Lexagone : Formation CNIL - Formation CIL - Audit CNIL (Fichiers et Site internet)

DATAPROTECT

Nicolas Samarcq — 2012-02-12T12:26:34Z

DATAPROTECT est une entreprise marocaine spécialisée en sécurité de l'information.

Fondée par des experts en sécurité des systèmes d'information ayant mené de nombre projets de conseil et d'intégration de solutions de sécurisation au Maroc et à l'étranger, DATAPROTECT appui son offre sur une vision unifiée de la sécurité de l'information.

DATAPROTECT est organisée autour de 3 pôles d'activités :

Conseil en sécurité des systèmes d'information

Activité de conseil et d'assistance à maîtrise d'ouvrage dans la mise en œuvre de solutions de sécurité.

DATAPROTECT est la seule entreprise certifiée PCI QSA an Maroc et la 3ème en Afrique pour mener des audits de certification PCI DSS.

Intégration de solutions sécurisées

Activité de maîtrise d'œuvre complète et d'ingénierie de solutions de sécurité.

Formations

Analyse des risques à l'aide de la méthode MEHARI
Préparation aux certifications CISA, CISSP, CISM.
Audit de sécurité des SI
Conformité à la loi n° 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel

Voir en ligne : Site DATAPROTECT

Réseaux de santé ADDICA et CARéDIAB

Nicolas Samarcq — 2012-01-06T14:42:49Z

Voir en ligne : Réseaux de santé ADDICA et CARéDIAB

LATHAM & WATKINS

Nicolas Samarcq — 2012-01-06T14:40:20Z

Voir en ligne : LATHAM & WATKINS

31ème rapport d'activité de la CNIL : « Les temps forts »

Nicolas Samarcq — 2011-12-05T15:31:32Z

Le 31ème rapport d'activité de la CNIL a été publié le 16 novembre dernier, l'occasion de revenir sur « les temps forts » de l'année 2010 en terme de contrôle et des nouveaux pouvoirs de la Commission en matière de vidéoprotection.

Cartographie des contrôles de la CNIL en 2010

Au cours de l'année 2010, la CNIL a effectué 308 contrôles, soit une augmentation de 14 % par rapport à l'année 2009.

La Commission a mis en oeuvre son programme annuel des contrôles élaboré et adopté en séance plénière en fonction des thèmes d'actualité et des grandes problématiques.

Les contrôles ont ainsi été effectués dans le secteur aérien (aéroports, compagnies aériennes, sociétés de sécurité privée, postes de police, douanes, ...), du logement (agences immobilières, offices HLM, ...) et les fichiers traitant des données de mineurs (conseils généraux, établissements scolaires, associations, mairies et entreprises de cours à domicile).

Un certain nombre de contrôles ont été réalisés pour vérifier le respect des normes juridiques que la CNIL adopte (normes simplifiées, autorisations uniques, ...) et des normes techniques qu'elle impose pour la sécurité des traitements les plus sensibles.

A noter que 19% des contrôles ont pour origine l'instruction  de plaintes et 11% sont les suites des décisions de la formation restreinte de la CNIL, qui prononce les sanctions à l'encontre des responsables de traitements ne respectant pas les obligations découlant de la loi Informatique et Libertés.

Concrètement, suite à une mise en demeure de la CNIL imposant la réalisation de modifications, techniques et organisationnelles des traitements contrôlés, des contrôles peuvent être diligentés pour vérifier que le responsable des traitements a bien pris en compte les demandes de la CNIL pour mettre en conformité ses systèmes ou dispositifs.

Enfin, il est utile de préciser, que depuis la publication des lois organique et ordinaire relatives au Défenseur des droits le 30 mars 2011, la Commission dispose d'une plus grande liberté de publicité de ses décisions, d'une part, son bureau peut désormais, sur demande du Président, décider de la publicité des mises en demeure, d'autre part, la publicité des sanctions prononcées par la formation restreinte ne sont plus soumises à la condition de mauvaise foi pour insertion dans la presse.

A ce titre, il est intéressant de constater que l'évaluation de l'impact des retombées presse, mesurée en équivalence publicitaire audiovisuelle par la CNIL, démontre son pouvoir médiatique tant au niveau de ses contrôles, que des sanctions faisant l'objet d'une publicité.

Contrôle en matière de vidéoprotection et nouveaux pouvoirs de la CNIL

En 2010, la CNIL a contrôlé 55 dispositifs de vidéoprotection relevant de la loi Informatique et Libertés.

Ces contrôles, majoritairement effectués à la suite d'une plainte, ont révélé que : 49% des systèmes de vidéoprotection n'avaient pas fait l'objet d'une déclaration auprès de la CNIL ou alors celle-ci était incomplète, 48 % étaient disproportionnés (surveillance permanente des salariés), 69 % présentaient un défaut d'information des personnes, 18 % avaient une durée d'enregistrement excessive et 25 % ne respectaient pas les obligations de sécurité.

