28ème rapport d'activité 2007 de la Commission nationale de l'informatique et des libertés

-

Documents
127 pages
Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

Description

Dans son rapport d'activité, la CNIL revient sur les temps forts de l'année 2007 : recommandations de la Commission liées à la mesure de la diversité, encadrement des dispositifs de biométrie, gestion des fichiers centraux de crédit et de logement... Le rapport présente les actions de la CNIL en termes de protection, d'information et de conseil ou encore de contrôle, voire de sanction, activité qui s'est accrue au cours de l'année. Dans une partie intitulée « Les défis », la CNIL se penche sur des thématiques telles que la surveillance des internautes, et la santé « numérique » et les projets associés (SESAM Vitale 2, dossier médical personnel, dossier pharmaceutique, « Web médecin »). On trouvera également dans ce rapport les sujets liés au programme de l'année 2008 parmi lesquels la question de la refonte de la loi de 1978, la protection des données dans le cadre de l'externalisation informatique ou encore le contrôle des fichiers de police (Système de traitement des infractions constatées - STIC, fichier national des empreintes génétiques - FNAEG, Renseignements généraux - RG).

Sujets

Informations

Publié par
Publié le 01 mai 2008
Nombre de lectures 9
Langue Français
Signaler un problème

C O M M I S S I O N
NATIONALE DE
L’INFORMATIQUE
ET DES LIBERTÉS
e28 RAPPORT
D’ACTIVITÉ
2007En application de la loi du 11 mars 1957 (article 41) et du Code de la propriété intellectuelle du
er1 juillet 1992, toute reproduction partielle ou totale à usage collectif de la présente publication est
strictement interdite sans autorisation expresse de l’éditeur. Il est rappelé à cet égard que l’usage
abusif et collectif de la photocopie met en danger l’équilibre économique des circuits du livre.
© La Documentation française – Paris, 2008
ISBN : 978-2-11-007052-4C O M M I S S I O N
NATIONALE DE
L’INFORMATIQUE
ET DES LIBERTÉS
e28 RAPPORT
D’ACTIVITÉ
2007
prévu par l’article 11 de la loi du 6 janvier 1978,
modifiée par la loi du 6 août 2004Sommaire
AVANT-pROpOS 7
LES TEMpS FORTS DE L’ANNÉE 2007 11
Mesurer la diversité : les dix recommandations de la CNIL 13
Gérer les fichiers centraux de crédit et de logement 16
Encadrer la biométrie 18
Affaire SWIFT : vers une sortie de crise 23
La vidéosurveillance sous l’œil de la CNIL 25
L’invasion des puces ! 27
LA CNIL EN ACTION 29
Protéger 32
Informer, conseiller 38
Contrôler, sanctionner 46
Anticiper 50
L’échelon européen est déterminant 51
LES DÉFIS 53
L’internaute à la trace 55
Automobilistes, piétons, cyclistes, passagers : circulez, vous êtes pistés ! 59
La santé numérique à l’heure des choix 64
Le salarié... mondialisé malgré lui 68
Les initiatives de la francophonie 70

AU pROgRAMME DE L ’ANNÉE 2008 73
Trente ans après, faut-il (encore) modifier la loi informatique et libertés ? 75
eLa France et l’Allemagne coorganisatrices de la 30 conférence mondiale 76
Externalisation informatique : comment assurer la protection des données ? 77
Le contrôle des fichiers de police STIC, FNAEG et des renseignements généraux 78
Affaire Discovery : un nouveau dossier sensible avec les États-Unis 80
Création d’un prix de thèse informatique et libertés 82
Les principaux décrets d’application devant être soumis pour avis à la CNIL 83
LES pROpOSITIONS DE LA CNIL
AUx pOUVOIRS pUBLICS 85
ANNExES 87
Les membres de la CNIL 91
erLes services au 1 mars 2008 92
La CNIL en chiffres 94
Les moyens de la CNIL 95
Liste des délibérations adoptées par la CNIL en 2007 97
Liste des sanctions financières en 2007 121
Liste des organismes contrôlés en 2007 122
Lexique informatique et libertés 125
La CNIL en un CLIN d’œil
La Commission nationale de l’informatique et des libertés est chargée d’appliquer la loi du 6 janvier 1978 modifiée en août
2004 relative à l’informatique, aux fichiers et aux libertés. La mission générale de la CNIL est de veiller à ce que l’informatique
soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux
libertés individuelles ou publiques.

