23ème rapport d'activité 2002 de la Commission nationale de l'informatique et des libertés
Description
Ce rapport revient sur l'activité de la Commission en matière de protection des données personnelles et de la vie privée pour l'année 2002. La CNIL présente tout d'abord son activité à travers sept grands thèmes dont la cyberdémocratie, internet et confidentialité ou encore la circulation des données de santé. On trouvera, dans une seconde partie, les délibérations 2002 de la Commission par secteur d'activité (banque, cybervote, fiscalité, internet, justice, police, travail...).
Sujets
Informations
| Publié par | rapports-culture-communication |
| Publié le | 01 juin 2003 |
| Nombre de lectures | 18 |
| Licence : |
En savoir + Paternité, pas d'utilisation commerciale, partage des conditions initiales à l'identique
|
| Langue | Français |
| Poids de l'ouvrage | 1 Mo |
Extrait
CNIL
COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS
CNIL
23e rapport d’activité 2002
prévu par l’article 23 de la loi du 6 janvier 1978
SoSmommmaiariree
Enapplicationdelaloidu11mars1957(article41)etduCodedelapropriétéintellectuelledu 1er,299tuotpereudoriljut1leotateluàasegocllctionpartielleouacilbupe-elfdtiecntseréap tioneststrictementinterditesansautorisationexpressedel’éditeur.
Ilestrappeléàcetégardquel’usageabusifetcollectifdelaphotocopiemetendangerl’équi-libreéconomiquedescircuitsdulivre.
© La Documentation française – Paris, 2003 ISBN 2-11-005434-4
Sommaire
Avant-propos Chapitre préliminaire LA CNIL EN CHIFFRES ET EN PRATIQUE
AU CŒUR DE L’ACTIVITÉ 2002 Chapitre 1 SÉCURITÉ INTÉRIEURE, FICHIERS ET LIBERTÉS Chapitre 2 PROSPECTION COMMERCIALE : NOUVEAUX USAGES, NOUVEAUX REGARDS, NOUVELLES ACTIONS Chapitre 3 LA CYBERDÉMOCRATIE EN TEST Chapitre 4 INTERNET ET CONFIDENTIALITÉ Chapitre 5 LISTES NOIRES : SUITE Chapitre 6 LA CIRCULATION DES DONNÉES DE SANTÉ Chapitre 7 GISEMENTS D’INFORMATIONS À SURVEILLER
LES DÉLIBÉRATIONS 2002 PAR SECTEUR D’ACTIVITÉ BANQUE BIOMÉTRIE CYBERVOTE ÉCONOMIE ENSEIGNEMENT FISCALITÉ INTERNET JUSTICE POLICE POSTE ET TÉLÉCOMMUNICATIONS PROSPECTION SANTÉ SOCIAL SPOLIATIONS STATISTIQUES TRAVAIL
ANNEXES
Table des matières
CNIL 23erapport d'activité 2002
3
5
7
19
21
45
77
89
103
121
139
157 159 161 169 178 183 185 195 197 201 206 215 235 256 268 273 292
323
407
Avant-propos
AvaAnvta-nptt--rporoppooss
L’évolution permanente des techniques d’information et de communication oblige la Commission nationale de l’informatique et des libertés à avoir le regard rivé sur l’horizon mouvant d’un monde informatique qui, par ses contours vertigi -neux, n’est pas sans ressemblance avec la bibliothèque de Babel telle que la décrit Borges:«unnombreindéfinietpeut-êtreinfinidegalerieshexagonalesavecau centredevastespuitsd’aérationbordéspardesbalustradestrèsbasses».C’est pourtant vers le proche passé que le législateur demande à la CNIL de se retourner en lui imposant l’exercice salutaire du rapport annuel. Salutaire parce que la CNIL, autorité administrative indépendante, doit rendre compte de son action aux autorités de l’État, au Parlement et à l’opinion. Salutaire aussi parce qu’il incite nécessaire -ment à la modestie.
Le chapitre préliminaire de ce rapport est bien le compte rendu de la vie quo-tidienne d’un organisme qui est à la fois un « guichet » où s’accomplissent les forma-lités préalables à la mise en œuvre des traitements de données personnelles et où sont reçues des plaintes mais aussi un lieu de débats et de réflexion. Ce chapitre fait d’abord ressortir la forte progression du nombre de plaintes et de demandes d’accès aux fichiers de police et de sécurité publique. À travers ces « saisines » s’établit un lien direct avec les citoyens français ou étrangers qui attendent l’appui ou le secours de la CNIL face à des organismes publics et privés souvent opaques. C’est pourquoi chacun des chapitres de la première partie « Au cœur de l’activité 2002 » s’efforce de montrer, à travers des cas réels, comment la CNIL intervient concrètement pour résoudre les problèmes qui lui sont soumis.
