La gardienne de nos données personnelles

Lorsque le 21 septembre dernier Alex Türk annonce sa démission de la présidence de la Commission nationale de l’informatique et des libertés, la Cnil perd l’une de ses plus prestigieuses figures. À la tête de l’institution depuis 2004, le sénateur du Nord, qui souhaitait se représenter aux élections sénatoriales du 25 septembre, s’est plié aux dispositions législatives de mars 2011 interdisant le cumul de ces deux fonctions. C’est la vice-présidente Isabelle Falque-Pierrotin qui a été élue pour le remplacer.L’énergique et charismatique président de la Cnil a su, durant les sept années de son mandat, transformer une institution très académique en référence en matière d’expertise technologique. Une évolution qui s’est traduite par des avancées significatives dans la protection de la vie privée. Dénonçant l’aspect intrusif de Google et Facebook, Alex Türk s’est fortement impliqué dans la lutte pour la protection des libertés individuelles, anticipant les risques que les réseaux connectés font peser sur les citoyens. “ Ce qui nous attend est bien pire que Big Brother ”, n’hésitait-il pas à affirmer.Devant l’engouement des jeunes pour les réseaux sociaux et les risques de traçage, la Cnil a initié de nombreuses actions d’information et de sensibilisation. Le développement des fichiers centralisés, de la vidéosurveillance, de la biométrie, de la géolocalisation, toutes méthodes qui posent de façon cruciale la question de l’atteinte aux libertés fondamentales, est dans la ligne de mire de la Cnil. “ Avec la Cnil, si nous ne sommes pas en mesure de trouver des solutions, alors nous allons droit dans le mur ”, risquait-il, conscient de l’urgence de mettre un frein aux excès d’une société de plus en plus fichée.Ce travail de gardien protecteur des données personnelles, la Commission nationale de l’informatique et des libertés l’exerce depuis 33 ans. C’est un article paru dans le journal Le Monde, le 14 mars 1974, qui est à l’origine de sa création. Intitulé Safari ou la chasse aux Français, il révélait que le gouvernement projetait d’interconnecter tous les fichiers nominatifs de l’administration. L’annonce du projet Safari (Système automatisé pour les fichiers administratifs et le répertoire des individus) crée un émoi considérable et une vive opposition dans l’opinion publique. Médias et politiques montent au créneau. Le gouvernement, sommé de réagir, décide de créer une commission de réflexion. Elle doit garantir que le développement de l’informatique s’effectuera dans le respect de la vie privée, des libertés individuelles et des libertés publiques. De là nait l’idée d’une autorité indépendante au service du citoyen qui veillerait à ce que l’informatique ne porte pas atteinte à ses droits fondamentaux, ni à sa vie privée. Le projet est adopté au parlement sous la loi du 6 janvier 1978 et baptisé Cnil, Commission nationale de l’informatique et des libertés. Le fichier Safari ne verra finalement jamais le jour. La France est le troisième pays au monde à se doter d’une telle autorité après la Suède et l’Allemagne.À l’origine, la Cnil regroupe 17 membres (personnalités, parlementaires, représentants de l’État). La commission élit son président parmi ses membres, qui lui-même recrute librement ses collaborateurs. Son financement relève du budget de l’État et aucune autorité publique ou privée ne peut s’opposer à son action, une innovation juridique importante qui lui confère des pouvoirs de consultation et de sanction. L’institution démarre avec une soixantaine de personnes et six missions principales : informer les citoyens de leurs droits et obligations, leur garantir un droit d’accès aux fichiers conservant leurs données personnelles, recenser et autoriser ces fichiers, contrôler leurs applications informatiques, réguler et sanctionner les irrégularités constatées.