Avant-propos
Bourrasques, averses et éclaircies...
La métaphore météorologique a ses vertus, celle de rendre Alex Türk, président de la CNIL
compte de l’imprévisibilité de l’actualité, de sa brutalité parfois,
de sa précaire sérénité aussi. Bourrasque d’abord, qui vint de
l’ouest, de la volonté du Gouvernement américain d’imposer un effet extraterritorial
à ses lois sécuritaires. Ainsi, en vertu d’un accord conclu entre l’Union européenne et
le Gouvernement des États-Unis en juillet 2007, tous les passagers aériens à destina-
tion des États-Unis et recourant aux services de compagnies aériennes européennes
voient, au nom de la légitime lutte contre le terrorisme, leurs données désormais
transférées à plus d’une douzaine d’administrations américaines. Ce transfert des
données passagers (dites PNR en anglais) est effectué sans contrôle de la part des
Européens, pour une durée de 15 ans, et peut entraîner des refus d’embarquement
pour des personnes qui auront bien des difficultés à obtenir des explications et à
faire valoir leurs droits. De surcroît, les données transférées peuvent « en cas de
nécessité », appréciée souverainement par les autorités américaines, porter sur des
informations « sensibles » telles que les préférences alimentaires des personnes, leur
état de santé, leurs opinions politiques ou leur origine ethnoraciale. En dépit de
l’opposition résolue du Parlement européen et des « CNIL » européennes, ce nouvel
accord a été signé. Il a le goût amer de l’échec pour notre modèle qui entend
concilier la liberté et la sécurité, sans sacrifier l’une à l’autre.
Bourrasque encore, mais plus hexagonale cette fois, qui conduisit la commis-
sion chargée de mener une réflexion sur la réforme de nos institutions, présidée par
M. Édouard Balladur, à préconiser le démantèlement de la CNIL au profit de la
création d’un « défenseur des droits fondamentaux » regroupant d’autres autorités,
telles que le Médiateur de la République, la HALDE, le Défenseur des enfants ou
encore le Contrôleur général des prisons. Cette proposition est notamment fondée sur
l’idée, aujourd’hui erronée, que notre Commission relève d’une autorité de média-
tion entre les usagers et l’administration. Or, depuis la loi du 6 août 2004, près
de 70 % des décisions de la CNIL concernent le secteur privé. Notre Commission
est désormais dotée de pouvoirs de conseil, de contrôles sur place et sur pièces,
qu’elle entend développer, d’un pouvoir de sanction qui fait que le Conseil d’État l’a
récemment qualifiée de « juridiction ». La CNIL n’est donc plus cette autorité chargée
de rendre des avis sur les fichiers publics mais un véritable régulateur, du secteur
eC N I L 2 8 R A P P O R T D ’ A C T I V I T É 2 0 0 7
privé avant tout. Quel serait donc le gain pour nos concitoyens, en termes de
protection de leurs libertés, d’une disparition d’un organe collégial et juridictionnel
au profit d’une seule personne, aux compétences si étendues qu’elle ne pourrait
raisonnablement les exercer ? Il est peu de dire que je m’interroge.
Averse ensuite, dont la France a le génie. En effet, notre pays s’interroge,
depuis plusieurs années, sur l’efficacité de son modèle d’intégration républicain,
sur la nécessité de lutter contre les discriminations. Or, pour lutter contre les
discriminations, encore faut-il pouvoir les mesurer. Pour cela, il est nécessaire
de procéder à l’observation statistique des différences, de la diversité sociale,
« ethnique », religieuse, culturelle... ? Mais alors, quels critères utiliser pour analyser
cette diversité ? Quelles méthodes employer ? Qui peut le faire ? Comment concilier
cette nécessité de mieux connaître notre société avec l’interdiction prévue par la loi
informatique et libertés de recueillir des données faisant apparaître « directement
ou indirectement les origines raciales ou ethniques » des personnes ? Cette
problématique est délicate car elle touche à l’essence même de ce qui fait notre
identité, à notre conception de la République, à la façon dont on se perçoit et dont
on est perçu par les autres.
Compte tenu de ces enjeux, la CNIL a engagé le débat en constituant un
groupe de travail. Ce groupe a réalisé plus de 60 auditions et recueilli le point de
vue de l’ensemble des acteurs concernés : chercheurs, organisations syndicales,
représentants des grandes religions, mouvements associatifs, chefs d’entreprises...
À l’issue de ces travaux, nous avons publié, le 15 mai 2007, 10 recom-
mandations dont l’une d’entre elles tendait à modifier notre loi afin de faciliter les
recherches en matière de mesure de la diversité des origines, de la discrimination
et de l’intégration tout en améliorant la protection des personnes, de leurs données
ainsi que le caractère scientifique des enquêtes. Ces recommandations furent
alors unanimement accueillies. Ceci conduisit deux parlementaires, membres de
notre Commission, à déposer un amendement en ce sens lors de la discussion au
Parlement du projet de loi relatif « à la maîtrise de l’immigration, à l’intégration
et à l’asile ». Hélas, vérité d’hier ne l’était plus. Ce qui était consensuel se révéla,
à notre grande surprise, polémique. Des commentaires, relevant davantage du
pamphlet, prirent le dessus sur le débat de fond, juridique, technique, donc trop
subtil pour être entendu. Par sa décision du 15 novembre 2007, le Conseil consti-
tutionnel a censuré cet amendement en estimant qu’il était « sans lien » avec la
loi. Le Conseil a également considéré que « si les traitements nécessaires à la
conduite des études sur la mesure de la diversité des origines peuvent porter sur
des données objectives, ils ne sauraient, sans méconnaître le principe énoncé par
erl’article 1 de la Constitution, reposer sur l’origine ethnique ou la race ». Soucieuse
d’appliquer pleinement la décision du Conseil constitutionnel, comme se le doit
toute autorité publique, notre Commission n’a pu que constater le désarroi des