Le deuxième trait saillant, tout le rapport en témoigne, ne surprendra pas : c’est le fait que l’activité européenne et internationale de la CNIL est devenue une dimension essentielle de son action tant il est avéré que la protection des données ne peut être assurée pleinement si elle ne l’est qu’à l’intérieur de nos frontières. La CNIL, si elle cherche tous les relais possibles chez ses homologues ou dans les organisa -tions internationales, n’en milite pas moins pour que le droit national français ou le droit européen unifié par la directive d’octobre 1995 soit considéré comme appli -cable à des opérations de collecte de données effectuées en France par des sites web établis hors de l’Union européenne ainsi que cela est exposé au chapitre 4.
Un troisième élément à mettre en avant résulte entièrement de la volonté de la CNIL d’infléchir ses modes d’intervention : la multiplication des décisions de con -trôle sur place. Cette démarche est souvent menée plus dans une optique d’informa -tion que d’investigation. Mais elle débouche aussi sur des dénonciations au procureur de la République d’infractions pénales à la législation « Informatique et libertés ». À cet égard il faut souligner que 2002 restera comme l’année du nombre record de dénonciations au parquet : sept en une seule année contre dix-huit seulement dans les vingt-trois années précédentes d’application de la loi du 6 janvier 1978.
CNIL 23erapport d'activité 2002
5
Avant-propos
Une bonne part de ces dénonciations est le fruit d’une opération embléma -tique dirigée contre les courriers électroniques non sollicités : « la boîte à spams » qui est largement évoquée au sein du chapitre 2, consacré aux mutations, parfois périlleuses pour notre vie privée et notre tranquillité, de la prospection commerciale. Cette opération traduit le souci de la CNIL de se mobiliser sur des sujets qui concer -nent la vie quotidienne des gens, ici des internautes, autrement dit bientôt chacun de nous. La banalisation de l’usage d’internet permet d’écrire ce mot sans sa majuscule. Elle ne met pas fin aux inquiétudes légitimes que ses usagers peuvent nourrir sur la confidentialité des données personnelles qui sont mises en circulation universelle. Le chapitre 5 expose les réponses pragmatiques qu’apporte la CNIL.
Y a-t-il matière à dénoncer une frilosité de la CNIL à l’égard de la « société de l’information » ? C’est le procès dont la menacent les tenants d’une généralisation à marche forcée du vote électronique. Sans aucun attachement nostalgique au préau d’école et à l’urne en bois, la CNIL a eu plusieurs occasions au cours de l’année 2002, année électorale s’il en fut, de préciser les garanties qui doivent selon elle entourer ces scrutins dématérialisés pour qu’ils ne soient pas démonétisés (chapitre 3).
La CNIL est bien placée pour constater que l’informatisation de la société ne passe pas uniquement par internet. L’année 2002 a montré que l’encadrement des grandes bases de données nominatives reste un enjeu de taille. C’est ainsi qu’elle a été amenée à se prononcer sur l’extension des fichiers de police judiciaire réalisée par la loi sur la sécurité intérieure (chapitre 1), sur le nouveau recensement (chapitre 7) ou encore sur les outils du pilotage de la santé publique (chapitre 6). La CNIL est dans sa mission classique mais toujours d’actualité de modérateur de l’exercice des fonc-tions régaliennes de l’État. Lorsque des bases de données conditionnent des actes plus banals, obtenir un crédit, souscrire un abonnement téléphonique (chapitre 5), faire connaître son numéro de téléphone ou sa nouvelle adresse (chapitre 7), la CNIL se voit investie, en plus de celui de régulation, d’un rôle de médiation qu’elle remplit dans un esprit de service au public.
Parmi tous les événements qui ont marqué la vie de la CNIL en 2002, il en est un, pourtant majeur, qui n’est pas évoqué dans le présent rapport : le vote par l’Assemblée nationale le 30 janvier 2002 du projet de loi transposant la directive européenne sur la protection des données et modifiant la loi du 6 janvier 1978. Avec cet acte législatif, un pas décisif est franchi : le premier. Toutefois le calendrier électo -ral et parlementaire n’a pas permis d’aller plus loin au cours de l’année 2002. Puisse l’année 2003 dont le premier trimestre a vu le Sénat adopter à son tour le projet en première lecture être celle de l’achèvement de ce processus indispensable.
