CNIL Rapport Annuel 2010

COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTS

31e RAPPORT DACTIVIT

2010

En application de la loi du 11 mars 1957 (article 41) et du Code de la proprit intellectuelle du 1er juillet 1992, toute reproduction partielle ou totale usage collectif de la prsente publication est strictement interdite sans autorisation expresse de lditeur. Il est rappel cet gard que lusage abusif et collectif de la photocopie met en danger lquilibre conomique des circuits du livre.

Direction de linformation lgale et administrative Paris, 2011 ISBN : 978-2-11-008684-6

COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTS

DACTIVIT

e 31

RAPPORT

2010

prvu par larticle 11 de la loi du 6 janvier 1978, modifie par la loi du 6 aot 2004

SommaireAVANT-PROPOSLes chiffres de lanne 2010 Protger Informer Conseiller et proposer Contrler Sanctionner Anticiper Simplifier et rglementer 7 13 14 16 18 20 22 24 25 27

LES TEMPS FORTSNotre priorit : sensibiliser les jeunes et les professionnels de lducation aux bonnes pratiques sur internet afin de favoriser une instruction civico-numrique La rvision du cadre juridique europen : quel futur pour la vie prive ? Les nouveaux pouvoirs de contrle de la vidoprotection Prospective et innovation : une priorit stratgique pour la CNIL

31 36 40 43 47 49 50 52 54 58

ANNEXESLes membres de la CNIL Les services de la CNIL au 4 mai 2011 Les moyens de la CNIL Liste des organismes contrls en 2010 Liste des sanctions prononces en 2010

5

Avant-propos loccasion de la publication du 31e rapport annuel de notre commission, je relve tout dabord deux lments purement formels. Le lecteur remarquera en effet, dune part, que nous avons procd un remaniement de ce rapport de faon faciliter davantage encore sa lecture. Dautre part, dans le souci de coller la ralit, nous avons fait en sorte que le rapport publi en 2011 couvre lensemble de la priode coule depuis le rapport prcdent plutt que lanne civile 2010. Ceci nous vitera quelques contorsions et prsentations parfois surralistes lorsquil sagissait, par exemple, de feindre dignorer, dans la relation des faits survenus fin 2009, leur conclusion survenue dbut 2010! Quant lexercice constitu par le prsent ditorial, rien ne change; il sagit comme chaque fois de rsumer, en quelques lignes, les milliers dheures consacres par les commissaires, et lensemble de lquipe de la CNIL, la protection des donnes de leurs concitoyens! Mais puisquil faut choisir Retenons une trs vive proccupation, une interrogation rcurrente et une vraie belle satisfaction. Comment, en effet, ne pas tre proccup face au dferlement des nouvelles applications technologiques qui, peu peu, installe dans ce que lon appelle notre socit numrique, un appareil de traage de lensemble des citoyens: maillage de fichiers traditionnels, vidoprotection (ou vidosurveillance), biomtrie, golocalisation, usages dinternet? Comment ne pas sinterroger sur les consquences terme du foss existant entre les conceptions europenne et amricaine en matire de protection des donnes? LEurope aura-t-elle le courage politique de poser les questions qui fchent quant lapplication sur son territoire videmment indispensable du droit europen aux activits des socits amricaines de linternet? Profitera-t-elle de la perspective dune rvision de fond de la directive europenne pour adapter nos lgislations aux dfis qui nous attendent? Enfin, pourquoi ne pas se fliciter de ladoption, rcemment, de dispositions lgislatives qui donnent notre Commission la possibilit (tant attendue) de pouvoir contrler, sur lensemble du territoire, les dispositifs de vidoprotection, quels que soient les rgimes juridiques qui les rgissent? Il y a l une volution majeure et, disons-le aussi, un hommage rendu par les pouvoirs publics notre institution, ses comptences et sa rputation.

7

CNIL 31e RAPPORT DACTIVIT 2010

La mission premire de notre Commission est de relever lensemble de ces dfis. Elle en a la volont et les capacits. Que lon me permette, pour conclure, un mot personnel. Reprsentant lu du Snat au sein de la CNIL depuis 1992, jen assume la prsidence, depuis mon lection par mes pairs, en fvrier 2004. Mon mandat sachvera en septembre prochain et ne se renouvellera pas, conformment la nouvelle lgislation. Je voudrais exprimer ici mes remerciements les plus chaleureux lensemble du personnel de la Commission ainsi qu mes collgues commissaires qui mont donn la chance de vivre leurs cts une exprience une aventure exaltante et passionnante au service de la protection de la vie prive et des liberts individuelles. Je suis convaincu que notre Commission sera la hauteur des attentes de nos concitoyens qui souhaitent pleinement profiter des avantages que procurent les technologies numriques dans le domaine de la connaissance, du dialogue entre les personnes et de laccs la dmocratie, et en mme temps tre assurs que lexercice de leurs liberts individuelles et de la protection de leur vie prive sont garantis.

Alex TRK Prsident de la Commission nationale de linformatique et des liberts

8

Le mot du secrtaire gnralLamlioration du service rendu lusager: voici, mon sens, la tendance la plus marquante de lanne 2010 pour notre Commission. Grce la rduction des dlais tout dabord, puisque les rcpisss dlivrs aux organismes qui dclarent leurs fichiers la CNIL le sont en 5 jours depuis le 1er dcembre 2010. Ils ltaient en 13 mois en 2006. De mme, les autorisations pralables dlivres par la CNIL aux entreprises qui souhaitent transfrer des donnes hors de lUnion europenne, parce quelles externalisent certaines activits, le sont en 25 jours depuis le 1er trimestre 2011. Elles ltaient en 180 jours en 2009. Cette performance rsulte dun triple phnomne. Juridique en premier lieu. La loi du 13 mai 2009 a dlgu au prsident ou au vice-prsident la comptence pour autoriser ces transferts. Auparavant, ces derniers faisaient lobjet dun vote la majorit qualifie en sance plnire de notre Commission. Ce nouveau systme de dlgation permet ainsi de traiter davantage de demandes, en un temps rduit. Tel tait prcisment lobjectif poursuivi par le lgislateur. En effet, plus le nombre des autorisations de transfert dlivres est lev, plus leur dlai moyen dinstruction par les services, mcaniquement, se rduit. Pour sen convaincre, il suffit de rappeler que le nombre dautorisations de transferts adoptes par la sance plnire de notre Commission en 2009, avant cette rforme lgislative, tait de 80 en 2007, 215 en 2008 et 314 en 2009. Ce nombre a atteint 543 dcisions dlgues en 2010. Organisationnel en second lieu. La rduction importante des dlais a t rendue possible grce une profonde rorganisation interne mene depuis 2007. Ainsi, un vritable front office a t-il t mis en place au profit du service daccueil et de renseignement du public, permettant de traiter, ds le premier appel, un grand nombre de demandes et toutes les dclarations. Managrial enfin. Notre Commission a dcid de mettre en uvre une prime de performance adosse, pour partie, latteinte de rsultats chiffrs, ce qui tmoigne de la motivation des quipes et est, par ailleurs, suffisamment novateur dans ladministration pour devoir tre soulign ici. Au-del de ces chiffres, la Commission a mis la disposition des usagers des services varisleur permettant deffectuer, depuis le 14 juin 2010, leurs formalits

9


pralables (demandes davis et dautorisation pralable pour les fichiers les plus sensibles, dclarations) ou encore de dposer une plainte directement en ligne. Aujourdhui, prs de 20 % des plaintes sont ainsi adresses la CNIL sous forme dmatrialise. Ce bref panorama serait incomplet sil ntait fait mention de la campagne de communication que la CNIL a engage en direction des mineurs. Aujourdhui, 70 % des moins de 11 ans utilisent internet et 49 % des 11-12 ans possdent leur propre tlphone portable grce auquel, pour la plupart, ils accdent internet et aux rseaux sociaux. La prcocit de ces usages exige, en contrepartie, quune pdagogie adapte soit engage afin de promouvoir les bonnes pratiques et sensibiliser ces jeunes utilisateurs aux risques induits par un dvoilement excessif de soi sur les rseaux. Cest pourquoi la CNIL a entrepris un effort de sensibilisation sans prcdent en leur direction en consacrant plus de 500000 euros une opration impliquant, notamment, la ralisation de deux ditions spciales des journaux Mon Quotidien (pour les 10-14 ans) et lactu (pour les 14-18 ans) consacrs la question de la protection de la vie prive sur internet. Puisque ce qui est sur le rseau un jour peut ltre pour toujours, parce que laction rparatrice dune plainte ou dune sanction neffacera jamais le dommage subi par lintress, il importait nos yeux de sadresser directement, et dans un langage adapt, ces jeunes utilisateurs. Ce faisant, il sagit bien, comme le prvoit larticle 1erde notre loi, de faire en sorte que linformatique soit au service de chaque citoyen , y compris ceux de demain.