chercheurs face à la complexité de cette décision, certains organismes publics de
renom abandonnant des recherches de crainte de ne pas la respecter. Un travail de
pédagogie est donc nécessaire. Il doit être engagé sans tarder afin que la recherche
française soit rassurée et puisse poursuivre, sereinement, ses travaux. Un récent ajout
oaux Cahiers du Constitutionnel (n 23) s’y emploie et je m’en réjouis.
Quant aux éclaircies, la première d’entre elles vint, à son tour, d’outre-Atlantique
et du règlement de l’affaire SWIFT. La place nous manque pour rappeler ici les inter-
rogations que soulevait l’accès direct des autorités américaines à de nombreuses
données bancaires européennes telles que le montant du contrat, son bénéficiaire, la
société émettrice, toutes sortes d’informations ayant un rapport indirect avec la lutte
contre le terrorisme mais comportant un risque de parenté réelle avec de l’espionnage
industriel. Grâce aux efforts conjugués des « CNIL européennes », la base de données
de cette entreprise de droit belge, située aux États-Unis, va être rapatriée en Europe.
Dès lors, les autorités américaines ne seront plus en mesure d’y accéder en ce qui
concerne les échanges intra-européens. Il s’agit d’une victoire importante dans une
problématique voisine de celle des « PNR », emblématique d’un certain unilatéralisme
juridique américain.
La seconde éclaircie, il faut le souligner, réside dans l’effort budgétaire signifi-
catif que le Gouvernement a consenti en notre faveur. Avec 10 créations d’emplois
en 2007, 15 en 2008, notre Commission engage sa remise à niveau, mais demeure
loin de ses homologues britanniques, allemands ou espagnols. Bien évidemment, ce
mouvement devra être poursuivi. Il devra également se traduire par une réorganisation
de l’implantation territoriale de la CNIL. En effet, ses nouvelles missions de conseil
aux entreprises et aux administrations, d’animation du réseau des correspondants
informatique et libertés, d’instruction des plaintes, de contrôle, commandent une
déconcentration interrégionale de notre Commission, afin de la rapprocher de la
réalité de l’activité économique, de la rendre plus réactive, plus accessible à nos
concitoyens.
En un an, il aura été proposé à deux reprises, et par des organismes politiquement
diamétralement opposés, la commission Balladur et les mouvements « alternatifs », qui
envahirent notre Commission le 14 décembre dernier, de supprimer la CNIL. Quelle
leçon en tirer ? J’en vois trois. La première est que ces évènements attestent au moins
d’une chose : de l’indépendance de notre Commission. Il n’est rien de plus irritant
qu’une institution indépendante dont les positions ne conviennent jamais pleinement à
un groupe d’intérêt, quel qu’il soit. La deuxième, c’est que l’indépendance a un prix,
qui peut se révéler élevé, mais qui doit toujours être maintenu. La dernière est que
l’indépendance de notre Commission est aussi le fruit de ses 30 ans d’expérience.
L’année du trentenaire de la création de la CNIL sera l’occasion d’y rendre hommage,
au travers de l’organisation, des 15 aux 17 octobre 2008 à Strasbourg, de la confé-
rence mondiale informatique et libertés.
eC N I L 2 8 R A P P O R T D ’ A C T I V I T É 2 0 0 7
Cette conférence, qui se déroulera dans l’hémicycle du Conseil de l’Europe,
sera coorganisée par la CNIL et son homologue allemand, qui célèbrera également
eson 30 anniversaire. Autour de la question suivante, « comment protéger la vie
privée dans un monde sans frontières », elle regroupera plus de 600 participants,
venus du monde entier. Représentants des entreprises, d’associations, des autorités
de protection des données et des Gouvernements, tous débattront, à l’heure de
Facebook et de la convergence des technologies, de la question angoissante : la vie
privée n’est-elle pas un espace en voie de disparition ? La France, qui fut précurseur
en 1978, se devait de situer les problématiques de la protection de la vie privée à
leur niveau pertinent aujourd’hui, à savoir au niveau international. Rendez-vous donc
à Strasbourg !
Alex Türk
Président de la Commission nationale
de l’informatique et des libertés
10