6
Michel GENTOT
CNIL 23erapport d'activité 2002
LA ET
Chapitre préliminaire
CNIL ENChaCpitrHe pIrélFimiFnairReES EN PRATIQUE
LaLaCCNNICLILheenancpchiithfrifrfeesrepsretétleinm pirnataiiqruee
I. LA CNIL AU QUOTIDIEN
Intense et multiforme, l’activité de la CNIL est le reflet de la diversité des mis-sions qui lui sont dévolues par la loi no78-17 du 6 janvier 1978 relative à l’informa-tique, aux fichiers et aux libertés.
A. Séances plénières
À la fois organe délibérant et lieu de réflexion, la Commission se réunit en séance plénière deux fois par mois sur un ordre du jour établi à l’initiative de son pré -sident, M. Michel Gentot (cf. annexe 1 Composition de la Commission). Lors de ces séances plénières, la Commission adopte des délibérations -111 en 2002 (cf. annexe 4 Liste des délibérations) — qui sont soit des avis sur des traite -ments ou des fichiers, soit des suites données à des plaintes, des demandes de conseil ou à des contrôles. Dans ce dernier cadre, il arrive que la CNIL, en vertu de l’article 21-3ede la loi du 6 janvier 1978, adresse des avertissements ou dénonce des affaires à la jus -tice. Ainsi en 2002, la Commission a délivré deux avertissements et a transmis au parquet sept dossiers, ce qui a porté à vingt-cinq le nombre de dénonciations au par -quet effectuées depuis sa création ( cf. infra chapitres 2 et 3). Enfin, nombre de rapports font le point sur les évolutions de l’informatique afin d’éclairer les membres de la CNIL dans la conduite de leurs missions. Parmi les sujets traités en 2002 on relèvera l’identité numérique, la signature électronique, l’administration électronique...
CNIL 23erapport d'activité 2002
7
La CNIL en chiffres et en pratique
La CNIL peut aussi procéder, soit de sa propre initiative, soit à la demande des personnes concernées, à des auditions en séance plénière. Au cours de l’année 2002, la CNIL a ainsi entendu M. Martin Vial, président de La Poste, sur les implica -tions de certains projets de ce groupe au regard de la loi « Informatique et libertés » et M. Jacques Sauret, directeur du GIP « Modernisation des déclarations sociales », à propos du portail net-entreprises ( cf. chapitre 7).
Compte tenu de la grande variété des dossiers que la CNIL doit traiter, une répartition par secteur d’activité est établie entre les commissaires ( cf. annexe 2 Répartition par secteur d’activité). Cette répartition a l’avantage d’instaurer une forme de spécialisation et de faciliter les contacts des commissaires avec les respon -sables de traitements. Néanmoins, les délibérations de la CNIL sont débattues selon les principes de la collégialité.
B. Activités hors séances plénières
Pour conduire leurs missions, les membres de la CNIL s’appuient sur diffé-rents services, soit quatre-vingts agents répartis au sein de trois directions : juridique, administrative et, c’est une spécificité de la CNIL, de l’expertise informatique et des contrôles (cf. annexe 3 Organisation des services).
Investie d’une mission générale de réflexion prospective, la Commission a créé en son sein divers groupes de travail, notamment sur le blanchiment d’argent au sein d’établissements de crédit, les listes noires ou encore l’administration électronique.
Dans ce dernier domaine, la CNIL qui reçoit et traite des milliers de déclara-tions au titre des formalités préalables à la mise en œuvre des traitements de données personnelles ne peut se contenter d’observer et de conseiller les autres administra -tions. Il lui revient de prendre sa part au chantier de la simplification des relations avec les usagers. C’est pourquoi, après avoir proposé sur son site www.cnil.fr un module de télédéclaration de sites internet, la Commission offre depuis la fin de l’année 2002 la possibilité de déclarer en ligne les fichiers les plus courants (« télé -déclaration simplifiée »).
Au-delà de ses activités de recensement et de contrôle des fichiers, des réponses faites aux demandes de conseil et de l’instruction des plaintes, la CNIL consacre, conformément à ses missions, une partie de son activité à l’information des personnes sur leurs droits et sur leurs obligations. Directement sollicitée par de nom -breux organismes, sociétés ou institutions pour conduire des actions de formation et de sensibilisation à la loi « Informatique et libertés », la CNIL participe aussi à des colloques, des salons ou des conférences pour informer et en même temps s’informer. À titre d’exemple, la CNIL a pris part en 2002 au salon des collectivités locales afin d’aller directement à la rencontre des élus et des administrateurs territoriaux pour mieux leur faire connaître leurs obligations. Au final, c’est à près de 250 manifesta -tions, réunions ou colloques auxquels la Commission a collaboré au cours de cette même année, pour l’essentiel en tant qu’intervenant.