Yann PADOVA

Dlais moyens de dlivrance des rcpisss des dclarations normales500 400Nombres de jours

Dlais moyens de traitement d'une autorisation de transfert hors UE

392Nombre de jours

200 150 100 50 0

180

300 200 100 0 2006 2007 2008 Annes 2009 111 36 21 5 2010

67 25 1er semestre 2011

2009

2010 Annes

10

LA

CNIL EN ACTION

11

12

LA CNIL EN ACTION

LES CHIFFRES DE LANNE 2010 71 410 traitements de donnes personnelles enregistrs 68262 rcpisss envoys par la CNIL 48 heures de dlais pour recevoir un rcpiss pour une dclaration simplifie et 5 jours pour une dclaration (contre 13 mois en 2006) 88 % des dclarations sont faites en ligne Les membres de la CNIL se sont runis 33 fois en sance plnire Les membres de la formation contentieuse se sont runis 12 fois 2 905 transferts hors de lUnion europenne contre 2 860 en 2009 706 autorisations relatives des systmes biomtriques et 3 refus 258 autorisations 8 avis sur des projets de loi ou de dcret 78 avis portant notamment sur des traitements mis en uvre pour le compte de ltat 4 376 dclarations relatives des systmes de vidosurveillance 10000 appels tlphoniques 28 490 courriers reus 1 569 dcisions et dlibrations adoptes 4 821 plaintes 1 877 demandes de droit daccs indirect aux fichiers de police et de renseignement 308 contrles 111 mises en demeure 3 avertissements 5 sanctions financires 7 300 organismes ont dsign un correspondant 254 actualits mises en lignes sur www.cnil.fr 33 000 abonns la lettre InfoCNIL 600000 exemplaires de ldition spciale de Mon Quotidien envoys toutes les classes de CM2 200000 exemplaires de ldition spciale de lactu envoys dans les collges 18 auditionsdevant le Parlement 11 dlgations trangres reues

13


PROTGERNette hausse des plaintes reuesEn 2010, la CNIL areu un nombre record de plaintes (4 821) pour non-respect de la loi Informatique et Liberts . Ce chiffre reprsente une hausse de 13 % par rapport 2009. volution du nombre de plaintes reues par la CNIL5 000 4 500 4 000 3 500 3 000 2006 2007 2008 2009 2010

Dans 80 % des cas, il yaen revanche ncessit dintervenir auprs du responsable du fichier concern par la plainte. Cette intervention, par un change de courriers, est gnralement suffisante pour obtenir ou sassurer du respect de la loi Informatique et Liberts . Si ncessaire, la CNIL peut faire usage de ses pouvoirs de contrle sur place (environ 2 % des dossiers, 19 % des contrles ont t effectus dans le cadre de linstruction de plaintes) et, dans les cas les plus graves, elle peut mettre en demeure le responsable du fichier de se conformer la loi (galement 2 % des dossiers). Les dlais dinstruction des plaintes varient de quelques jours plusieurs mois en fonction de la complexit de la plainte, de la qualit des rponses apportes par le responsable du fichier ou encore des actions entreprises pour instruire le dossier (contrle, mise en demeure, procdure de sanction...).

Si tous les secteurs sont concerns par cette augmentation, les questions lies au droit loubli sur internet (pour demander la suppression de contenus textes, photographies, vidos qui apparaissent sur des sites ou des blogs) et la vidosurveillance sont en particulire progression. La CNIL continue galement recevoir un nombre important de plaintes concernant les secteurs de la banque et du crdit, du travail (notamment sur les questions de surveillance des salaris) et du commerce (gestion des fichiers de clients ou denvoi de publicit). Le lancement, en juin 2010, du service de plainte en ligne permet galement dexpliquer ces chiffres. En effet, prs de 20 % des plaignants utilisent aujourdhui internet (www.cnil.fr) pour adresser une plainte la CNIL ; ils ntaient que 8 % le faire en septembre 2010.

Le droit daccs indirect aux fichiers intressant la sret de ltat, la dfense ou la scurit publiqueEn 2010, la CNIL areu 1 877 demandes de droit daccs indirect. Le plus souvent, ces demandes sont engages la suite de dcisions dfavorables en matire daccs des emplois publics ou privs relevant du domaine de la scurit ou de la dfense. En effet, laccs ce type demplois donne lieu des enqutes administratives pralables loccasion desquelles les prfets consultent ces fichiers. Le STIC peut tre consult loccasion du recrutement, de lagrment ou de lhabilitation des personnels de professions trs diverses : personnels de surveillance et de gardiennage, personnes souhaitant travailler dans les zones aroportuaires, agents de police municipale, gardes champtres, prfets, ambassadeurs, directeurs et chefs de cabinets des prfets, magistrats, etc. Au total, la consultation du STIC des fins denqute administrative est susceptible de concerner plus dun million demplois. Une demande daccs indirect concerne gnralement plusieurs fichiers. Par exemple pour les fichiers de police judiciaire, les magistrats de la CNIL effectuent des vrifica-

Comment la CNIL traite-t-elle les plaintes ?Dans prs de 20 % des cas, le service des plaintes est en mesure de rpondre directement au plaignant (pour lui prciser ses droits et les dmarches accomplir auprs du responsable du fichier, pour lui indiquer aprs analyse juridique que le responsable du fichier nest pas en faute ou encore que la CNIL nest pas comptente sur la question pose).

14

LA CNIL EN ACTION

tions dans le fichier STIC, dans les fichiers de la scurit publique des commissariats et dans le fichier JUDEX de la gendarmerie nationale. Les demandes ont donn lieu 4 185 vrifications qui ont permis de clturer 1 838 dossiers. 60 % des vrifications effectues en 2010 ont concern les fichiers de police judiciaire, avec les rsultats suivants :Fichiers de police judiciaireNombre de vrifications effectues Nombre de fiches mis en cause vrifies Fiches exactes Fiches modifies pour tenir compte, notamment, des suites judiciaires rserves aux infractions enregistres Fiches supprimes

la cration du fichier EDVIGE lie la nouvelle architecture des services de renseignements du ministre de lIntrieur. La CNIL avait alors reu de nombreuses demandes daccs aux fichiers de renseignement.

STIC1 155 662 21 % 59 % 20 %

JUDEX1 372 254 52 % 23 % 25 %

Comment a marche ?En application de larticle 41 de la loi Informatique et Liberts , toute personne peut demander la CNIL de vrifier les informations qui la concernent susceptibles de figurer dans les fichiers intressant la sret de ltat, la dfense ou la scurit publique. Un magistrat de la CNIL appartenant ou ayant appartenu au Conseil dtat, la Cour de cassation ou la Cour des comptes est alors dsign pour mener les investigations utiles dans les fichiers concerns et faire procder aux modifications ncessaires. Les principaux fichiers concerns par cette procdure sont les fichiers de police judiciaire de la police et de la gendarmerie nationales (STIC et JUDEX), les fichiers des services de renseignements ainsi que le systme dinformation Schengen (SIS).

Le nombre des demandes dexercice du droit daccs indirect adresses la CNIL en 2010 permet de constater une baisse par rapport aux annes antrieures. Une hausse sensible avait notamment t enregistre au cours de lanne 2008, marque par une augmentation significative du nombre de demandes. Cette hausse, qui sest poursuivie de manire plus modre en 2009, tait essentiellement imputable au large dbat et la mobilisation suscits par

volution des demandes de droit daccs indirect depuis 20087 000 6 000 5 000 4 000

4 519

3 000

5 712

2 516

2 217

2 294

2 000 1 000 0

1 877

2008 Nombre de dossiers ouverts Nombre de dossiers clturs

1 724

2009

2010

Nombre de vri cations effectues tous chiers confondus

1 838

4 185

15


INFORMERLa CNIL vous informe au quotidienSensibiliser les collgiens, les enseignants et les chefs dtablissement aux bonnes pratiques sur internet : notre prioritla suite des actions menes en 2010, la CNIL aconfirm en 2011 son engagement pour promouvoir les bons usages chez les jeunes utilisateurs dinternet. Aprs les lves et enseignants de primaire, elle sest adresse avec des supports adapts, aux collgiens, aux enseignants ainsi quaux chefs dtablissement du second degr. Toutes ces actions de sensibilisation sont dveloppes au chapitre deux de ce rapport.