Un œil sur les fichiers de l’État

Dès sa création, la Cnil intervient dans de multiples secteurs de l’administration. En 1982, elle donne son accord à la constitution d’un fichier antiterroriste ; en 1985, c’est pour la création d’un fichier de simplification des procédures d’imposition qu’elle est sollicitée. En 1986, elle émet un avis sur le projet de décret autorisant le relevé d’une empreinte digitale lors d’une demande de carte d’identité. En 1990, l’un des gros dossiers auquel s’attaque la Commission concerne les différents fichiers des renseignements généraux, en vue d’une réorganisation en un fichier informatisé unique placé sous sa seule autorité. Une forteresse qu’il s’agit de structurer en lui donnant un encadrement juridique et une garantie démocratique. Des voix s’étaient élevées dans l’opinion publique dénonçant la méthode de fichage des personnes pouvant porter atteinte à la sûreté de l’État. Un débat qui a repris il y a trois ans avec la création par décret du fichier Edvige. Destiné à répertorier les individus susceptibles de perturber l’ordre public, il a été abandonné quelques mois plus tard sous la pression d’un collectif de résistance. En 2009, un projet modifié a été soumis à l’avis de la Cnil qui a obtenu des garanties notamment sur le fichage concernant les mineurs ou l’interconnexion avec d’autres fichiers, tout en interdisant qu’y figurent des données relatives à la vie sexuelle et à l’état de santé. En 1998, la Commission s’attelle au processus de légalisation du fameux fichier de police informatisé Stic, ou Système de traitement des infractions constatées, qui était utilisé sans garde-fou depuis 1994. Erreurs de saisie, défauts de mises à jour, consultations aléatoires, le plus gros fichier de police de France ne brillait pas par sa fiabilité. Dans un rapport publié en 2005, la Cnil a estimé que seules 17 % des fiches des 5,5 millions de personnes répertoriées étaient actualisées. Elle déclare alors avoir épuré 44 % des fichiers, soit en les mettant à jour, soit en les effaçant. Dans son dernier rapport qui date de 2009, elle fait état d’erreurs fréquentes notamment dans les classements des affaires sans suite prononcées par les procureurs, dont 80 % n’avaient pas été enregistrées. Un chiffre qui fait froid dans le dos !Du coup, les procédures ont évolué, et tout individu peut désormais vérifier l’exactitude des données le concernant inscrites dans ce fichier et en demander la correction ou la suppression en cas d’erreur. Les taux de mises à jour s’améliorent… lentement. La Commission a également été sollicitée sur les aspects technologiques et la mise en œuvre de systèmes d’information innovants : passeport biométrique ou dossier médical personnel (DMP).C’est en 2004 que s’opère une mutation significative, suite à une réforme profonde et majeure de la loi de 1978. La promulgation de la loi du 6 août, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ouvre de nouvelles perspectives à la Cnil. L’institution récupère alors la compétence pour le secteur privé, ce qui va lui permettre d’intervenir dans toutes les entreprises dès lors qu’elles détiennent des fichiers à données sensibles. Elle dispose maintenant de pouvoirs de sanction administrative graduée allant du simple avertissement à l’amende. Changement de cible, changement de volume !

Les entreprises n’y coupent plus

De 68 délibérations adoptées en 2003, la Cnil passe à 719 en 2009, puis à 1 500 en 2010. Si 90 % de son activité concernait le secteur public en 2003, c’est le même pourcentage que l’on trouve en 2010 mais appliqué au secteur privé. Alors qu’ils procédaient à une vingtaine de visites par an à l’époque, les contrôleurs de la Cnil ont effectué 300 visites dans les entreprises en 2010. De par la nouvelle loi, les sociétés sont tenues de déclarer leurs fichiers informatiques à la Cnil, qui en cas de plainte peut contrôler leurs systèmes d’information. Elles en sont dispensées si elles choisissent de désigner un “ correspondant Cnil ” en interne. Celui-ci est chargé de veiller sur l’ensemble des traitements informatiques susceptibles de porter atteinte aux libertés ou à la vie privée et de signaler tout dysfonctionnement : gestion des ressources humaines, base clients, contrôle d’accès, vidéosurveillance. C’est son nouveau statut qui a permis à la Cnil de se poser en interlocuteur de poids face aux excès de Google ou de Facebook. Dans son collimateur en 2010, le service Places de Facebook est visé. Il permet aux membres du réseau de partager leur géolocalisation, et ouvre la porte à un système de publicité ciblé. En émettant un avis défavorable, la Cnil dénonce les faiblesses des paramètres de confidentialité de la vie privée sur le réseau social. En 2009, elle a reçu 4 265 plaintes. Près du quart de ces dernières ont porté sur “ le droit de s’opposer à recevoir de la publicité non désirée ” ou sur “ le droit d’obtenir la communication des données personnelles enregistrées dans un fichier ”. Pour faciliter les démarches, la Commission a mis en place en juin 2010 un service qui permet à toute personne importunée de déposer une plainte en ligne contre les courriers publicitaires, le démarchage par téléphone, la réception de spam ou encore du refus d’un accès à des informations personnelles.

