conservation, comme demandé dans la loi informatique et libertés.
C'est la raison pour laquelle, au début de l'année 2014, la formation restreinte de la CNIL a prononcé une sanction financière contre Google qui a interjeté appel de cette sanction. Non pas pour son côté financier mais pour l'obligation de publier cette sanction sur le site de Google : www.google.fr . Un référé suspension contre cette obligation a été rejeté par le Conseil d'État la semaine dernière et, cette semaine, samedi et dimanche derniers, sur le moteur de recherche, un avis indiquait que Google avait été condamné à publier le fait qu'il avait été sanctionné pendant quarante-huit heures.
Ce cas montre bien que, pour un grand nombre de sociétés, les plates-formes sont en compétition pour collecter un maximum de données personnelles et aussi pour capter les clients dans leur écosystème. Aujourd'hui, si vous achetez un smartphone , quel que soit son système d'exploitation, une des premières choses qui va vous être demandée sera de créer un compte qui incitera à pousser l'ensemble de vos données dans les services du cloud computing . Évidemment, il y a des fonctionnalités qui sont offertes pour passer d'un terminal un autre ou pour sauvegarder vos données, mais vous devenez souvent, aussi, captif de l'écosystème de cette société-là. Par ailleurs, de plus en plus de données sont traitées en raison de la multiplication des capteurs et de plus en plus d'informations sont envoyées à cette société.
En parallèle, émerge un second marché de la donnée, celui de l' open data . En libérant les données de leur collecteur initial, on crée les conditions d'une nouvelle utilisation via de nouveaux services innovants. Dans l' open data , dans bien des cas, ce seront des données statistiques et non des données à caractère personnel.
Enfin, on voit l'explosion des objets connectés . La CNIL mène actuellement une étude sur la quantification de soi grâce à tous les objets utilisés dans la sphère « santé bien-être » : balances connectées, tensiomètres connectés, etc., pour comprendre à quels acteurs ces données peuvent être transmises. Tout cet écosystème a beaucoup de valeur.
Des études ont été publiées, dont une étude du Boston Consulting Group , qui évalue à 315 milliards de dollars, en 2012, la valeur économique de ces données qui, en 2020, devrait être de mille milliards de dollars, ce qui est une valeur considérable et un potentiel très important en matière d'innovation.
Les données qui circulent concernent aussi bien les entreprises ou leurs salariés que les personnes privées ; elles vont toutes circuler sur les mêmes canaux d'information. Évidemment, cela crée des risques puisqu'il est possible, dans certains cas, de capter ces données, de les analyser.
Ces risques ont été pris en compte depuis plusieurs années par la CNIL. En 2012, la CNIL a publié une recommandation à destination des entreprises qui envisagent de recourir au cloud computing pour leur expliquer la démarche à suivre. Dans les recommandations de la CNIL, le risque d'accès d'autorités étrangères aux services d'informatique en nuage avait bien été identifié. Autre exemple, il y a quelques années, la CNIL a été très active sur les affaires PNR et Swift . Quand le président de la CNIL de l'époque, M. Alex Türk, avait été auditionné par l'Office, il en avait beaucoup parlé et ce sont des sujets sur lesquels la CNIL a été très présente pour obtenir le maximum de garanties en faveur de la protection des données à caractère personnel.
Quant à l'accès par les autorités étrangères dans le cadre de l'affaire Prism , c'est un sujet que la CNIL avait beaucoup anticipé. Dès mars 2013, un cycle d'auditions, avec des conclusions en septembre 2013, avait été organisé, donc avant l'affaire Prism .
Cette affaire a montré qu'il y avait une possibilité d'accès à tout type de données . En effet, le Patriot Act concerne toute sorte de données. Les « any tangible things », selon les termes de la loi, peuvent être n'importe quel objet, des livres, des enregistrements, du papier, des documents, aussi bien des données personnelles que confidentielles, que des données liées à des activités commerciales. Il y a derrière cela des enjeux en termes de protection des données et d'intelligence économique assez importants. De plus, les champs d'application du Patriot Act et de la loi Foreign Intelligence Surveillance Act ( FISA) sont extrêmement larges puisque la compétence territoriale s'étend à toutes les personnes morales et physiques américaines mais également aux sociétés étrangères dès lors qu'elles ont un bureau, une boîte de dépôt ou une activité en rapport avec le territoire américain. Rien ne garantit qu'une société européenne installée aux États-Unis d'Amérique en soit exclue.