Le jury, prsid par Jean-Marie COTTERET, membre de la CNIL, professeur mrite des Universits, adcern le Prix de thse 2010 monsieur Nicolas LECHOPIER pour sa thse intitule thique dans la recherche et dmarcation. La scientificit de lpidmiologie lpreuve des normes de confidentialit , philosophie, Universit Paris I, PanthonSorbonne. Louvrage paratra en septembre aux ditions Michalon.

Le site internet www.cnil.frEn 2010 et 2011, le site aaugment de faon tout fait significative le nombre dactualits mises en ligne. Elles sont en effet passes de 73 en 2008 et 113 en 2009 254 en 2010. Cette acclration met en vidence une meilleure ractivit de la CNIL lactualit qui informe plus souvent et plus simplement les citoyens. Le service offert aux professionnels sest aussi amlior puisquil est possible dsormais deffectuer lensemble des formalits en ligne. Autre nouveaut, le service de plainte en ligne ouvert en juin 2010.

Les rseaux sociauxLanne 2010 marque lentre de la CNIL sur les rseaux sociaux. Elle est prsente sur Facebook, Twitter, Dailymotion et les rseaux professionnels Viado et LinkedIn.

Partenariat France InfoLe partenariat dbut en 2007 at renouvel. Chaque vendredi, la CNIL intervient dans lmission Le droit dinfo prsente par Karine DUCHOCHOIS pour rpondre une question pratique en lien avec la protection de la vie prive. Ce partenariat contribue mieux faire connatre les droits Informatique et Liberts et dispenser des conseils pour une meilleure protection de sa vie prive au quotidien. Les 50 chroniques diffuses portaient sur des sujets tels que : le-rputation, les enqutes INSEE, les coffres-forts lectroniques, le cyber-harclement, le dcrochage scolaire, etc.

Le Prix de thse Informatique et Liberts Le Prix de thse Informatique et Liberts incite au dveloppement des recherches universitaires concernant la protection de la vie prive et des donnes personnelles. Ce prix concerne aussi bien les sciences humaines, le droit, les sciences politiques, lconomie que les disciplines techniques. Un montant de 7 000 euros est allou au laurat, afin de faciliter la publication de sa thse.

Limage de la CNILComme les annes prcdentes, une tude portant sur la perception et limage de la CNIL a t mene en dcembre 2010 par lIfop sur un chantillon de 1 000personnes reprsentatives de la population franaise.

16

LA CNIL EN ACTION

La notorit de la CNIL Question :

Connaissez-vous, ne serait-ce que de nom, la CNIL ?Juin 2004Oui Non 32 68 100 %

La CNIL vous rpond au quotidienCest le service dorientation et de renseignement du public (SORP) qui est en premire ligne pour rpondre aux usagers, quils soient des professionnels ou des particuliers : cest lui qui reoit les courriers, les dclarations, les appels tlphoniques (10 000 appels par mois). Les courriers200824 225

Dcembre 201047 53 100 %

volution 2004/2010+15

Le niveau dinformation sur les droits Question :

Vous-mme, avez-vous le sentiment dtre suffisamment inform propos de vos droits en matire de protection des donnes personnelles vous concernant ?2004Oui, tout fait Oui, plutt Sous-total oui Non, plutt pas Non, pas du tout Sous-total non Sans opinion 3 18 21 39 39 78 1 100 %

200924 880

201028 490

Les dclarations200871 990

201010 24 34 34 28 62 4 100 %

volution 2004/2010

200968 185

201070 797

+13

On constate entre 2004 et 2010 une progression de la notorit qui tend aujourdhui se stabiliser autour de 47 %. La connaissance des droits est passe de 21 % en 2004 34 % en 2010. La prsence hebdomadaire de la CNIL sur France Info, la reprise par les mdias de sujets touchant le grand public (cours domicile, collecte des adresses WiFi), ainsi que les nombreuses actions de sensibilisation des jeunes aux bons usages dinternet permettent dexpliquer ces taux de notorit et de connaissance des droits. Afin dvaluer limpact des retombes presse et notamment audiovisuelles, la CNIL dispose dun outil mesurant lquivalence publicitaire audiovisuelle. Celle-ci est calcule en fonction de deux critres : le cot moyen de la publicit ( la seconde) et la surface rdactionnelle (la dure de la squence). En 2008, lquivalence publicitaire de la prsence de la CNIL dans la presse audiovisuelle reprsentait 1,3 millions deuros, 889 000 euros en 2009 et 1,14 million deuros en 2010. quivalence publicitaire audiovisuelle500 000 450 000 400 000 350 000 300 000 250 000 200 000 150 000 100 000 50 000 0 prsentation rapport annuel fichier 2007 Edvige sanction Acadomia mise en demeure street view contrle STIC consultation STIC droit l'oubli affaire Soumar envoi Mon quotidien aux classes de CM2 fichier Edvige

Depuis mars 2010, toutes les formalits auprs de la CNIL peuvent tre ralises en ligne sur le site internet de la CNIL. Dsormais, un formulaire spcifique est propos pour chacune des procdures prvues par la loi Informatique et Liberts , alors quauparavant, la dmatrialisation ne concernait que les dclarations. La dmatrialisation des procdures connat un grand succs puisque 88 % des formalits sont effectues en ligne. 45 173 dclarations simplifies (42 188 en ligne et 2 985 sur support papier, soit environ 94 % des dclarations simplifies en ligne). 23 690 dclarations normales (18 449 en ligne et 5 241 sur support papier, soit environ 78 % en ligne). 800 demandes dautorisation (604 en ligne et 196 sur support papier, soit 76 % effectues en ligne). 642 demandes dautorisation de recherche mdicale (415 en ligne et 227 sur support papier, soit 65 % en ligne). 152 demandes dautorisation valuation des soins (72 en ligne et 80 sur support papier, soit 48 % en ligne). 340 demandes davis (101 en ligne et 239 sur support papier, soit 30 % en ligne). Dmatrialise, la procdure est acclre. Depuis le 1er dcembre 2010, le dlai moyen de dlivrance du rcpiss est de 48h pour une dclaration simplifie, et de 5 jours calendaires pour les dclarations normales. Ces dlais taient de 13 mois en 2006 et 3 semaines en 2009.

20 08

20 09

20 10

Source : Press Index.

17


CONSEILLER ET PROPOSERLa CNIL informe les pouvoirs publicsLa multiplication des travaux parlementaires auxquels notre Commission at associe en 2010, comme en attestent les 18 auditions auxquelles elle aparticip, souligne lintrt grandissant des dputs et snateurs de tous groupes pour les questions relatives la protection de la vie prive. Elle traduit galement leur volont de se saisir de ces thmatiques nouvelles. La multiplication des initiatives lgislatives intressant notre Commission aconfirm en 2010, peut-tre plus que les annes prcdentes, labsolue ncessit pour elle dtre prsente, tous les jours, aux cts des parlementaires et des administrateurs des assembles, pour les accompagner dans leurs travaux, et leur apporter son expertise.

Faciliter la recherche dans le domaine de la santLa CNIL at alerte, de nombreuses reprises, des difficults juridiques et techniques que rencontrent les chercheurs et les autorits sanitaires en France pour mener bien certaines tudes, faute de pouvoir utiliser le NIR (numro de scurit sociale). Ces acteurs ne sont pas toujours en mesure de fournir aux pouvoirs publics des indicateurs statistiques fiables, pourtant indispensables la dfinition et lvaluation des politiques de sant publique et la surveillance sanitaire de la population. Soucieuse de faciliter la recherche mdicale et les tudes de sant publique, tout en garantissant la protection des donnes personnelles et de la vie prive, notre Commission apris linitiative de proposer aux ministres concerns quun dcret en Conseil dtat prvoie et dtermine une politique daccs au NIR des fins de recherche et dtudes de sant publique.