8
CNIL 23erapport d'activité 2002
La CNIL en chiffres et en pratique
Pour donner plus d’écho à certaines de ses décisions ou de ses actions, la CNIL publie régulièrement des communiqués de presse ou, plus rarement, organise des conférences de presse. Les sujets abordés dans ce cadre en 2002 ont concerné par exemple les informations collectées à l’occasion d’un recrutement, la lutte contre le « spam », les techniques biométriques de contrôle, la cybersurveillance des travail -leurs ou encore les mineurs et internet, thèmes qui sont d’ailleurs au cœur de l’activité de la CNIL depuis plusieurs années. La conférence de presse au cours de laquelle la CNIL a exposé sa position sur le projet de loi de sécurité intérieure ( cf. chapitre 1) a suscité un vif intérêt de la part des journalistes.
C. Activités européennes et internationales
La coopération européenne et internationale en matière de protection des données personnelles est devenue, sous l’effet conjugué de l’intégration européenne et de la mondialisation des échanges, une réalité quotidienne. La CNIL fait partie d’un réseau constitué de ses homologues en Europe et au-delà.
Il ne se passe guère de jour qu’elle ne reçoive une demande d’information sur la pratique française. À son tour, la CNIL trouve un relais précieux chez les autori-tés de contrôle étrangères pour traiter les plaintes « extraterritoriales » ou « trans-frontalières » qui sont en nette augmentation.
L’entrée dans ce cercle des autorités des dix pays d’Europe centrale et orien-tale retenus pour l’élargissement en 2004 de l’Union européenne est un enjeu de pre-mière importance qui a conduit la CNIL à réaliser des actions de coopération bilatérale avec la Pologne ou la Slovaquie et à participer aux conférences organi-sées par la Commission européenne ou le Conseil de l’Europe (conférence de Madrid, décembre) à l’intention de ces pays.
La CNIL assiste bien entendu aux deux conférences des commissaires à la protection des données qui se tiennent annuellement (conférence des commissaires européens à Bonn en avril 2002, conférence internationale à Cardiff en septembre 2002). En outre, la conférence européenne a créé un groupe de travail sur les plain -tes transfrontalières. Enfin la CNIL participe au groupe de travail international sur la protection des données dans le secteur des télécommunications.
Toutefois c’est à Bruxelles, au sein des instances européennes instituées dans le domaine de la protection des données, que sont menés les travaux les plus signifi -catifs car les plus normatifs.
1. LE GROUPE DE « L’ARTICLE 29 »
L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les repré -sentants de chaque autorité nationale. Le groupe a pour mission de contribuer à l’éla -boration des normes européennes par ses recommandations destinées à l’application homogène de la directive dans l’Union européenne, ses avis sur le
CNIL 23erapport d'activité 2002
9
La CNIL en chiffres et en pratique
niveau de protection dans les pays tiers et ses conseils à la Commission sur tout projet de mesure ayant une incidence sur les droits et libertés des personnes physiques à l’égard des traitements de données personnelles.
Ce groupe dit « de l’article 29 », présidé par M. Rodota, président de l’auto -rité italienne de protection des données, s’est réuni quatre fois au cours de l’année 2002 en session plénière d’une ou deux journées et s’est appuyé sur des sous-grou -pes de travail notamment « secteur emploi », « droit national », « clauses contrac -tuellestypesettransfertsdedonnéesversdespaystiers»et«TaskForceInternet». Les recommandations les plus importantes adoptées en 2002 ont concerné un avis positif sur le niveau de protection des données en Argentine, le suivi de l’accord « Safe Harbor » aux États-Unis, la question des transmissions des informa -tions détenues par les compagnies aériennes aux douanes américaines ( cf. chapitre 1), le droit national applicable aux sites web dont les responsables sont établis dans les pays tiers (cf. chapitre 4), les services d’authentification en ligne, la videosurveil -lance, les listes noires, la surveillance électronique des salariés sur leur lieu de tra -vail, le protocole IPV6 et l’identifiant des terminaux.
La CNIL siège aussi au sein de trois autorités de contrôle communes (ACC) Europol, Schengen et Eurodac, dont la mission consiste à garantir la protection des droits des citoyens face aux traitements automatisés à caractère policier mis en œuvre dans le cadre de chacune des conventions ou règlements applicables.