Selon la CNIL, les dispositifs de vidéoprotection destinés à lutter contre le vol sont conformes à la loi Informatique et Libertés, si :

les zones sans rapport avec la finalité de lutte contre le vol ne sont pas couvertes par le dispositif (zones de repos, de travail sans présence de la marchandise, ...) ;

seuls les salariés qui manipulent les marchandises sont filmés ;

la lutte contre le vol vise que les marchandises en lien avec l'activité de l'entreprise concernée ;

des moyens alternatifs n'existent pas (armoires fortes, sécurité des locaux).

Le bilan 2010 des contrôles « vidéosurveillance » s'est traduit par l'adoption de 14 mises en demeure (25,5%), la rédaction de 20 courriers de clôture (36,5%) et de 21 courriers d'observation (38%).

Dans le cadre de son programme annuel des contrôles 2011, la CNIL s'est fixée comme objectif de contrôler 150 systèmes de « vidéosurveillance » afin de mettre en œuvre ses nouveaux pouvoirs en la matière.

En effet, depuis l'adoption de LOPPSI II (loi d'orientation et de programmation pour la performance de la sécurité intérieure), promulguée le 14 mars 2011, la CNIL a un pouvoir de contrôle de tous les dispositifs de vidéoprotection installés sur le territoire national, y compris ceux installés sur la voie publique, qui relèvent de la loi du 21 janvier 1995 (autorisation préfectorale).

Les contrôles de la CNIL porteront principalement sur l'information des personnes, les destinataires des images, leur durée de conservation, ainsi que sur la sécurité du système. Ils permettront également de s'assurer que des parties privatives (intérieur de maisons, jardins, etc. ) ne sont pas illégalement filmées.

Conclusion

2010 fut également l'année de création de la Direction des études, de l'innovation et de la prospective (DEIP). Cette direction a pour mission l'analyse des nouveaux usages des technologies et leur impact potentiel pour la protection des données personnelles et la vie privée. En 2011, la DEIP a conduit une étude sur l'écosystème des smartphones et les transformations des usages.

La CNIL rejoint ainsi le Commissariat à la vie privée du Canada, seule autorité de protection des données disposant d'une telle structure d'expertise.

Voir en ligne : 31ème rapport d'activité de la CNIL

Transposition du « Paquet Télécom » : renforcement de la protection des consommateurs et de internautes

Nicolas Samarcq — 2011-09-13T14:14:28Z

L'ordonnance du 24 août 2011 relative aux communications électroniques, qui transpose en droit interne les directives européennes dites « Paquet Télécom », renforce la protection des consommateurs en imposant de nouvelles obligations aux opérateurs et instaure des dispositions plus protectrices des données à caractère personnel.

L'information et les droits des consommateurs renforcés vis-à-vis des opérateurs

Le nouvel article L. 121-83 du Code de la consommation précise que tout contrat souscrit par un consommateur avec un fournisseur de services de communications électroniques (fournisseur d'accès internet, opérateur de téléphonie) doit comporter un certain nombre d'informations obligatoires sous une forme claire, détaillée et aisément accessible.

Nous retiendrons, à titre d'exemple, que les opérateurs sont tenus de préciser les services offerts, leur niveau de qualité et le délai nécessaire pour en assurer la prestation ; les frais de portabilité des numéros et autres identifiants ; les compensations et formules de remboursement applicables si le niveau de qualité des services prévus dans le contrat n'est pas atteint ; ainsi que les modes de règlement amiable des différends, notamment la possibilité de recourir à un médiateur. En effet, les opérateurs sont dorénavant tenus d'instituer un médiateur impartial et compétent, auprès duquel leurs clients peuvent s'adresser en cas de différend relatif aux conditions de leur contrat ou à l'exécution de leur contrat.

Ils doivent également indiquer le type de mesure susceptible d'être prise afin de réagir à un incident ayant trait à la sécurité ou à l'intégrité ou de faire face à des menaces et à des situations de vulnérabilité.

Enfin, des dispositions visant à protéger plus spécifiquement les utilisateurs handicapés sont prévues. Il s'agit en particulier de leur garantir un accès à des services de communications électroniques équivalent à celui dont bénéficient les autres utilisateurs et à un tarif abordable, y compris concernant les services d'urgence.

Ces informations doivent être mises à la disposition des consommateurs et tenues à jour dans les points de vente et par un moyen téléphonique ou électronique accessible en temps réel à un tarif raisonnable. Cette obligation est aussi exigée pour :

les produits et services destinés aux consommateurs handicapés ; 
les conséquences juridiques de l'utilisation illicite des services de communications électroniques qui peuvent porter atteinte au respect des droits et des libertés d'autrui, y compris les atteintes aux droits d'auteur et aux droits voisins ;
les moyens de protection contre les risques d'atteinte à la sécurité individuelle, à la vie privée et aux données à caractère personnel lors de l'utilisation des services de communications électroniques.