Les initiatives lgislatives intressant la CNIL Loi no2010-476 du 12mai 2010 relative louverture la concurrence et la rgulation du secteur des jeux dargent et de hasard en ligne. Adoption le 23mars 2010 par le Snat, en premire lecture, de la proposition de loi visant mieux garantir le droit la vie prive lheure du numrique. Suite de lexamen de la proposition de loi de simplification et damlioration de la qualit du droit (devenue loi no2011-525 du 17mai 2011). Remise, le 28octobre 2010, du rapport dinformation (no2925) du Comit dvaluation et de contrle des politiques publiques de lAssemble nationale sur les autorits administratives indpendantes. Dpt dans chacune des chambres de propositions de rsolution similaires (no2837 et no168) appelant ladoption de standards internationaux dans le domaine de la protection des donnes personnelles. Suite de lexamen du projet de loi dorientation et de programmation pour la performance de la scurit intrieure (devenu loi no2011-267 du 14mars 2011). Dbut de lexamen des projets de loi ordinaire et organique relatifs au Dfenseur des droits (devenus loi no2011-334 et loi organique no2011-333 du 29mars 2011).

Amliorer la scurit juridique en dveloppant le correspondant informatique et liberts (CIL)La CNIL aaccentu ses dmarches de sensibilisation la loi Informatique et Liberts en direction des collectivits locales et des entreprises. Elle aainsi sign en 2010 quatre nouvelles conventions de partenariat, qui ont principalement pour objectif de diffuser la culture Informatique et Liberts et de favoriser la dsignation de correspondants informatique et liberts (CIL). Ces conventions ont t signes avec une association de maires (Association des maires de Meurthe-et-Moselle), un incubateur de socits innovantes (incubateur national Belle de Mai Marseille), le Conseil national des barreaux (CNB) et le Conseil suprieur du notariat (CSN). Le CIL apparat aujourdhui comme un acteur incontournable de la protection des donnes. La proposition de loi visant mieux garantir le droit la vie prive lheure

18

LA CNIL EN ACTION

du numrique, adopte au Snat en premire lecture en mars 2010, pourrait le rendre obligatoire. Un choix similaire pourrait galement tre fait par la Commission europenne loccasion de la rvision de la directive europenne sur la protection des donnes. La CNIL amis en place un service exclusivement ddi laccompagnement des CIL dont le nombre est en progression constante depuis 2005. Elle aorganis 25 ateliers de Nombre dorganismes ayant dsign un CIL8 000 7 000 6 000 5 000 4 000 3 000 2 000 1 000 0 2005 2006 2007 2008 2009 12 440 1 349 4 152 5 661

formation (gnralistes ou thmatiques) qui ont runi 530 participants. Lexercice de cette fonction saffirme comme un mtier part entire. Cest pourquoi, la CNIL souhaite sa reconnaissance par une inscription dans les rpertoires de mtiers grs notamment par Ple emploi ou le Centre national de la fonction publique territoriale (CNFPT). Pour la premire fois, la CNIL aruni les correspondants loccasion dune convention organise le 8avril 2011.

7 300

2010

19


CONTRLERLa Commission stait fix des objectifs ambitieux en termes de contrles pour lanne 2010. Ceux-ci ont t atteints et confirment ainsi la place prpondrante de lactivit de contrle sur place de la CNIL. Ainsi, 308 contrles ont t effectus au cours de lanne 2010, soit une augmentation de 14 % par rapport lanne 2009. Cette progression sinscrit dans le processus continu, depuis 2004, de laugmentation du nombre de contrles. Lanne 2010 aura galement permis la CNIL dassurer une prsence en termes de contrles sur lensemble du territoire, comme le montre la carte ci-dessous. Concernant les organismes contrls au cours de cette anne, on peut mentionner les chiffres suivants : 80 % des organismes appartiennent au secteur priv ; 20 % relvent de la sphre publique ; et 95 % des organismes contrls navaient pas dsign de correspondant Informatique et Liberts au moment du contrle.

Nombre de contrles raliss350 300 250 200 150 100 50 0 2005 2006 2007 2008 2009 2010 96 135 164 218 270 318

Rpartition gographique des contrles

20

LA CNIL EN ACTION

Les contrles significatifsOn peut citer les contrles effectus en octobre 2010 auprs de la gendarmerie nationale dans le cadre du dossier dit MENS qui ont permis la Commission dadresser rapidement un rapport complet au Premier ministre sur cette question. On peut aussi voquer les contrles effectus la suite des rvlations sur les prtendus antcdents judiciaires de M.Soumar. Ils ont permis, dune part, didentifier lorigine de la fuite des informations concernant le candidat aux lections rgionales et, dautre part, dattirer lattention de la Chancellerie sur labsence de traabilit des accs lapplication de la nouvelle chane pnale. Enfin, on peut parler des nombreux contrles raliss auprs de la socit Google Inc. dans le cadre du dispositif Streetview . Le programme des contrles pour lanne 2010 at intgralement ralis. Des contrles ont t effectus sur la thmatique du voyage arien (contrles daroports, de compagnies ariennes, de socits de scurit prive, de postes de police et de douanes, etc. ), de la protection des donnes de mineurs (conseils gnraux, tablissements scolaires, associations, mairies et entreprises de cours domicile) et du droit au logement (agences immobilires, offices HLM, etc. ). La CNIL agalement men un certain nombre de contrles pour vrifier le respect des normes juridiques quelle adopte (normes simplifies, autorisations uniques, etc. ) et des normes techniques quelle impose (mesures de scurit entourant les traitements les plus sensibles). Enfin, on doit relever que 19 % des contrles ont t effectus dans le cadre de linstruction de plaintes et 11 % dans le cadre des suites des dcisions de la formation restreinte. Par exemple, la suite dune mise en demeure, des contrles peuvent tre effectus de faon vrifier la mise en conformit des systmes ou dispositifs.

Les cooprationsLa CNIL amultipli les cooprations avec dautres autorits publiques : un protocole aainsi t sign le 6janvier 2011 avec la direction gnrale de la concurrence, de la consommation et de la rpression des fraudes (DGCCRF) afin que celle-ci puisse transmettre la CNIL les noms des principaux sites web sur lesquels des manquements la loi Informatique et Liberts auraient t constats; la CNIL est par ailleurs de plus en plus rgulirement saisie de demandes de contrle venant de linspection du travail ; la CNIL aadhr un mcanisme de coopration internationale en matire de contrle aposteriori sur les questions de vie prive : le GPEN (Global Privacy Enforcement Network).

21


SANCTIONNERLa rforme de la formation contentieusela suite de la publication des lois organique et ordinaire relatives au Dfenseur des droits le 30mars 2011, lorganisation et le fonctionnement de la formation contentieuse de la Commission ont t profondment modifis. Le lgislateur aformellement consacr par cette rforme les rgles du procs quitable en exigeant une stricte sparation des phases denqute et dinstruction dune part, et de jugement, dautre part. Ainsi, la composition de la formation restreinte est modifie : les membres du bureau (Prsident et Vice-prsidents) ne peuvent plus en faire partie. Celle-ci est dsormais compose dun prsident distinct de celui de la formation plnire et de cinq autres membres lus par les dix-sept membres du collge. En application de ces dispositions, la Commission aprocd llection des six membres de la formation restreinte lors de sa sance plnire du jeudi 5mai 2011. Elle aensuite procd llection du prsident de la formation.

Zoom Google Street View : la CNIL aprononc une amende de 100 000 eurosLa socit Google procde depuis plusieurs annes la collecte massive de donnes techniques sur les rseaux Wi-Fi, aux fins doffrir des services de golocalisation, notamment les services Google Maps, Street View et Latitude. La Commission amen une srie de contrles sur place afin de vrifier la conformit de ces traitements la loi Informatique et Liberts . Ces contrles ont rvl divers manquements comme la collecte de donnes Wi-Fi linsu des personnes concernes et la captation de donnes dite de contenu (identifiants, mot de passe, donnes de connexion, changes de courriels). La CNIL adonc mis en demeure la socit Google en mai 2010, de rgulariser sa situation. Estimant que Google navait pas rpondu ses demandes dans les dlais impartis, la formation contentieuse de la CNIL aprononc lencontre de la socit, le 17mars 2011, une amende de 100 000 euros.