Les sociétés destinataires d'une demande des autorités américaines se fondant sur la législation FISA sont soumises à une obligation de discrétion très stricte qui leur interdit de communiquer sur ce sujet. Il est très difficile d'avoir de l'information sur l'étendue des accès qui sont réalisés.
Au-delà de ces questions, les sites des grandes sociétés de l'Internet publient des rapports de transparence, transparency reports , qui montrent comment ces sociétés répondent aux demandes des différentes autorités dont le nombre ne cesse de s'accroître.
La différence entre le taux de satisfaction des demandes émanant des États-Unis par rapport au taux de satisfaction des demandes provenant d'autorités européennes comme la France est significative. Pour les autorités américaines, cela approche 100 % de réponses, de 90 % à 100 %, mais cela n'est plus que de 50 % pour les autorités françaises.
L'affaire Prism est une opportunité aussi bien du point de vue de la protection des données à caractère personnel que pour les entreprises françaises du secteur de la sécurité et du cloud computing , par exemple . Une étude de l'Information Technology and Innovation Foundation (ITIF) a montré que l'affaire Prism pourrait coûter plus de 30 milliards de dollars aux entreprises américaines dans les trois années qui viennent du fait d'une crise de confiance entraînant une perte de parts de marché pour ces sociétés de cloud computing .
Une autre étude du Cloud Security Alliance de 2013, indiquait que 10 % des sociétés interrogées déclaraient avoir annulé des projets de cloud computing après l'affaire Prism . Cela traduit une crise de confiance face à certains acteurs américains de ce secteur. Vu avec un regard européen, cela peut constituer des opportunités pour les entreprises françaises qui offrent des services numériques dans les nuages plus transparents, conformes à la législation communautaire relative à la protection des données personnelles . Un certain nombre d'acteurs, comme OVH ou Cloudwatt , faisaient déjà de la localisation des serveurs sur le territoire français un argument commercial sur le plan des données personnelles comme pour certains aspects de la sécurité des systèmes d'information.
La CNIL a toujours été très attentive aux questions de sécurité des systèmes d'information car c'est une mission qui lui est conférée par la loi informatique et libertés. L'article 34 de cette loi dispose que les entreprises, en tant que responsables de traitement des données, doivent garantir la sécurité des données qu'elles traitent ; c'est le manquement à cette obligation qui est le plus fréquemment retenu par la CNIL avec 18 % du total des manquements retenus en 2012.
L'obligation de sécurité, l'incitation à la mise en place de bonnes pratiques de sécurité n'est pas uniquement du domaine de compétence de la CNIL puisque l'ANSSI a été très active dans ce domaine-là et que l'Office est très attentif aux travaux de l'ANSSI, qui partage avec la CNIL des préoccupations communes dans le domaine de la sécurité.
Les règles d'hygiène numérique de l'ANSSI sont partagées par la CNIL qui a développé ses propres outils en matière de sécurité informatique. En 2010, la CNIL a publié un guide à destination des PME qui donne des conseils basiques dans le domaine de la sécurité, indique des précautions minimales. En 2012, la CNIL a publié un guide avancé de gestion des risques s'appuyant sur la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), qui est une méthode de l'ANSSI reconnue en matière de sécurité que la CNIL a adaptée à la protection des données à caractère personnel.
Les actions de la CNIL et de l'ANSSI sont complémentaires. En général, en matière de sécurité des systèmes d'information, on s'intéresse aux risques pour l'entreprise, alors qu'en matière de protection des données, on s'intéresse aux risques pour les personnes . Les mesures techniques à mettre en place dans chacun de ces cas sont souvent similaires. Par exemple, le chiffrement des données garantit la confidentialité des échanges, ce qui protégera la personne mais aussi l'entreprise.