La notification des éventuelles violations de données personnelles par les opérateurs

En cas de violation de données à caractère personnel, c'est à dire toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques, l'opérateur doit avertir, sans délai, la Commission nationale de l'informatique et des libertés (CNIL).

De plus, lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur de services doit avertir également, sans délai, l'intéressé.

La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la CNIL a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. A défaut, la CNIL peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés.

Enfin, chaque fournisseur de services doit tenir à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserver à la disposition de la CNIL.

Le fait pour un opérateur de ne pas procéder à la notification d'une violation de données à caractère personnel à la CNIL est puni de cinq ans d'emprisonnement et de 300 000 € d'amende.

Le consentement préalable de l'utilisateur à l'implantation de « cookies » sur son ordinateur ou téléphone portable.

Selon le nouvel article 32-II de la loi Informatique et Libertés, tout abonné ou utilisateur d'un service de communications électroniques doit avoir exprimé son accord préalable à toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son ordinateur ou téléphone portable, ou à y inscrire des informations.

De plus, l'accord de l'abonné ou de l'internaute doit être obtenu à la suite d'une information claire et complète sur la finalité du traitement, ainsi que des moyens de s'opposer aux cookies.

Le nouvel article 32-II de la loi précise que ce consentement peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Toutefois, en l'état actuel du paramétrage des navigateurs (acceptation par défaut des cookies), de nombreuses incertitudes quant aux modalités d'obtention de ce consentement subsistent.

Ainsi, le groupe de l'article 29 [1], du fait du paramétrage par défaut des navigateurs, a considéré qu' « il est très important que les utilisateurs soient pleinement informés de l'utilisation et de l'effet des « cookies ». Ces informations devraient être mises davantage en évidence et ne pas simplement figurer dans la politique de confidentialité du moteur de recherche, où elles ne sont peut-être pas immédiatement apparentes » [2].

Une recommandation de la CNIL sur les bonnes pratiques en la matière et donc fortement souhaitable.

Précisons enfin que ces dispositions ne sont pas applicables aux cookies dits « de navigation » dont la finalité exclusive est de permettre ou faciliter la communication par voie électronique, ainsi qu'aux cookies strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

Nicolas Samarcq – Juriste Consulant TIC/CNIL

Voir en ligne : Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques

[1] Groupe de travail « article 29 » de la directive européenne sur la protection des données personnelles qui rassemble les CNIL européennes.

[2] Avis 1/2008 sur les aspects de la protection des données liés aux moteurs de recherche.

En 2011 : vidéoprotection, données de santé et traçage des consommateurs au programme des contrôles de la CNIL

Nicolas Samarcq — 2011-05-18T08:13:48Z

Le 26 avril dernier, la CNIL a publié son programme annuel des contrôles pour l'année 2011.

La Commission prévoit des contrôles relatifs aux systèmes de vidéoprotection, à la sécurité des données de santé, aux traçages des données clients/prospects, aux fichiers des agences de recouvrement et des détectives privés, et aux traitements comportant des flux de données transfrontières.

La vidéoprotection

A titre préliminaire, rappelons que la LOPPSI 2 [1], promulguée le 14 mars dernier, a précisé les pouvoirs de la CNIL en la matière, qui peut dorénavant contrôler tous les dispositifs de vidéoprotection.

La Commission a donc décidé de « mobiliser fortement ses ressources » en se fixant un objectif d'au moins 150 contrôles sur ces dispositifs.

Sur ces contrôles, il est utile de préciser qu'en 2010, ayant constaté que plusieurs salariés étaient filmés à leurs postes de travail de manière permanente par deux caméras situées chacune à une extrémité de leur bureau commun, la CNIL avait pour la première fois prononcé l'interruption en urgence d'un système de vidéosurveillance [2].

La sécurité des données de santé

L'intégration des technologies de l'information dans le domaine de la santé est aujourd'hui une réalité et va encore s'accroître significativement dans les années à venir : adoption du décret sur la télémédecine le 19 octobre 2010, déploiement depuis le début de l'année du DMP (Dossier Médical Personnel), réflexion sur un « décret cadre », pris après avis de la CNIL, pour autoriser les chercheurs et les autorités sanitaires à utiliser le NIR (n° de sécurité sociale), …

Ce développement, de la e-santé, a eu pour conséquence l'adoption d'une réglementation spécifique en matière de sécurité dans le domaine de la santé, notamment en imposant un agrément délivré par le ministre de la santé, après avis motivé d'un comité d'agrément et de la CNIL, pour les hébergeurs de données de santé.

En 2010, la CNIL a ainsi effectué des contrôles auprès de cinq hébergeurs de données de santé, dont quatre agréés. Une mise en demeure avait été prononcée à l'encontre de l'hébergeur non agréé. Depuis, la société s'est conformée aux injonctions de la Commission et a déposé une demande d'agrément.