Les membres lus de la formation restreinte Claire DAVAL, Prsidente ; Jean-Franois CARREZ ; Jean-Marie COTTERET ; Claude DOMEIZEL ; Sbastien HUYGHE ; Dominique RICHARD. Afin de rpondre galement aux exigences de larticle 6-1 de la CEDH (Cour europenne des droits de lhomme), les mises en demeure sont dsormais dcides par le seul prsident de la CNIL. Enfin, grce cette rforme, la Commission dispose dune plus grande libert de publicit de ses dcisions : le bureau peut dsormais, sur demande du Prsident, dcider de la publicit des mises en demeure, et la formation restreinte dispose, elle, dune plus grande libert pour la publication des sanctions qui ne sont dsormais plus soumises la condition de mauvaise foi pour insertion dans la presse.

22

LA CNIL EN ACTION

Un tableau recensant toutes les sanctions adoptes en 2010 est disponible en annexe de ce rapport. Les procdures engages devant la formation contentieuse sont en volution constante depuis lanne 2007, malgr un ralentissement de lactivit en 2009 (ayant pour origine les consquences de deux dcisions du Conseil dtat du 6novembre 2009 relatives la notification du droit dopposition lors des missions de contrles de la Commission). Le bilan de lanne 2010 est marqu par une activit importante et par ladoption pour la premire fois de dcisions dinterruption de traitements de donnes caractre personnel. linstar des autres annes, le taux de mise en conformit suite aux mises en demeure et le taux de dcisions de clture particulirement lev, dmontrent le caractre pdagogique et lefficacit de la procdure de mise en demeure. Dcisions de sanction% 100

4080

84 11 2

60

9 5

75 5 4 1 4 4

67 3

40

101

126

20

92

111

0 2007 Mise en demeure Procdure d'urgence 2008 Avertissement Clture 2009 Sanction 2010

23


ANTICIPERLa CNIL doit permettre notre socit de faire face aux nouveaux dfis technologiques. Pour remplir cette mission, elle sest dote dun service de lexpertise informatique compos dingnieurs spcialiss qui analysent le fonctionnement des nouvelles technologies dans un grand nombre de domaines allant dinternet la biomtrie, en passant par les RFID et le vote lectronique. Leur travail consiste non seulement estimer les risques datteinte la vie prive lis une technologie mais aussi valuer les mesures de scurit qui peuvent tre mises en uvre en rponse ces risques. Dans un monde technologique de plus en plus complexe, cette expertise est devenue incontournable pour dialoguer avec les acteurs du monde numrique et permettre de mener une rflexion sur linnovation. court terme, lenjeu principal sera de parvenir prserver nos liberts fondamentales, notamment dexpression et daller et venir, dans un contexte du dveloppement technologique acclr et de traabilit. Les menaces se matrialisent plus prcisment dans les capacits de communication des objets de notre quotidien, en particulier de nos smartphones, qui peuvent tre golocaliss en permanence. Ainsi, de nouveaux usages sont rgulirement invents tels que le paiement sans contact ou les multiples applications reposant surlinternet mobile. Des utilisations inconscientes du mobile font aussi leur apparition. Il sagit des dispositifs de mesure daudience qui permettent, dans les centres commerciaux ou les aroports, de suivre le parcours dune personne ou de mesurer le temps quelle passe dans une file dattente. Dans un autre domaine, les compteurs intelligents permettent de connatre trs prcisment la consommation lectrique dun foyer. Chaque quipement ayant une signature lectrique qui lui est propre, une frquence de mesure leve permet de savoir quel quipement est utilis quel moment. Un profilage des habitudes de consommation, lintrieur mme de la maison, devient alors possible. Enfin, le dveloppement des objets communicants annonce lavnement de linternet des objets, dont on commence peine percevoir la complexit en termes de gouvernance, de protection des donnes, dusages et de scurit. Pour faire face ces dfis, il parat ncessaire non seulement de bien comprendre les enjeux technologiques daujourdhui mais galement danticiper ceux de demain. cet effet, la Commission sappuie sur une forte expertise en interne ainsi que sur la cration en janvier 2011 dune nouvelle direction entirement ddie la prospective et linnovation (voir chapitre II du rapport). Cette nouvelle direction permettra de mener une rflexion faisant non seulement intervenir des juristes et des experts informatiques mais aussi des sociologues, des politiques et des conomistes, car ces enjeux concernent tous les secteurs de notre socit. En parallle, la Commission change et dveloppe sa capacit dinfluence auprs de ses homologues, de groupes dexperts ou des agences en charge de la scurit informatique, tant au niveau national queuropen. Elle met galement en place des conventions de partenariat avec des organismes de recherche publique. La CNIL agit ensuite plusieurs niveaux: par la pdagogie, en rdigeant des bonnes pratiques dans le domaine de la scurit comme le Guide scurit paru en 2010, ou encore en analysant minutieusement les risques gnrs par les nouvelles technologies et en dcrivant sur son site comment sen prmunir; en dveloppant le Privacy by Design, cest--dire en aidant les industriels intgrer la protection des donnes ds la conception de leurs produits, ou en soutenant les solutions techniques permettant de juguler les problmes crs par la technologie; en adoptant des dcisions juridiques ancres dans la ralit et la complexit technique; cest ainsi, par exemple, que la recommandation de la CNIL sur le vote lectronique a t rvise en octobre 2010. Enfin, la CNIL dveloppe son pouvoir de labellisation. Il constituera un levier de rgulation conomique incitant les entreprises et les personnes favoriser les procdures ou les produits respectueux de la vie prive. Les premiers labels seront dlivrs au cours du second semestre 2011.

24

LA CNIL EN ACTION

SIMPLIFIER ET RGLEMENTERLa CNIL poursuit ses efforts pour simplifier les formalits par le biais dexonration de dclaration, de dclaration simplifie ou dautorisation unique. Au titre de la simplification des formalits pralables, la CNIL aadopt en 2010 : 4 autorisations uniques : par exemple, autorisation unique relative aux thylotests anti-dmarrage dans les vhicules affects aux transports de personnes du 28janvier 2010, modification de lautorisation unique relative aux alertes professionnelles du 14octobre 2010 ; 2 normes simplifies : norme simplifie relative aux traitements automatiss de donnes caractre personnel mis en uvre par les notaires aux fins de conservation des actes authentiques sur support lectronique au sein du Minutier central lectronique des notaires de France (MICEN) du 9septembre 2010, modification de la norme simplifie concernant la dure de conservation et le versement aux archives publiques des donnes issues de la matrice cadastrale du 11fvrier 2010, 1 dispense : mise jour de la dispense relative aux traitements mis en uvre par les associations et organismes but non lucratifs du 10juin 2010 ; 2 avis sur acte rglementaire unique : tlservice guichet-entreprise. fr du 28janvier 2010, tlservice demandes dacte civil du 25mai 2010 ; 3 recommandations : recommandation relative la scurit des systmes de vote lectronique du 21octobre 2010, recommandation relative la rutilisation des donnes caractre personnel contenues dans des documents darchives publiques du 9dcembre 2010, recommandation relative la mise en uvre, par les compagnies dassurance et les constructeurs automobiles, de dispositifs de golocalisation embarqus dans les vhicule du 8avril 2010.

Zoom thylotests anti-dmarrage : adoption dune autorisation uniqueDepuis le 1er janvier 2010, les autocars neufs affects aux transports en commun denfants sont obligatoirement quips dun systme de mesure du taux dalcoolmie au dmarrage (EAD). Afin de faciliter les dmarches des socits de transports, la CNIL aadopt une autorisation unique encadrant ces dispositifs. En cas de taux dalcoolmie gal ou suprieur un taux prdfini, le dmarrage du vhicule est bloqu, un voyant rouge sallume, sans que le taux dalcoolmie ne saffiche. Un nouvel essai est alors possible au bout dune minute. Si le souffle reste positif, lEAD bloque le dmarrage pendant trente minutes. Le vhicule peut toutefois dmarrer sans quil soit ncessaire de souffler dans lEAD, notamment au moyen dune cl dtenue par le chauffeur ou par un code dtenu par lemployeur. Tout dmarrage sans utilisation de lEAD est enregistr. LEAD fonctionne partir dun boitier numrot install dans le vhicule. Le fait quil soit possible, partir du numro de lEAD, didentifier un conducteur en particulier, ycompris de manire indirecte, permet de considrer quil sagit dun traitement de donnes caractre personnel, puisquil est possible, partir du numro de lEAD, didentifier le conducteur concern (horodatage des donnes associes au numro de lEAD). Un nombre important dorganismes sont dores et dj concerns par la mise en place des EAD et ce dispositif avocation stendre tous les transports en commun partir de 2015. Au vu du nombre de socits potentiellement concernes, la CNIL aadopt une autorisation unique. Cette mesure de simplification permet dsormais aux socits de transports deffectuer, directement en ligne, un engagement de conformit cette norme. En 2010, environ 400 engagements de conformit lautorisation unique EAD (AU no26) on t effectus.