La CNIL a réalisé un guide de gestion des risques en deux parties traitant des données des entreprises et des données à caractère personnel et proposant un catalogue de mesures à mettre en place. Un responsable de sécurité aujourd'hui va savoir appliquer les deux méthodes de protection tout à fait correctement. Dans les algorithmes de chiffrement, il y a des renvois au référentiel général de sécurité (RGS) publié par l'ANSSI pour qu'il y ait une cohérence entre les instruments recommandés.
À propos des relations entre la CNIL et l'ANSSI , il existe des situations de travail en commun et d'autres où la CNIL a sollicité les conseils de l'ANSSI et inversement. Celle-ci a audité les systèmes de la Fédération nationale de la mutualité française et d' AXA pour la qualité de l'anonymisation des feuilles de soins électroniques. La CNIL a participé à des formations dispensées à l'ANSSI. La CNIL effectue des sensibilisations et des formations dans le cadre de la loi informatique et libertés et il y a des personnels actifs à la CNIL qui sont des anciens employés de l'ANSSI. Il existe des comités de pilotage, par exemple sur l'identifiant national de santé, où les deux instances sont représentées. Il y a quelques années, le Livre blanc, intitulé « Le guide pratique du chef d'entreprise face au risque numérique », a été élaboré en commun avec la participation de la CNIL et de l'ANSSI. La CNIL participe à la commission de normalisation de la sécurité des systèmes d'information à l'AFNOR. Enfin, l'ANSSI a mis en place récemment un groupe de travail sur la qualification de sécurité des systèmes de cloud computing et la CNIL y participe.
Au-delà de l'obligation de sécurité de l'article 34, une nouvelle obligation figure dans la loi depuis 2011, avec la transposition du paquet télécoms, à savoir la notification des failles de sécurité qui s'applique aux opérateurs qui doivent, quand ils subissent une violation de données à caractère personnel, la notifier à l'autorité compétente, à savoir la CNIL. Quand la violation est suffisamment sensible et susceptible de porter atteinte aux données de la vie privée des personnes concernées, il faut également informer ces personnes.
La transposition dans la loi informatique et libertés du règlement européen n° 611/2013, adopté le 24 juin 2013 et entré en application le 25 août, précise les modalités décrites dans la directive et demande notamment que les délais de notifications aux autorités d'une faille de sécurité soient de vingt-quatre heures et de soixante-douze heures pour compléter cette notification, le contenu de la notification est détaillé dans le règlement.
Le 3 février 2014, une réunion de l'ensemble des opérateurs a eu lieu à la CNIL pour leur rappeler l'ensemble de leurs obligations ; les délais de notification des failles n'étaient, pour ainsi dire, jamais respectés. Un communiqué de presse sur le site de la CNIL rappelle les obligations des opérateurs. La CNIL a d'ailleurs mis en place une procédure sur son site pour que les opérateurs puissent notifier électroniquement les violations à la CNIL et pour leur permettre d'évaluer le niveau de gravité de la violation qu'ils subissent.
Le troisième point, c'est le volet accompagnement et éducation au numérique , en plus du volet technique. La sécurité c'est aussi une affaire liée aux pratiques des personnes. La CNIL conduit des actions d'accompagnement des entreprises et d'autres à destination du grand public.
Pour les entreprises, la CNIL se réorganise actuellement pour répondre au mieux aux besoins de ses clients, de ses usagers, des entreprises en contact direct avec la CNIL, pour mettre en place une vision centrée sur la personne afin de mieux appréhender les besoins en matière de sécurité.
Par exemple, les recommandations sur le cloud computing ont été précédées d'une consultation de l'ensemble des acteurs ; l'avis des entreprises offrant des services de stockage en nuage et celui des PME souhaitant les utiliser ont été recueillis ; un jeu de recommandations a été produit incluant des clauses contractuelles qui peuvent être reprises dans les contrats à venir.