Les enjeux de la e-santé et les constats effectués par la CNIL en 2010 l'ont donc conduit à cibler ses contrôles sur : la télémédecine, les hébergeurs de données de santé, l'utilisation des données du PMSI (Programme de Médicalisation des Systèmes d'Information) par certains cabinets de conseil, les registres [3] et les traitements mis en œuvre dans le cadre de la recherche médicale .

Le traçage des données clients/prospects

Ces contrôles porteront, notamment, sur les mesures d'audience (panneaux publicitaires et prospection par voie électronique), le profilage des personnes (sites web, réseaux sociaux, etc.), ainsi que sur les prestataires spécialisés dans la mise en œuvre de traitements de détection de la fraude sur le web, qui les conduisent à collecter de nombreuses données sur les personnes effectuant des achats sur internet.

Les agences de recouvrement et les détectives privés

Les investigations de la CNIL concerneront des manquements déjà constatés pour ce type de traitement : collecte déloyale, durée de conservation excessive, absence d'information des personnes visées par les enquêtes.

En 2007, la CNIL avait condamné une société de recouvrement à 5000 euros d'amende et à la publication de la sanction

Les flux de données transfrontières

Il s'agit des transferts de données personnelles de clients ou prospects de sociétés françaises vers des pays n'appartenant pas à l'Union européenne (par exemple dans le cadre de l'externalisation des centres d'appels).

Or, la plupart de ces pays ne disposent pas d'un niveau de protection des données personnelles équivalent à celui des pays de l'Union Europénne.

La CNIL va donc opérer des contrôles a posteriori afin de garantir aux citoyens français un niveau de protection maximal.

En 2011, la CNIL s'est fixée comme objectif la réalisation de 400 contrôles (270 contrôle en 2009) consacrés au programme annuel, mais aussi à l'instruction des plaintes dont elle est saisie et à la vérification des engagements pris par les responsables de traitement ayant fait l'objet d'une mise en demeure.

Nicolas Samarcq, Juriste – Consultant TIC/CNIL

[1] Loi d'orientation et de programmation de la performance de la sécurité intérieure.

[2] Délibération n°2010-112 du 22 avril 2010 de la formation restreinte décidant l'interruption d'un traitement mis en œuvre par la Société X…

[3] Fichiers mis en œuvre à des fins de surveillance sanitaire de la population qui portent sur des données directement nominatives.

Réforme de l'organisation et des pouvoirs de la CNIL

Nicolas Samarcq — 2011-04-18T10:02:00Z

Les lois organique et ordinaire relatives au Défenseur des droits du 29 mars dernier ont des conséquences juridiques immédiates sur l'organisation, les contrôles et les sanctions de la CNIL.

Pour rappel, le Défenseur des droits est chargé de :

défendre les droits et libertés dans le cadre des relations avec les administrations de l'Etat, les collectivités territoriales, les établissements publics et les organismes investis d'une mission de service public

défendre et de promouvoir l'intérêt supérieur et les droits de l'enfant

lutter contre les discriminations directes ou indirectes

veiller au respect de la déontologie par les personnes exerçant des activités de sécurité

A ce titre, le Défenseur des droits ou son représentant est membre de la CNIL avec voix consultative. Il est associé, à sa demande, aux travaux de la commission.

Election du président de la CNIL

La fonction de président de la commission est dorénavant incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique.

Par conséquent, son président actuel, le sénateur du Nord Alex Türk, dont la présidence saluée à droite comme à gauche de l'échiquier politique a été marquée par le renforcement des moyens et des contrôles de la CNIL, ne pourra pas se représenter à la prochaine élection du président de la commission, qui sera organisée au cours de la première quinzaine de septembre 2012 [1].

Mise en œuvre des contrôles de la CNIL

La commission peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions.

Déroulement des contrôles de la CNIL

Lors d'un contrôle sur place, le responsable des locaux professionnels privés est informé de son droit d'opposition à la visite des agents habilités de la CNIL.

Dès lors qu'il exerce ce droit, le contrôle ne peut se dérouler qu'après une autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés ses locaux (un décret en Conseil d'État fixera les conditions d'encadrement par le juge).

Toutefois, en cas d'urgence et sur autorisation préalable du juge des libertés et de la détention, le contrôle sur place de la CNIL peut avoir lieu sans que le responsable des locaux en ait été informé et sans qu'il puisse s'y opposer.

La visite s'effectue alors sous l'autorité et le contrôle du juge des libertés et de la détention qui l'a autorisée, en présence de l'occupant des lieux ou de son représentant qui peut se faire assister d'un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l'autorité des agents de la CNIL chargées de procéder au contrôle.

L'ordonnance du juge mentionne qu'il peut être saisi à tout moment d'une demande de suspension ou d'arrêt du contrôle sur place, et que celle-ci peut faire l'objet d'un appel devant le premier président de la cour d'appel.

Les sanctions de la CNIL

Il revient à la formation restreinte de la CNIL [2] de prononcer les sanctions à l'encontre des responsables de traitements qui ne respectent pas les obligations découlant de la loi Informatique et Libertés.