25

LES

TEMPS

FORTS

27

28

LES TEMPS FORTS

LES FAITS MARQUANTS15janvier 2010 Le premier prix de thse Informatique et Liberts at dcern madame Marie-Charlotte ROQUES BONNET. 28janvier 2010 Ouverture des comptes Facebook, Twitter et Dailymotion de la CNIL. Publication dune dition spciale de Mon Quotidien protge ta vie prive sur internet . Lancement du clip jepubliejerflchis avec internet sans crainte. 9fvrier 2010 La CNIL parraine le 1er pisode du serious game 2025 ex-machina consacr aux rseaux sociaux. 10fvrier 2010 Rejet de laccord SWIFT par le Parlement europen. 11fvrier 2010 Signature dune convention de partenariat avec le Conseil national des barreaux (CNB). Autorisation dune exprimentation dun dispositif biomtrique pour contrler lidentit de patients pris en charge en radiothrapie. 25fvrier 2010 La CNIL demande des explications sur lorigine des informations concernant M.Ali Soumar. Mars 2010 Toutes les formalits pralables (demande davis, dautorisation, dclaration) peuvent se faire en ligne sur le site de la CNIL. 18mars 2010 La CNIL ordonne, pour la premire fois, linterruption en urgence dun traitement (contrle daccs biomtrique illicite). 30 et 31mars 2010 Rencontres rgionales en Bourgogne. 1eravril 2010 8avril 2010 Refonte de la recommandation relative aux nouveaux services de golocalisation (Pay as you drive, lutte contre le vol). 13avril 2010 Signature dune convention de partenariat avec lAssociation des maires de Meurthe-et-Moselle. 20avril 2010 10 autorits de protection des donnes (Canada, France, Allemagne, Irlande, Isral, Italie, Pays-Bas, Nouvelle-Zlande, Espagne, Royaume Uni) demandent Google des explications propos du lancement de son service Google Buzz. 22avril 2010 La CNIL ordonne linterruption en urgence dun systme de vidosurveillance permanente des salaris. Avertissement public prononc lencontre dAIS2 (Acadomia) pour des commentaires excessifs dans ses fichiers. 18mai 2010 Un rapport du Conseil national de la consommation propose de mieux dfendre les droits Informatique et Liberts des consommateurs. 26mai 2010 Mise en demeure de Google en raison de la collecte de donnes Wi-Fi par les vhicules Street View. 14juin 2010 Ouverture du service de plainte en ligne sur www.cnil.fr 17juin 2010 Amende de 15 000 euros prononce lencontre dune socit rcidiviste (envoi de fax publicitaires non sollicits par la socit JPSM). 22 et 23juin 2010 Rencontres rgionales en Auvergne. 1er juillet 2010 La loi portant rforme du crdit la consommation cre un comit de prfiguration du futur registre national des crdits aux particuliers auquel la CNIL est invite participer.

Autorisation dune exprimentation dun systme de paiement reposant sur lauthentification du rseau veineux du doigt.

29


7juillet 2010 Le Parlement europen approuve le nouvel accord SWIFT. 12juillet 2010 La loi dite Grenelle II soumet lautorisation pralable de la CNIL les panneaux publicitaires de mesure daudience. 17septembre 2010 Signature dune convention de partenariat avec le Conseil suprieur du notariat (CSN). 7octobre 2010 Publication sur le site de la CNIL du Guide scurit des donnes personnelles. 14octobre 2010 La CNIL publie ses premires conclusions la suite des contrles effectus la gendarmerie nationale pour vrifier lexistence dun fichier dnomm MENS . Adoption des recommandations pour la mise en uvre des compteurs lectriques intelligents (dits Smart grids). Modification du champ dapplication de lautorisation unique relative aux alertes professionnelles, suite larrt de la Cour de cassation de dcembre 2009. 21octobre 2010 Mise jour de la recommandation sur le vote lectronique. 29octobre 2010 La confrence internationale des commissaires la protection des donnes et de la vie prive se tenant Jrusalem appelle les pouvoirs publics nationaux se mobiliser pour adopter une convention internationale. 4novembre 2010 La Commission europenne dvoile ses orientations stratgiques pour la rvision de la directive de 1995 sur la protection des donnes et de la vie prive. 17 et 18novembre 2010 Rencontres rgionales en Haute-Normandie. 25novembre 2010 La CNIL adresse une dition spciale de Mon Quotiden toutes les classes de CM2. 2dcembre 2010 Autorisation du dploiement du DMP (dossier mdical personnel) sur lensemble du territoire. 15dcembre 2010 Ouvertures des comptes Viado et LinkedIn de la CNIL. 1er janvier 2011 Cration dune nouvelle direction charge des tudes, de linnovation et de la prospective. 30

4janvier 2011 Envoi dune dition spciale du journal lACTU dans les classes de 4e des collges. Envoi du Guide sur lenseignement tous les chefs dtablissement du second degr. Ouverture dun espace ddi aux enseignants sur www. jeunes.cnil.fr. 6janvier 2011 Signature dun protocole de coopration avec la DGCCRF (Direction gnrale de la concurrence, de la consommation et de la rpression des fraudes). Janvier 2011 La CNIL demande ce que le NIR (numro de scurit sociale), puisse tre employ pour faciliter la recherche mdicale. 14janvier 2011 La CNIL dcerne son second Prix de thse monsieur Nicolas LECHOPIER. 24 au 28janvier 2011 Rencontres rgionales en Guyane, Martinique et Guadeloupe. 28janvier 2011 Lancement de lapplication CNIL pour apprendre rester net sur le web loccasion de la journe europenne de protection des donnes. 3mars 2011 Publication de lavis sur le dcret relatif la conservation dinformations par les hbergeurs et les FAI. Autorisation de deux dispositifs dalertes professionnelles ddis au traitement des plaintes en matire de discriminations et sinscrivant dans le cadre du label Diversit . 14mars 2011 Promulgation de la LOPPSI qui donne la CNIL un pouvoir de contrle des systmes de vidoprotection installs sur la voie publique. 21mars 2011 100 000 euros damende pour Google et son service Street View. 31mars 2011 Publication de la loi sur le Dfenseur des droits qui modifie lorganisation de la CNIL et notamment la composition de la formation contentieuse. Cette loi prcise : La fonction de prsident de la Commission est incompatible avec toute activit professionnelle, tout mandat lectif national, tout autre emploi public et toute dtention, directe ou indirecte, dintrts dans une entreprise du secteur des communications lectroniques ou de linformatique.

LES TEMPS FORTS

NOTRE PRIORIT : sensibiliser les jeunes et les professionnels de lducation aux bonnes pratiques sur internet afin de favoriser une instruction civico-numrique Aujourdhui, 70 % des moins de 11 ans utilisent internet, et 49 % des 11-12 ans possdent leurs propres tlphones portables qui permettent pour la plupart un accs illimit aux rseaux sociaux Twitter ou Facebook alors mme que ce dernier est thoriquement interdit aux moins de 13 ans (source: tude IPSOS/e-enfance, dcembre 2008). Paralllement, de plus en plus dtablissements scolaires ont recours des systmes de vidoprotection, et pour plus de 400 dentre eux des systmes de reconnaissance biomtrique lentre des cantines. Force est de constater que la conception de la vie prive est en train de changer face la perce des nouvelles technologies dans notre vie quotidienne. Les jeunes gnrations vivent avec une informatique ambiante, au bout de leur doigts , dun maniement naturel et spontan. Ils revendiquent le droit la transparence, la libert dexpression, souvent au dtriment de leur intimit. Si la Commission na aucun jugement apriori porter sur les technologies lies au numrique et ne conteste pas la ncessit den utiliser certaines, il faut tre conscient quen ce domaine, la combinaison de certaines technologies aboutit des dispositifs ultra-performants de traage des personnes. Il faut ds lors rflchir leur usage : telle est la premire mission, aujourdhui, de la Commission. La pression de ces nouvelles technologies sur le monde de lducation exige que soit traite, de faon prioritaire, la question de la protection de la vie prive. La Commission adonc dcid de lancer en 2010 et 2011 un plan durgence, massif, de sensibilisation des acteurs ces questions, afin dinciter les jeunes adopter de bonnes pratiques quant lutilisation dinternet et la protection de leur vie prive. Ces actions entendent accompagner toute la communaut ducative pour que les lves puissent, tout la fois, profiter de ce quapporte le rseau en termes de dialogue et daccs la connaissance, et assurer la prservation de leur identit et de leur intimit. La premire rponse qui doit tre apporte la communaut ducative doit reposer sur la pdagogie. Il sagit non seulement de veiller lapplication de la loi Informatique et Liberts mais galement de sensibiliser aussi bien les parents, les lves, les professeurs et les chefs dtablissements aux rgles mettre en uvre pour encadrer la cration de fichiers et empcher que les capacits de stockage et de recherche quoffre linformatique ne soient utilises pour porter atteinte aux liberts.