Faut-il rappeler que le cloud computing peut se définir comme l'informatique en nuage où la ressource informatique est externalisée auprès d'un prestataire qui s'en charge et fournit des ressources de calcul ou d'infrastructures loin des locaux de l'entreprise. L'avantage réside dans la flexibilité offerte par le service ainsi que dans le fait que la prestation informatique puisse généralement être payée à la demande, au service.
Le problème dans les services de cloud computing est qu'il y a souvent peu de garanties sur la localisation des données. Il s'agit-là d'une préoccupation majeure des entreprises, surtout depuis l'affaire Prism . Certains acteurs comme OVH ou Cloudwatt , acteurs français, essaient de mettre en avant un certain nombre de garanties dont la localisation des données.
Les conseils de la CNIL aux entreprises consistent à leur donner des clés pour leur permettre de mieux choisir une offre de nuage numérique, intégrer la protection des données à caractère personnel et éviter la fragilisation du patrimoine informationnel des entreprises.
La CNIL explique que ce nuage numérique peut être utilisé pour certaines données mais pas pour toutes. Il faut bien cerner les exigences techniques et juridiques pour choisir une offre car la plupart des offres d'informatique en nuage sont des offres de contrat d'adhésion qu'il sera impossible de négocier , notamment pour les PME. À l'inverse, les services pour les grosses entreprises pourront être négociés ligne par ligne mais seront plus chers.
L'hébergement des applications « métier » de votre messagerie peut être géré dans l'entreprise ou par un prestataire informatique.
Le stockeur de données assure des systèmes de sauvegarde et stocke sur plusieurs sites , ce qui garantira une sauvegarde sur ces autres sites.
Il existe différents types d'informatique en nuage : le SaaS ( Software as a Service ), pour le logiciel, le PaaS ( Platform as a Service ), pour la plate-forme de développement, ou l' IaaS ( Infrastructure as a Service ), pour l'infrastructure.
Autre exemple d' accompagnement des entreprises par la CNIL , il s'agit des pactes de conformité . Des instruments sont mis à la disposition des entreprises d'un secteur particulier pour leur permettre de se mettre en conformité avec la loi informatique et libertés. La protection de la vie privée est alors intégrée dès la conception des produits.
Dans ce cadre, la CNIL a développé un partenariat avec la Fédération des industries électriques, électroniques et de communication (FIEEC) - mille milliards d'euros de chiffre d'affaires cumulé - qui a beaucoup travaillé sur la problématique des compteurs intelligents, les objets connectés et les services situés en aval du compteur. Un groupe de travail CNIL-FIEEC a été mis en place pour intégrer dans les nouveaux services innovants la problématique informatique et libertés. La CNIL permet un saut de confiance pour les industriels et les usagers. Les produits qui respectent les exigences de la loi informatique et libertés jouissent d'une meilleure image auprès de leurs acquéreurs potentiels.
C'est la même démarche qui a conduit la CNIL à participer au Comité de la filière industrielle de sécurité, le CoFIS.
Par rapport à l'éducation du grand public au numérique , la CNIL a pris l'initiative de constituer un collectif pour l'information numérique du grand public, candidat à la grande cause nationale 2004, rassemblant une cinquantaine d'organisations qui considèrent unanimement qu'il y a urgence à diffuser la culture du numérique, à former les différents publics, à tous les âges de la vie, pour permettre à chaque individu d'être un acteur du numérique informé et responsable et d'exercer de manière effective ses droits et devoirs dans ce domaine .
Si cette offre d'éducation numérique était retenue comme une grande cause nationale, cela permettrait d'avoir un accès privilégié aux médias afin de toucher un très large public.
Cette modalité d'action a été choisie pour changer d'échelle dans les actions pédagogiques à mener. Ces nouvelles actions permettront de donner une réelle visibilité nationale à un sujet absolument crucial qui est en train de transformer la société de manière très profonde.