A fin de respecter les règles du procès équitable [3], les membres de la formation restreinte ne peuvent pas participer à l'exercice des attributions de la commission relatives à la réception des plaintes et aux phases d'enquête et d'instruction des contrôles. L'élection des nouveaux membres de la formation restreinte aura lieu le 28 avril prochain.

A l'issue des contrôles, la formation restreinte de la CNIL peut prononcer, après une procédure contradictoire, un avertissement à l'égard du responsable d'un traitement qui n'a pas respecté les obligations découlant de la loi Informatique et Libertés. Cet avertissement a le caractère d'une sanction.

Le président de la CNIL peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu'il fixe. En cas d'urgence, ce délai peut être ramené à cinq jours.

Si le responsable du traitement ne se conforme à la mise en demeure qui lui a été adressée, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

Une sanction pécuniaire de 150 000 € [4] (à l'exception des cas où le traitement est mis en œuvre par l'État) ;

Une injonction de cesser le traitement (lorsque celui-ci relève du régime de la déclaration auprès de la CNIL), ou un retrait de l'autorisation accordée par la CNIL.

De plus, lorsque la mise en œuvre d'un traitement ou l'exploitation des données traitées a porté atteinte à l'identité humaine, aux droits de l'homme, à la vie privée, ou aux libertés individuelles et publiques, la formation restreinte peut, après une procédure contradictoire, engager une procédure d'urgence (qui sera définie par décret en Conseil d'État), pour :

Décider l'interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois (à l'exception des cas où le traitement est de ceux mis en œuvre par l'État à l'article 27, ou pour le compte de l'Etat pour la sûreté, la défense et la sécurité publique, ou la recherche et la constatation des infractions pénales) ;

Prononcer un avertissement ;

Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, (à l'exception des cas où le traitement est mis en pour le compte de l'Etat pour la sûreté, la défense et la sécurité publique, ou la recherche et la constatation des infractions pénales) ;

Informer le Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est mis en œuvre pour le compte de l'Etat pour la sûreté, la défense et la sécurité publique, ou la recherche et la constatation des infractions pénales.

La publicité des sanctions de la CNIL

La formation restreinte peut rendre publiques les sanctions qu'elle prononce. Elle peut également ordonner leur insertion dans des publications, journaux et supports qu'elle désigne aux frais des personnes sanctionnées.

Enfin, le président de la CNIL peut demander au bureau [5] de rendre publique la mise en demeure qu'il a prononcée à l'encontre d'un responsable de traitements.

Nicolas Samarcq Juriste – Conseil en conformité CNIL

[1] La durée du mandat de président est de cinq ans.

[2] La formation restreinte de la CNIL est composée d'un président et de cinq autres membres élus par la commission en son sein. Les membres du bureau (le président et les deux vice-présidents de la CNIL) ne sont pas éligibles à la formation restreinte.

[3] Article 6-1 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

[4] En cas de récidive : 300 000 € dans la limite de 5% du chiffre d'affaires.

[5] Le président et les deux vice-présidents de la CNIL.

Google Street View et Latitude : Amende record de la CNIL

Nicolas Samarcq — 2011-03-31T17:24:05Z

Le 17 mars dernier, la CNIL a prononcé une amende record de 100 000 € à l'encontre de la société GOOGLE INC, avec publication de cette décision sur les sites cnil.fr et legifrance.gouv.fr [1].

Cette amende a été prononcée à l'issue des contrôles de la CNIL, réalisés dès décembre 2009, concernant les services de géolocalisation proposés par Google.

Rappel des faits

Dans le cadre de l'extension de son service en ligne Google Maps, le célèbre moteur de recherche a lancé en juin 2008 Google Street View sur le territoire français (traitement déclaré à la CNIL le 1er juillet 2008), puis Google Latitude en février 2009.

Pour rappel, Google Latitude permet à son utilisateur, dès lors qu'il dispose d'un compte Google et de l'application Latitude installée sur son smartphone, d'afficher sa position et d'indiquer à ses proches sa localisation en temps réel. Réciproquement cette application permet de géolocaliser ses proches, utilisateurs des mêmes services, sur une carte ou une liste.

Le fonctionnement de l'ensemble de ces services de géolocalisation par les réseaux Wi-Fi ou GSM (Google Maps, Street View, et Latitude) repose sur la constitution et la mise à jour d'une base de données commune, dénommée GLS (Google Location Server).

Cette base GLS a été largement alimentée par les Google cars, lors du projet Street View, en collectant des signaux radios (GSM et Wi-Fi) associés aux positions GPS.

Aujourd'hui, cette base GLS est enrichie et mise à jour essentiellement par le traitement des données transmises par ses utilisateurs (adresses MAC [2]. et identifiants SSID [3] des points d'accès Wi-Fi les plus proches).