Vers une instruction civico-numriqueLa Commission est extrmement favorable une instruction civique rsolument moderne, visant apprendre aux lves prserver les valeurs essentielles que sont lidentit et lintimit. Elle se flicite que larticle L.312-15 du Code de lducation nationale vienne dtre complt et prvoit dsormais que : Dans le cadre de lenseignement dducation civique, les lves sont forms afin de dvelopper une attitude critique et rflchie vis--vis de linformation disponible et dacqurir un comportement responsable dans lutilisation des outils interactifs lors de leur usage des services de communication au public en ligne. Ils sont informs des moyens de matriser leur image publique, des dangers de lexposition de soi et dautrui, des droits dopposition, de suppression, daccs et de rectification prvus par la loi no78-17 du 6janvier 1978 relative

31


linformatique, aux fichiers et aux liberts, ainsi que des missions de la Commission nationale de linformatique et des liberts. La solution nest pas seulement de consacrer un module de formation, parmi dautres, ces questions. Il convient surtout de teinter toutes les disciplines de la proccupation Informatique et Liberts . Cette instruction civique rsolument moderne, devra tre fonde sur les valeurs didentit et dintimit. Les nouvelles gnrations doivent en effet se rapproprier les notions didentit, de personnalit, de vie prive, dintimit et en percevoir toutes les nuances. Il semble se dgager de lutilisation faite par les jeunes du rseau une confusion entre intimit et innocence. Ils nhsitent pas livrer sur internet des informations personnelles, ds lors que, disent-ils, ils nont rien se reprocher . Or, ce raisonnement peut tre dangereux. En effet, aujourdhui aucun utilisateur dinternet ne peut avoir la certitude absolue, lorsquil quitte le rseau, de ne pas ylaisser des informations, sans parler de celles qui ont t confies son insu par quelquun dautre. Il faut tre conscient du fait que sil est port atteinte lintimit, cette dernire, ne se reconstitue pas. Il faut galement repenser les relations au sein de la communaut ducative, dans la mesure o le rseau abolit les frontires de la classe. En effet, lespace numrique de travail (ENT) est lillustration parfaite de cette dmatrialisation de la classe et donc des relations au sein dun tablissement scolaire. Les contenus et supports de cours sont dsormais accessibles en continu, la classe au sens matriel du terme na plus le mme sens, ni la mme ralit temporelle. Dsormais le professeur peut, sil le souhaite, communiquer en dehors des horaires de classe avec ses lves, avec les parents ou ses collgues. Labolition de ces frontires pose la question de larticulation entre le droit de regard du chef dtablissement et la libert pdagogique des professeurs. Un nouveau cadre doit tre dfini, afin de protger les professeurs, ainsi que les lves les uns par rapport aux autres. Il est inconcevable que de jeunes enseignants duniversit ou des tudiants puissent avoir le sentiment que leur vie est brise, en raison du harclement dont ils font lobjet sur le rseau.

En avril 2011, le rapport rendu par .DEBARBIEUX au ministre charg de lducation nationale, de la Jeunesse et de la Vie associative identifiait les nouvelles formes de harclement, mettant ainsi en relief que les dveloppements des technologies de la communication changent le problme du harclement lcole, en abolissant la distinction entre harclement lcole et poursuite de ce harclement hors lcole 1. Outre-Atlantique, le Cyberbullying research center propose une dfinition du cyber-harclement, ou cyberbullying qui at reprise dans les travaux rendus au ministre : le harclement numrique serait le fait de se moquer de manire rpte dune autre personne en ligne, de la harceler par courrier lectronique ou bien de poster sur internet un contenu prjudiciable une autre personne. Bien quindites, ces pratiques connaissent une croissance exponentielle. Le constat dress est alarmant : lcole lmentaire, le nombre de victimes de harclement verbal ou symbolique peut tre estim environ 14 % des lves, dont 8 % dlves victimes dun harclement svre (insultes, atteintes physiques, dnigrement public et rpt par un ou plusieurs individus) et 6 % dlves dun harclement modr (actes ponctuels de dnigrement, mdisance, indiscrtion) 2. Concernant les nouvelles formes de harclement, lenqute ralise en 2010 sur un chantillon de 1 000 enfants gs de 9 16 ans 3 tablit que 25 % des 9-10 ans sont inscrits sur Facebook, gnralement avec laccord des parents, bien que cela soit interdit jusqu lge de 13ans. Or, cette entre trs prcoce sur les rseaux sociaux gnre nombre dexpriences douloureuses, troitement lies lenvironnement scolaire de lenfant. En France, au collge, 7,5 % des lves ont t confronts une intimidation sur internet, contre une moyenne de 6 % 15 % dlves harcels (les bullied) ltranger 4. 5 % dentre eux ont t victimes de happy slapping (lynchage collectif film via un tlphone mobile, et souvent mis disposition en ligne sur des sites tels que

Une nouvelle forme de harclement scolaire : le harclement numriqueSuite lensemble des plaintes et des vnements relevs en 2010, le ministre de lducation nationale, de la Jeunesse et de la Vie associative advelopp en 2011 une rflexion majeure sur le harclement lcole.

1. DEBARBIEUX ., Refuser loppression quotidienne : la prvention du harclement lcole, Rapport au ministre de lducation nationale, de la Jeunesse et de la Vie associative, Observatoire international de la violence lcole Universit Bordeaux Segalen, 12avril 2011, p.9. 2. Enqute en cole lmentaire ralise sur un chantillon de 12 326 lves dans 157 coles. 3. Enqute de D.PASQUIER, du Laboratoire traitement et communication de linformation (CNRS/Tlcom Paris Tech) ralise domicile entre mai et aot 2010 sur un chantillon de 25 140 enfants de 9 16 ans utilisateurs dinternet et un de leurs parents. 4. Le nombre dlves harcels peut atteindre 20 % de victimes et dagresseurs en Espagne ou au Portugal et en Core.

32

LES TEMPS FORTS

Youtube ou Dailymotion), dont 2,8 % plusieurs fois 5. Une autre enqute locale admontr que plus de 6 % des collgiens sont confronts de manire rpte des moqueries sur internet, et 5 % des rumeurs propages par SMS 6. Certes, le nombre de plaintes reste assez faible, mais la CNIL aconstat une progression des cas de harclement ou de lynchages sur internet, en particulier sur les rseaux sociaux comme Facebook. En 2010, tous publics confondus, la CNIL areu 30 plaintes par mois relatives au cyber-harclement. Pour lheure, il convient de remarquer que lensemble de ces indicateurs sont fragiles : lextension du phnomne interdit toute gnralisation de ces chiffres, dautant plus que nombre de victimes ne dclarent pas les actes de harclement dont elles ont souffert. Nanmoins, lunisson avec les quipes mobiles de scurit, le ministre de lducation nationale et le rapport de M.DEBARBIEUX 7, la CNIL observe que le cyberharclement devient un des problmes majeurs dans le dclanchement des faits de violence collective (bagarres collectives naissant de rumeurs sur le web, sur Twitter ou par SMS par exemple) . Ce type de harclement ne touche pas seulement les lves, mais nuit galement un nombre croissant denseignants et de personnels administratifs. La gravit de ces pratiques est telle quelle conduit certains cesser leur activit de manire temporaire ou dfinitive. Cest pourquoi, ds 2010, la CNIL asouhait sensibiliser tous les publics lensemble des droits protgs par la loi Informatique et Liberts modifie, et invocables par les victimes dactes de cyber-harclement. Tout dabord, la Commission asouhait rappeler lensemble des droits quune personne tient de la loi qui correspond notamment au droit au respect de la vie prive (art. 1er de la loi), du droit linformation pralable (art. 32), au droit de consentir ou non la mise disposition de ses donnes personnelles (art. 7), ainsi quaux droits daccs ses donnes (art. 39), de rectification et de suppression de ses donnes (art. 40) et dopposition (art. 38).