À propos de la confiance à accorder aux services de cloud computing, le stockage peut être distribué dans des infrastructures du réseau informatique avec une partie des informations vous concernant se trouvant sur un serveur ou un autre en fonction des ressources louées par le fournisseur de services de nuage. Les données peuvent migrer d'un serveur à un autre au cours de la journée ; cela est techniquement possible et dépend de la disponibilité des réseaux et de la manière dont ils sont organisés. C'est totalement invisible pour l'utilisateur.
Vous consommez un service et ne savez pas où sont stockées vos données.
Les services sont offerts à une multitude de sociétés et l'allocation de ressources est dynamique. Par exemple, pour prendre une image dans le monde électrique, une centrale nucléaire va produire beaucoup d'électricité à un moment et il y aura des pics de production et de consommation et, dans le réseau, ce sera la même chose. De même pour le stockage en nuage, davantage de ressources seront consommées selon les heures. Beaucoup de sociétés offrent des services au niveau mondial et les ressources seront allouées de manière dynamique en fonction des besoins.
Il existe différents types de services de cloud computing . De grosses sociétés d'Internet répartissent leurs services partout sur la planète et pourront allouer des ressources à d'autres sociétés qui offrent des services d'hébergement en fonction de leurs propres besoins. À l'inverse, d'autres sociétés offrent des services qui sont sur un ou deux centres de données et il sera possible de savoir où sont les données.
Ensuite, il y aura différents services de stockage en nuage : des nuages publics et des nuages privés. Sur le service de nuage public, les données seront stockées sur une machine offrant également des services pour d'autres sociétés. Cela peut induire des problèmes de porosité des données. Cela est arrivé. Dans les systèmes de nuages privés, l'étanchéité des données pourra être garantie par rapport à celles d'autres sociétés hébergées dans le même centre de données. Il existe encore des services hybrides de cloud privé dans lesquelles il est possible d'obtenir davantage de ressources à un moment donné pour faire face à un débordement en ayant alors recours à un service de nuage public.
D'un point de vue conceptuel, des fournisseurs de prestations informatiques offrent leurs services à beaucoup de sociétés : hébergement, service de calcul, plates-formes de développement, service de messagerie, services de veille, etc. Tout cela permet d'éviter de gérer tous les outils bureautiques dans l'entreprise avec leurs mises à jour. Cela simplifie une partie du travail d'administration.
Mais, en même temps, il y a une certaine perte de maîtrise des données. Une seule question à se poser : la sécurité est-elle toujours garantie ? Puis-je récupérer mes données ? Et, dans la mesure où toutes les données ont été confiées, le client devient-il captif du service ou a-t-il la liberté de pouvoir obtenir le même service chez un concurrent ?
Cette dimension de la portabilité des données est absolument cruciale pour l'innovation et elle est très importante du point de vue de l'informatique et des libertés. Cette portabilité des données, bien connue dans le monde de la téléphonie mobile avec la portabilité du numéro, permet de garder la maîtrise et de choisir le fournisseur qui correspond à vos besoins.
Quelle assurance de sécurité a-t-on lorsqu'on utilise les services de l'informatique en nuages ? Quand on confie ses données à quelqu'un d'autre, on perd une partie de la maîtrise de ses données.
Dans les conseils de la CNIL liés au passage au stockage en nuage , une démarche est décrite à destination des entreprises souhaitant utiliser de tels services. Il leur est indiqué les étapes qu'elles doivent suivre si elles souhaitent passer au stockage en nuage en toute sécurité. Elles doivent d'abord commencer par recenser leurs données en distinguant celles qui sont très critiques pour continuer à les gérer en interne plutôt que de les externaliser . Ensuite, une analyse des risques est effectuée pour comprendre l'attente en matière de sécurité juridique et technique du stockage en nuage.
Par exemple, l'hébergement des données de santé doit respecter un cahier des charges extrêmement précis. Cela est absolument nécessaire. Après avoir identifié les besoins, l'analyse des offres présentes sur le marché doit être accomplie pour voir si elles correspondent au degré d'exigence attendue.
Il est également important de pouvoir auditer la solution de stockage en nuage offerte . Est-ce que la société, elle-même auditée, laisse accéder aux rapports d'audit la concernant ?