A ce titre, la CNIL considère que le service Google Latitude est soumis au respect de la loi Informatique et Libertés du 6 janvier 1978, dans la mesure où il repose sur un traitement de données à caractère personnel.

En effet, dans sa délibération du 17 mars, la CNIL précise que « les identifiant SSID permettent d'identifier les réseaux Wi-Fi se trouvant à portée et de s'y connecter et que ces identifiants comportent fréquemment le nom et/ou le prénom des titulaires du réseau ; de tels éléments permettent alors manifestement d'identifier une personne physique », et doivent par conséquent être considérés comme constituant des données à caractère personnel. Il en est de même pour les adresses MAC croisées avec les données collectées par Google.

Cette analyse, contestée par Google, a notamment été à l'origine de sept contrôles sur place de la CNIL, qui a constaté la présence de plusieurs dispositifs de collecte de données sur le toit des Google cars, ainsi qu'une clef Wi-Fi dans leur coffre permettant de capter et d'enregistrer des signaux Wi-Fi.

Il en résulte qu'un logiciel dénommé « gSlite », déployé dans les véhicules Street View, comprenait « un programme de détection et de captation de données de contenu sans fil, dénommé Kismet, lequel permet de capter et d'enregistrer l'ensemble des données Wi-Fi à sa portée (données de contenu chiffrées, données de contenu non chiffrées, données de contrôle et données de gestion) ».

Ensuite, le logiciel gSlite ajoutait les données GPS aux données Wi-Fi captées et enregistrées par Kismet, afin de les localiser de manière précise.

Les agents de la CNIL ont alors analysé les différentes données collectées par Google.

Les données de contenu captées par les Google cars

La CNIL, dans le cadre de son expertise technique à partir d'une copie des données de contenu Wi-Fi (payload) isolées des autres données (remise par Google), a identifié des :

données relatives à la navigation sur internet, dont la nature des sites consultés, les mots de passe permettant d'y accéder et l'emplacement géographique de l'utilisateur, ainsi que de nombreuses données de connexion à des sites de rencontre et à des sites pornographiques ;

données d'accès à des boîtes de courrier électronique comprenant des mots de passe de messagerie, les adresses de courriel des expéditeurs et des destinataires à partir des données d'envoi (smtp), ainsi que des contenus entiers de courriels.

Ces données ont permis aux agents de la Commission de démontrer des atteintes graves :

« le 26 Mars 2009 à 15h03, un internaute pouvant être situé très précisément à l'aide de ses coordonnées GPS sur la D118 (au nord de CARCASSONNE) accède à un site de rencontre http://www.mes-rencontres-sexy.com/ dont il est membre. L'identifiant utilisé est connu de la société, comme son mot de passe et son adresse IP sur le réseau interne connecté à son point d'accès. De nouveau, l'identifiant SSID et l'adresse MAC du point d'accès de cet utilisateur sont connus de Google mais ont été supprimés des informations fournies à la CNIL. Avant d'arriver sur ce site, selon les cookies qui ont été interceptés, l'internaute a effectué la recherche suivante sur le moteur de recherche Google : rencontre coquine gratuite . (…)

Il a également été possible de consulter un échange de courriels entre une femme et un homme mariés, cherchant tous deux une relation extraconjugale. Les coordonnées GPS associées à cette requête, identifiées en clair, pointent vers une adresse précise (un numéro de rue dans une ville du département du Rhône). Les personnes concernées sont identifiées par leurs prénoms et leurs adresses de courrier électronique.

Ces rapprochements ont été opérés par la CNIL sans difficulté particulière, alors même que les identifiant SSID et les adresses MAC des points d'accès de ces utilisateurs, connus de la société, avaient en revanche été supprimés des informations lui ayant été fournies ».

Les identifiants SSID et adresses MAC captés par les Google cars

L'analyse de la copie d'un disque dur comprenant l'ensemble des informations collectées par un véhicule Street View (zone autour de la ville de MILLAU entre avril et mai 2010) a « permis d'établir que les Google cars enregistraient non seulement les adresses MAC des points d'accès Wi-Fi, mais aussi les adresses MAC de l'ensemble des terminaux connectés à ces points d'accès (ordinateurs personnels, imprimantes et autres périphériques, smartphones, etc.) ».

C'est dans ces conditions que la CNIL, après une mise en demeure partiellement infructueuse, a décidé de prononcer une sanction pécuniaire pour :

manquement à l'obligation d'accomplir les formalités préalables à la mise en œuvre du traitement Google Latitude ; ?

manquement au respect de la vie privée et des libertés individuelles ; ?

manquement à l'obligation d'effectuer une collecte loyale et licite des données (défaut d'information des utilisateurs sur les données collectées) ; ?

insuffisance des réponses apportées par la société aux demandes de la Commission (non-communication du code source du nouveau logiciel).

La CNIL est donc la première autorité de protection des données personnelles ayant sanctionné Google, alors que d'autres procédures similaires sont actuellement diligentées par ses homologues de l'Union européenne.