Impartialité et indépendance

L’organisme n’a pas été épargné par les critiques au cours de son existence : autorisation de la mise en œuvre de l’Hadopi, compromis sur la loi sur la sécurité intérieure (Loppsi), notamment sur les mouchards, manque d’indépendance, mauvaise gestion de fonds publics… mais elle a toujours défendu son impartialité. La réforme de mars 2011 a institué le poste de Défenseur des droits, qui devient le 18^e membre invité de la Cnil. La réforme a affecté également les méthodes de contrôle, qui doivent désormais respecter des procédures judiciaires, et la composition de la Commission qui ne peut plus être présidée par un élu.La nouvelle présidente, Isabelle Falque-Pierrotin, conseillère d’État et ancienne présidente du Forum des droits sur Internet, va trouver dans les cartons deux chantiers importants, outre celui du dossier médical personnel qui est loin d’être bouclé. Le premier concerne son nouveau pouvoir qui lui permet de décerner un label aux produits ou procédures respectueuses de la vie privée et de la protection des données personnelles. L’attribution des premiers labels va démarrer dès l’année prochaine. Le second chantier porte sur la révision de la directive européenne qui a amené à la loi de 2004 visant à changer les pouvoirs d’intervention de toutes les Cnil européennes.

Des sanctions rendues publiques

Amendes ou avertissements publics, c’est le plus souvent la publicité médiatique faite autour de ces sanctions qui pénalise le plus les sociétés incriminées. En septembre dernier, la Cnil a prononcé à l’encontre de l’éditeur d’annuaires PagesJaunes un avertissement public pour avoir collecté et publié sur son site des informations personnelles de 25 millions d’internautes inscrits sur différents réseaux sociaux. Une pratique non conforme à la loi, car la publication de ces données n’avait pas été autorisée par les internautes, et, selon la Commission, il leur était difficile de les rectifier ou de les supprimer. En avril 2010, c’était la société AIS 2 (Acadomia) qui recevait un avertissement pour violation des droits et libertés ainsi que la collecte illégale et la conservation des données sans durée limitée (une décision qui fait l’objet d’un recours devant le Conseil d’État). Cette sanction mettait en lumière des dérives telles que de nombreux termes insultants, des commentaires excessifs et des propos discriminatoires dans les fichiers consultés. En 2011, la Cnil a infligé une amende de 100 000 euros à Google pour son service Google Street View qui collectait des données personnelles en même temps qu’il filmait les rues. C’est l’une des plus fortes amendes jamais prononcées par la Cnil, le plafond étant de 150 000 euros. Une somme infime pour Google, mais un très mauvais impact médiatique pour le géant de l’Internet.

Chronologie

Le Monde dévoile le projet Safari, à l’origine de la création d’une Commission informatique et libertés.

Naissance de la Cnil avec la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Début du contrôle des fichiers des renseignements généraux.

La Cnil interdit l’usage à des fins administratives du fichier de police Stic (Système de traitement des infractions constatées).

La loi du 6 août étend les pouvoirs de la Cnil en matière de contrôles et de sanctions aux entreprises privées, et renforce le droit des personnes.

La Cnil rejette les principes de traque des pirates sur Internet par la collecte d’adresses IP et de riposte graduée. Décision annulée en 2007 par le Conseil d’État.

Le Conseil d’État limite les pouvoirs de contrôle de la Cnil pour les visites dans les entreprises.

La Cnil valide l’Hadopi. Inauguration du service de dépôt de plaintes en ligne contre les spams et la publicité électronique.

Extension des pouvoirs de la Cnil dans le domaine de la vidéosurveillance dans le cadre de la loi Loppsi. Démission d’Alex Türk, président de la Cnil depuis 2004, et nomination de sa remplaçante, Isabelle Falque-Pierrotin.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Frédérique Crépin