En termes de missions, la CNIL et l'ANSSI sont complémentaires mais leurs domaines de compétence sont un peu différents. La loi informatique et libertés oblige à mettre en place des mesures de sécurité pour garantir la protection des données personnelles. C'est la raison pour laquelle la CNIL a publié des guides de sécurité dont les conseils rejoignent pour beaucoup les conseils dispensés par l'ANSSI. Dans le guide listant les mesures de sécurité à mettre en place pour la gestion des risques, il est fait référence à des documents publiés par l'ANSSI. Les règles d'hygiène de sécurité publiées par l'ANSSI sont totalement partagées par la CNIL.
Il faut toujours distinguer les publics auxquels on s'adresse et être plus ou moins prescriptifs selon les cas.
À travers des groupes de travail, des actions lancées par les uns ou par les autres, il y a nombre d'actions communes à la CNIL et à l'ANSSI.
Il n'y a pas de redondance dans les activités mais des regards complémentaires et différents. La CNIL s'intéresse davantage à la sécurité des traitements des données et à la protection des personnes alors que l'ANSSI va s'intéresser davantage à la sécurité des entreprises. Certaines recommandations des deux organes peuvent être communes et sont toujours en cohérence.
Le champ de compétence de la CNIL est beaucoup plus large que celui de l'ANSSI puisque les libertés individuelles englobent la sécurité des systèmes d'information.
Aujourd'hui, le traitement des données personnelles est informatisé et doit être traité de manière cohérente dans le domaine technique.
Parmi les actions techniques menées par la CNIL au cours de ces dernières années, certaines ne recoupent pas du tout des sujets de compétence de l'ANSSI. La CNIL a, par exemple, travaillé sur la publicité comportementale.
L'ANSSI a constitué un groupe de travail auquel la CNIL participe sur les offres de sécurité du stockage des données en nuages . Le rôle de chacun est différent à cet égard.
La CNIL s'est aussi exprimée sur les moteurs de recherche, sur les réseaux sociaux, sur la manière de se protéger en tant que personne ou en tant qu'entreprise traitant des dossiers incluant des données personnelles.
Les prismes selon lesquels seront abordées ces questions sont totalement différents et, encore une fois, complémentaires.
Par rapport aux préoccupations de surveillance des salariés par leur employeur , la CNIL a publié, il y a quelques années déjà, un guide à destination des employeurs permettant de juger diverses situations au sein de l'entreprise. Toutefois, la surveillance doit toujours respecter les droits des personnes concernées . Un audit sur ce sujet a été publié.
Actuellement, il existe une sorte de paradoxe : les personnes ont beaucoup d' attentes en matière de protection des libertés , de contrôle de la diffusion de leurs données (droit à l'oubli, au déréférencement...) et, en même temps, elles utilisent les nouveaux instruments numériques et publient beaucoup d'informations personnelles sur les réseaux sociaux notamment. Cela n'est pas sans évoquer une certaine forme de schizophrénie.
La CNIL agit vis-à-vis de chacun des acteurs. Il est impossible d'aller à l'encontre du développement technologique et de la manière dont la société évolue face à ce type de nouveaux instruments. La CNIL s'adresse aux sociétés de réseaux sociaux pour qu'elles respectent au mieux la législation relative à l'informatique et aux libertés. Il est important qu'elles proposent une ergonomie des sites suffisamment bonne pour que des processus simples permettent l'effacement des données et les paramétrages des partages de données .
La CNIL conduit aussi une action de sensibilisation des personnes . Des vidéos, dont une à destination des adolescents, figurent sur le site de la CNIL pour les mettre en situation et les aider à utiliser les instruments numériques de manière responsable .
Depuis la loi informatique et libertés de 1978 , il y a eu la directive n° 95/46/CE d'harmonisation minimale du 24 octobre 1995 fixant des obligations ; elle définit tous les principes de protection des données, transposés en droit français en 2004 ; cette directive a instauré le G29, le groupe rassemblant les CNIL européennes.