Google dispose de 2 mois pour contester cette décision devant le Conseil d'Etat.

Nicolas Samarcq - Juriste Consultant TIC/CNIL

Voir en ligne : Délibération CNIL n°2011-035 du 17 mars 2011

[1] Délibération n°2011-035 du 17 mars 2011 de la formation restreinte prononçant une sanction pécuniaire à l'encontre de la société GOOGLE Inc.

[2] adresses MAC (Media Access Control address) des routeurs Wi-Fi : identifiant physique stocké dans une carte réseau ou une interface réseau

[3] SSID (Service Set Identifier) : Identifiant de 32 caractères servant à identifiant un point WiFi dans un réseau. L'ordinateur souhaitant se connecter à ce point WiFi doit fournir ce SSID et le mot de passe correspondant (source : www.microapp.com).

Les volets Internet et Vidéoprotection de LOPPSI 2

Nicolas Samarcq — 2011-02-02T08:49:00Z

Le projet de loi d'orientation et de programmation de la performance de la sécurité intérieure (LOPPSI 2) a été adopté en seconde lecture au Sénat le 20 janvier dernier.

Parmi les nombreuses mesures prévues dans ce projet de loi, cinq touchent plus particulièrement internet, et une modifie le régime de la vidéosurveillance (qui devient « vidéoprotection ») sur la voie publique institué par la loi 21 janvier 1995.

Usurpation d'identité

Un nouvel article 226-4-1 du Code pénal réprimant :

« Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende. « Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. »

Il est à remarquer que :

La notion trop vague d'« atteinte aux intérêts d'une personne » a été supprimée par la commission des lois.

Les termes d'atteinte à l'honneur ou à la considération sont directement inspirés de la loi du 29 juillet 1881 sur la liberté de la presse, laquelle vise notamment le délit de diffamation.

La notion d'« identité d'un tiers » peut laisser entendre que constituerait une infraction pénale le fait d'usurper les identifiants (pseudo/mots de passe) d'une personne en vue de troubler sa tranquillité ou de porter atteinte à son honneur.

Fournisseurs d'accès à l'internet : obligation de blocage des sites à caractère pédopornographique

En pratique, l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) sera chargé de transmettre par voie dématérialisée la liste des sites devant être bloqués par les fournisseurs d'accès à internet.

Cette mesure est toutefois très controversée quant à son efficacité technique. De plus, selon la Sénatrice, Mme Nicole Borvo Cohen-Seat, outre les risques de surblocage comme pour le site Wikipédia en Australie, « l'Allemagne, qui s'était également dotée de ce même dispositif, y a renoncé en raison du nombre d'erreurs commises dans le jugement des caractères pédopornographiques des sites « blacklistés » : sur 8000 sites filtrés, seulement 100 recelaient des contenus pédopornographiques, soit 98,75% d'erreurs ».

Revente de billets d'entrée sans autorisation sur internet

Un nouvel article L. 443-2-1 du Code de commerce dispose que : « Le fait, sans autorisation du producteur, de l'organisateur ou du propriétaire des droits d'exploitation d'une manifestation sportive, culturelle ou commerciale, d'offrir, de mettre en vente ou d'exposer en vue de la vente, sur un réseau de communication au public en ligne, des billets d'entrée ou des titres d'accès à une telle manifestation pour en tirer un bénéfice est puni de 15 000 € d'amende ». De plus, les personnes physiques reconnues coupables encourent une peine complémentaire de confiscation de la chose qui a servi à commettre cette infraction. Tandis que les personnes morales encourent les peines complémentaires classiques prévues à l'article 131-39 du même Code Pénal (dissolution, interdiction d'exercice de l'activité, …).

Contrefaçon : durcissement des peines

Le projet de loi prévoit que les peines encourues pour les délits de contrefaçon en matière de dessin et modèle, de brevet, de certificat d'obtention végétale et de marque, lorsqu'ils sont commis par voie de communication au public en ligne, seraient de cinq ans d'emprisonnement et de 500 000 euros d'amende.

Captation des données informatiques

En matière de criminalité et de délinquance organisées, le projet de loi autorise les officiers et agents de police judiciaire, sur la base d'une ordonnance écrite spécialement motivée du juge d'instruction et après avis du procureur de la République, à mettre en œuvre un dispositif de captation en continu des données informatiques utilisées ou saisies sur un ordinateur, que ces données soient ou non destinées à être émises, et qu'elles empruntent ou non un réseau de communications électroniques.

Malgré les précautions prises concernant notamment la limitation des données enregistrées aux seuls éléments utiles à la manifestation de la vérité et aux séquences liées aux infractions ; la CNIL relève que le projet LOPPSI 2 prévoit l'utilisation de ces outils de captation des données informatiques à l'insu des intéressés dans les points publics d'accès à internet .