2. L’AUTORITÉ DE CONTRÔLE COMMUNE EUROPOL
En 2002, l’autorité de contrôle commune (ACC) Europol, présidée par M. Alex Türk, vice-président de la CNIL, puis depuis le 1erdécembre 2002 par M. Klaus Kalk, membre de la délégation allemande, s’est réunie à cinq reprises en session plé -nière. Deux sujets majeurs ont particulièrement retenu l’attention de l’ACC Europol au cours de l’année 2002 : les relations développées par Europol avec les États-Unis d’Amérique à la suite des événements du 11 septembre 2001 ( cf. infra chapitre 1) et la proposition danoise en date du 2 juillet 2002 visant à modifier la Convention Euro -pol dont l’examen se poursuit en 2003 compte tenu des nouvelles modifications apportées au projet de texte postérieurement à l’avis de l’autorité.
Parallèlement à ces questions qui revêtent toutes deux un caractère excep -tionnel, l’ACC a rempli les missions qui lui sont confiées aux termes de la Convention Europol du 26 juillet 1995. Ainsi, l’ACC a rendu des avis sur sept nouveaux projets d’ouverture de fichiers d’analyse. Elle a en outre rendu des avis en application de l’article 18 de la Convention et de l’acte du Conseil du 12 mars 1999 arrêtant les règles relatives à la transmission de données à caractère personnel par Europol à des États et des instances tiers, concernant la possibilité pour le directeur d’Europol soit d’engager des négociations, soit de conclure un accord en ce sens avec divers États.
Dans le prolongement de ces négociations, l’ACC a jugé utile au mois de juin 2002 d’organiser une réunion avec les autorités nationales de protection des données des pays et organes tiers avec lesquels Europol a conclu un accord. Cette
10
CNIL 23erapport d'activité 2002
La CNIL en chiffres et en pratique
première rencontre, qui s’est déroulée en présence de représentants des autorités tchèque, slovaque, polonaise, estonienne, norvégienne et d’Interpol, a permis de poser les jalons d’une coopération entre l’ACC et ces autorités nationales de protec -tion des données.
Sur un plan plus technique, l’ACC a émis des avis sur les moyens informati -ques mis en œuvre par Europol, plus particulièrement le nouveau système d’analyse et le système d’index, et a procédé au mois de mars 2002 à une deuxième inspection auprès d’Europol. Le comité des recours, quant à lui, s’est réuni selon la même périodi -cité que l’ACC et a rendu en séance publique, le 16 mai 2002, sa première décision.
3. L’AUTORITÉ DE CONTRÔLE COMMUNE SCHENGEN
L’autorité de contrôle commune (ACC) Schengen, présidée par M. Giovanni Buttarelli, membre de la délégation italienne, s’est réunie cinq fois en 2002. Ce sont les projets de modification de la Convention d’application de l’accord de Schengen du 19 juin 1990 et du système d’information Schengen (SIS) présentés par la prési-dence espagnole qui ont été les principaux sujets d’intérêts de l’ACC durant l’année 2002. Ces projets visent à conférer au SIS II de nouvelles fonctionnalités, à prévoir l’enregistrement de données supplémentaires, et à autoriser la consultation du SIS par de nouveaux destinataires, en particulier Europol et Eurojust. L’adoption de ces modifications conduirait à changer fondamentalement la nature du SIS qui, système permettant d’exécuter des signalements, deviendrait un système d’information sus-ceptible d’être plus largement utilisé dans le cadre de la coopération européenne policière et judiciaire.
4. L’AUTORITÉ DE CONTRÔLE COMMUNE EURODAC
Eurodac, créé par le règlement du Conseil de l’Union européenne du 11 décembre 2000, a pour objet de permettre aux autorités habilitées1des États membres de l’Union européenne (à l’exception du Danemark), et aux pays tiers par -ties au règlement (la Norvège et l’Islande), de procéder aux comparaisons des empreintes digitales de trois catégories de ressortissants étrangers âgés de plus de 14 ans : — les demandeurs d’asile afin de déterminer, selon le mécanisme prévu par la Con -vention de Dublin du 15 juin 1990, l’État responsable de l’examen d’une demande d’asile présentée dans l’un des États membres, ainsi que les modalités de prise en charge du demandeur ; — les étrangers appréhendés à l’occasion du franchissement irrégulier d’une fron -tière extérieure ; — les étrangers se trouvant illégalement sur le territoire d’un État membre.
1 Il s’agit en France du ministère de l’Intér (OFPRA). ieur et de l’Office français de protection des réfugiés et apatrides
CNIL 23erapport d'activité 2002
11
© 2010-2024 YouScribe