D'autres modifications de la loi sont intervenues, notamment en 2011, pour les notifications de violations de données à caractère personnel lors de la transposition par ordonnance du paquet télécoms. De 2004 à 2011, il y a eu également des modifications pour permettre à la CNIL d'accorder des labellisations.
Depuis le début de l'année 2012, une discussion est en cours sur l'évolution du cadre juridique européen . Le 24 janvier 2012, la commission européenne a présenté un projet de règlement européen sur la protection des données à caractère personnel ; ce projet vise à remplacer la directive de 1995.
Il y a eu une grosse activité des groupes de pressions, notamment des Américains, pour peser sur ce règlement : le Parlement européen a reçu quatre mille amendements. Une centaine d'amendements de compromis ont été préparés et un vote au Parlement devrait intervenir avant la fin de la législature. Les discussions sont toujours en cours au Conseil.
À propos de l'attribution des noms de domaine et notamment des noms associés aux titulaires de domaines qui ont été récemment modifiés, la CNIL avec le G29 sur la durée de conservation des noms associés aux titulaires de domaines ne respecte pas le droit européen . À ce sujet, le groupe du G29 a demandé à l' ICANN de créer des exceptions pour que les conservations des informations concernant les titulaires de domaines respectent le droit européen.
La CNIL travaille beaucoup avec ses homologues européens notamment au sein du G29 qui se réunit très régulièrement, aussi bien au niveau des commissaires qu'au niveau technique. Il existe aussi le réseau de la Conférence internationale des commissaires. Le G29 est également présent dans des organismes internationaux comme, par exemple le groupe à l' ISO qui édicte toutes les normes en matière de sécurité de protection de la vie privée.
Je suis officier de liaison pour le groupe de l'article 29 pour les normes ISO développées en matière de protection des données.
Au niveau français, nous travaillons également avec l'ensemble des acteurs quand la CNIL élabore des recommandations , par exemple sur l'informatique en nuage, sur la biométrie, sur la publicité ciblée sur Internet, avant l'adoption d'une recommandation.
On travaille également avec les organismes de recherche à travers des conventions de partenariat . Par exemple, une convention de partenariat avec l'INRIA porte sur l'écosystème des smartphones avec l'application Mobilitics . Ce logiciel donné à des volontaires de la CNIL permettait de voir les données personnelles qui étaient ouvertes aux accès à partir de ce téléphone afin de comprendre qui collecte quelles données et dans quelle proportion.
Ce test est extrêmement intéressant car il permet de se rendre compte de l'étendue de la collecte : environ la moitié des applications accédait à la géolocalisation et ensuite il y avait 76 localisations par jour effectuées en moyenne . Des partenaires extérieurs à la CNIL se sont associés à cette opération.
Cela est important de s'appuyer sur les compétences existant en France comme à l'étranger pour comprendre les difficultés rencontrées relatives aux personnes que l'on cherche à protéger. De plus, comme pour les géants de l'Internet, les questions qui se posent sont les mêmes dans le monde entier, il faut travailler de concert avec nos homologues européens.
Des recommandations pratiques sont à mettre en place pour la sécurisation des données . Ce qu'il faut voir, c'est l'utilité pour les entreprises, comme pour les personnes, du travail effectué par la CNIL qui aide les entreprises à prendre en compte, très en amont, les préoccupations informatique et libertés pour que, lorsque leurs produits arrivent sur le marché, ils soient respectueux de la loi. Cela leur permet de valoriser cette sécurité aux yeux de leurs clients.
La CNIL a cette image de gendarme de la protection des données mais son rôle de conseil auprès des entreprises s'est beaucoup développé. De plus en plus d'entreprises viennent voir la CNIL au moment du développement de leurs projets et demandent une assistance pour être certaines de respecter la loi.
En général, les entreprises sont satisfaites de leur contact avec la CNIL car, arrivées avec des problèmes, elles repartent avec des solutions.
Souvent des traitements parfaitement légitimes doivent être mis en place mais encore faut-il les effectuer dans le respect de la loi. Dans beaucoup d'exemples, même par rapport à des géants de l'Internet, des modifications substantielles sont obtenues par la CNIL afin que les garanties soient assorties aux systèmes mis en place. Cela bénéficie tant aux utilisateurs français qu'aux utilisateurs européens voire mondiaux.