Or, une telle mesure a pour conséquence, par exemple, de placer l'ensemble des postes informatiques d'un cybercafé sous surveillance. Le recours à cette possibilité doit donc revêtir un caractère exceptionnel, ainsi qu'une traçabilité des accès et utilisations de ces outils de captation afin de garantir les citoyens contre toute dérive.

A ce titre, la CNIL souhaite que ces mesures techniques de traçabilité soient fixées par des dispositions réglementaires prises après son avis.

Vidéoprotection : le retour de la CNIL ?

Le projet LOPPSI 2 étend les finalités, pour lesquelles la loi du 21 janvier 1995 autorise la vidéoprotection de la voie publique par les autorités publiques, à la régulation des flux de transport, la prévention de lieux particulièrement exposés au trafic de stupéfiants ou de trafics illicites, et la prévention des risques naturels ou technologiques.

LOPPSI 2 précise également que les personnes morales de droit privé sont autorisées à installer, après information du maire et autorisation du préfet, des systèmes de vidéosurveillance sur la voie publique afin de protéger les abords de leurs bâtiments dans les lieux susceptibles d'être exposés à des actes de terrorisme ou particulièrement exposés à des risques d'agression ou de vol.

Le projet de loi donne aussi la possibilité aux autorités publiques ou personnes morales de déléguer à des opérateurs publics ou privés l'exploitation de leur système de vidéosurveillance.

Dans ce cas, la convention avec l'opérateur public ou privé doit être agréée par le préfet, après information du maire de la commune concernée, et être conforme à une convention-type qui sera fixée par voie réglementaire.

Sur ce point, la CNIL a attiré l'attention sur le risque de sous-traitance externalisée vers des pays tiers, ce qui rendrait impossible tout contrôle des dispositifs en question sur le territoire national.

Enfin, LOPPSI 2 précise que seuls sont autorisés par la CNIL : les systèmes, installés sur la voie publique ou dans des lieux ouverts au public dont les enregistrements sont utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d'identifier, directement ou indirectement, des personnes physiques.

Ainsi, la CNIL peut, sur demande de la commission départementale de vidéoprotection, du responsable d'un système ou de sa propre initiative, exercer un contrôle visant à s'assurer que le système est utilisé conformément à son autorisation et, selon le régime juridique dont le système relève, aux dispositions de LOPPSI 2 ou à celles de la loi Informatique et Libertés du 6 janvier 1978.

Si la CNIL constate un manquement aux dispositions de LOPPSI 2, elle peut mettre en demeure le responsable du système de le faire cesser et si ce dernier ne se conforme pas aux termes de la mise en demeure, elle peut prononcer un avertissement public à son égard. En dernier recours, la CNIL peut demander au préfet d'ordonner la suspension ou la suppression du système de vidéoprotection. Elle informe alors le maire de la commune concernée de cette demande.

Bien entendu ces mesures ne sont pas exclusives des pouvoirs de sanctions conférés à la CNIL dans le cadre de manquements constatés aux dispositions de la loi Informatique et Libertés.

Une commission mixte paritaire a été convoquée le 26 janvier 2011 en vue du vote définitif de LOPPSI 2 par les deux chambres le 8 février prochain.

Nicolas Samarcq – Juriste Consultant en affaires réglementaires TIC/CNIL

Voir en ligne : LOI d'orientation et de programmation pour la performance de la sécurité intérieure

SPIE Communications

Nicolas Samarcq — 2010-11-13T09:59:20Z

SPIE Communications

Voir en ligne : SPIE Communications

Lexagone : Formation CNIL - Formation CIL - Audit CNIL (Fichiers et Site internet)

DATAPROTECT

Conseil en sécurité des systèmes d'information

Intégration de solutions sécurisées

Formations

Réseaux de santé ADDICA et CARéDIAB

LATHAM & WATKINS

31ème rapport d'activité de la CNIL : « Les temps forts »

Cartographie des contrôles de la CNIL en 2010

Contrôle en matière de vidéoprotection et nouveaux pouvoirs de la CNIL

Conclusion

Transposition du « Paquet Télécom » : renforcement de la protection des consommateurs et de internautes

L'information et les droits des consommateurs renforcés vis-à-vis des opérateurs

La notification des éventuelles violations de données personnelles par les opérateurs

Le consentement préalable de l'utilisateur à l'implantation de « cookies » sur son ordinateur ou téléphone portable.

En 2011 : vidéoprotection, données de santé et traçage des consommateurs au programme des contrôles de la CNIL

La vidéoprotection

La sécurité des données de santé

Le traçage des données clients/prospects

Les agences de recouvrement et les détectives privés

Les flux de données transfrontières

Réforme de l'organisation et des pouvoirs de la CNIL

Election du président de la CNIL

Mise en œuvre des contrôles de la CNIL

Déroulement des contrôles de la CNIL

Les sanctions de la CNIL

La publicité des sanctions de la CNIL

Google Street View et Latitude : Amende record de la CNIL

Les volets Internet et Vidéoprotection de LOPPSI 2

SPIE Communications