Les agents de la CNIL sont tous très investis dans leurs missions et enthousiastes car l'utilité du travail quotidien est évidente. En partant de la carte bancaire et en passant par le passe Navigo ou le téléphone, la CNIL travaille sur tous ces objets du quotidien et obtient des avancées en matière de protection des données liée à leurs usages.
Les cartes bancaires actuelles incluent une puce avec contact mais également une puce sans contact. L'été dernier, il y avait à peu près quinze millions de cartes sans contact en circulation. Par exemple, sur cette carte-ci figure un petit logo avec des vaguelettes signifiant qu'une puce sans contact est intégrée à la carte. Cela permet d'effectuer des paiements sans glisser sa carte dans le terminal de paiement. Cela a commencé par les paiements de petits montants pour fluidifier ceux-ci.
Quand ces cartes sont apparues, il était possible avec un téléphone de lire directement le contenu de la puce incluant le nom du porteur de la carte, le numéro de la carte, la date d'expiration et l'historique des transactions.
La CNIL, l'Observatoire sur la sécurité des cartes de paiement et la Banque de France ont demandé à l'ensemble des acteurs de la carte bancaire de changer ce système et des garanties ont été obtenues. En conséquence, le nom du porteur et l'historique des transactions n'apparaissent plus dans ces puces. La sécurité de ce moyen de paiement peut être encore améliorée. Voilà un exemple de mesure concrète.
Autre exemple : le passe Navigo est également doté d'une puce contact et d'une puce sans contact à propos de laquelle la CNIL a recommandé que seules figurent dans le passe les trois dernières données de validation.
Si on met des cartes bancaires dans un lecteur - paiement jusqu'à sept euros auprès de la RATP - et avec l'aide d'un logiciel gratuit sur Internet, on peut lire le contenu de la puce contact sans aucune authentification, mais vous ne verrez que les trois dernières données de validation mentionnant également la station de métro empruntée ainsi que l'heure de passage. La limitation aux trois dernières données est importante pour garantir la liberté d'aller et venir.
Pour certaines formules de passe Navigo le nom, le prénom et la photo se trouvent dans la base commerciale du système de transport de la région parisienne. Il existe un autre type de passe qui s'appelle Navigo « découverte » qui est un passe déclaratif, dans le sens où même si le nom du porteur y figure, les informations nominatives ne se trouveront pas dans la base de données du transporteur. Quand ce passe Navigo a été lancé, la CNIL a constaté que la RATP ne le mettait pas du tout en avant dans ses offres et que, en conséquence, très peu de gens utilisaient le passe Navigo « découverte » .
Il a fallu une recommandation de la CNIL, ainsi que d'autres actions, pour inciter la RATP et les transporteurs de la région parisienne à mettre en avant le passe « découverte » et ce qu'il pouvait apporter. Par conséquent, il y a eu de la publicité effectuée et davantage de personnes aujourd'hui utilisent ce type de passe.
Il y a cependant certains avantages à disposer d'un passe nominatif, par exemple, en cas de perte du passe nominatif, il est possible d'en créer un nouveau incluant l'abonnement déjà acquitté. La CNIL souhaitait que la personne puisse choisir en toute connaissance de cause et ne soit pas forcée à utiliser un système qui induit une plus grande traçabilité.
Le passe « découverte » s'est beaucoup développé. Maintenant, les commerciaux en stations connaissent tous l'existence du passe Navigo « découverte ».
Pour être efficace et démultiplier l'action de la CNIL, il existe notamment le réseau des correspondants informatique et libertés, ce qui permet de diffuser la culture informatique et libertés, par exemple dans les entreprises.
La CNIL dispense également des formations aux correspondants informatique et libertés et conduit beaucoup d'actions vis-à-vis du grand public, ce qui encourage les entreprises à prendre ces aspects en compte, notamment dans leurs offres de services, ce qui différenciera leurs offres de celles de concurrents.