Elle amis en avant le droit, pour toute personne victime de harclement, de porter plainte auprs de la CNIL (art. 11-2-cde la loi). Cette plainte pourra tre adresse soit par voie postale, soit directement en ligne. La comptence de la CNIL reste nanmoins limite au droit dopposition (art. 38 de la loi), sur le fondement duquel le retrait des contenus illicites pourra tre exig. La Commission agalement sensibilis les jeunes publics la possibilit de dnoncer des contenus contraires lordre public par le biais du portail internet-signalement.gouv.fr. Ce portail permet de transmettre les signalements effectus de manire nominative ou anonyme par des policiers et gendarmes affects la Plate-forme dharmonisation, danalyse, de recoupement et dorientation des signalements (PHAROS), qui est intgre lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication (OCLCTIC), ce service appartenant aux services de la Police nationale. En 2010, ce portail apermis le signalement de 78 000 contenus illicites (contre 53 000 en 2009, pour un internet plus sr). La CNIL arappel lapplicabilit en ligne de larticle L.232-33-2 du code pnal : Le fait de harceler autrui par des agissements rpts ayant pour objet ou pour effet une dgradation des conditions de travail susceptible de porter atteinte ses droits et sa dignit, daltrer sa sant physique ou mentale ou de compromettre son avenir professionnel, est puni dun an demprisonnement et de 15000 euros damende. Ds lors, le cyberbullying revtant un caractre illgal, la Commission recommande aux victimes des actes de harclement numrique deffectuer un dpt de plainte auprs de lautorit judiciaire (art. L.226-16 et suivants du Code pnal). La CNIL poursuivra cette action avec le ministre de lducation nationale, conformment au souhait exprim par le ministre charg de lducation, Luc CHATEL, lors de son discours de clture des assises nationales sur le harclement scolaire ouvertes les 2 et 3mai 2011 Paris. Rassemblant des professeurs, parents, psychologues et spcialistes afin de proposer des mesures concrtes pour lutter contre le harclement lcole, ces assises ont donn lieu lidentification daxes dintervention, auxquels sassocie la CNIL. Il sagira, en partenariat avec la CNIL et lassociation e-enfance (association reconnue dutilit publique, cre en 2005), de mettre en uvre la formation de formateurs et de mettre disposition les ressources pdagogiques de la CNIL afin de sensibiliser les conseillers principaux dducation, les chefs dtablissement, les professeurs ou les personnels administratifs et parascolaires ces nouvelles problmatiques.

5. Enqute effectue dans lacadmie de Bordeaux en 2009 par lObservatoire international de la violence lcole, auprs de 462 collgiens. 6. Enqute indite mene par .DEBARBIEUX en Aveyron en 2010 sur un chantillon de 1 061 collgiens issus de cinq collges diffrents. 7. Parmi les 14 propositions du rapport, 2 visaient directement le harclement numrique : la responsabilisation des mdias et des oprateurs de tlphonie mobile et fournisseurs daccs internet et le lancement dune campagne nationale de sensibilisation en population gnrale (proposition no3) ; promotion dune utilisation proactive des rseaux sociaux (proposition no12).

33


Il sagira galement de traiter les cas avrs de harclement, et particulirement les cas de cyberbullying. Cette mesure concerne en premier lieu le harclement sur internet. Elle apour ambition de faire cesser les brimades, les humiliations et les perscutions qui rendent le quotidien de certains lves invivable. Elle vise crer une nouvelle sanction disciplinaire dintrt gnral : la suspension du profil Facebook des lves harceleurs . Associe la rflexion du ministre, Facebook aadmis le principe dun partenariat avec linstitution scolaire pour mettre en uvre une suppression des pages personnelles appartenant aux cyber-harceleurs, notamment par le biais du Centre de scurit de Facebook (Facebook Safety Center : www.facebook.com/safety.com) et par celui du systme de signalement dabus disponible via des liens sur le site de Facebook. Nanmoins, ce jour, les conditions de mise en uvre de cette suppression restent prciser. Pour les cas les plus graves, les familles des lves victimes bnficieront dun accompagnement adapt pour dposer plainte, via un partenariat avec lOffice central de lutte contre la cyber-criminalit. La Commission reste nanmoins convaincue quune pdagogie nouvelle, construite en partenariat et en rseau avec le ministre de lducation nationale, les recteurs, les inspecteurs dacadmie, les chefs dtablissement, les parents dlves et surtout avec les jeunes fournira les points

de repre qui manquent aujourdhui pour radiquer le harclement numrique et encourager un usage civilis de linternet, que ce soit au sein de lcole, ou bien en dehors.

Les actions de sensibilisationLa CNIL ainiti de nombreuses actions de sensibilisation en 2010 et 2011 qui ont reprsent un investissement budgtaire de 500 000 euros, sans prcdent la CNIL. Elle adabord choisi de sadresser aux enfants de CM2 en leur adressant, tous, un exemplaire de ldition spciale de Mon Quotidien (le journal des 10-14ans dit par Play Bac) intitul Protge ta vie prive sur internet . Lobjectif tant de leur rappeler que la vigilance simpose ds aujourdhui, en particulier lorsquil sagit de diffuser des informations caractre politique, sexuel, mdical ou religieux. Cest bien avant de publier quil faut rflchir car, une fois en ligne, il est difficile de supprimer les informations qui peuvent les suivre toute leur vie. La CNIL sest ensuite adress aux collgiens ainsi qu leurs enseignants en leur adressant un numro spcial de lactu (le journal des 14-18 ans). Les CDI (centres de documentation et dinformation) ont aussi t destinataires de ces supports. Cet envoi tait accompagn dun poster prsentant les 10 conseils de la CNIL pour rester net sur le web .

34

LES TEMPS FORTS

La CNIL sest galement associe internet sans crainte pour proposer un clip vido sur la problmatique des traces laisses sur internet. Cette vido dabord consultable sur internet aensuite t diffuse sur 34 chanes de tlvision grce laide du CSA. Lquivalent budgtaire de cette diffusion est estim 340 564 (HT). La CNIL aparrain un Serious Game (jeu ducatif) produit par internet sans crainte et lanc le 9fvrier 2010 loccasion du mois de linternet sans crainte. Ce thriller ducatif et interactif voque les questions de publication et de gestion de son image en ligne sur les rseaux sociaux. Il propose de se projeter dans lavenir pour voir comment les actions daujourdhui peuvent modifier lidentit numrique de demain. Enfin, une application disponible sur Iphone et lance le 28janvier 2011 loccasion de la journe europenne de protection des donnes, sadressant aux enfants de 6 14 ans, leur propose de dcouvrir les rgles de protection de la vie prive sur internet travers trois univers : quiz, conseils et dictionnaire dinternet. La CNIL aaussi souhait sadresser spcifiquement aux enseignants et personnels ducatifs en mettant leur disposition sur le site www.jeunes.cnil.fr un espace ddi comprenant 20 fiches pdagogiques pour animer des ateliers ou proposer des ides de dbats ou dexposs. Quest-ce quun ami sur un rseau social ? / Tlphone mobile, golocalisation et publicit cible / Partager ses photos / Sinscrire sur un rseau social / Exercer ses droits). Au-del de la sensibilisation des jeunes et des enseignants, la CNIL asouhait rappeler aux chefs dtablissements les rgles respecter lors de la cration de fichiers ou de dispositifs de surveillance tels que la biomtrie dans les cantines scolaires ou la vidosurveillance. Un guide Informatique et Liberts adonc t envoy tous les chefs dtablissement du second degr (collges et lyces) ainsi quaux acadmies.

InformatIque et LIberts POUR LENSEIGNEMENT DU SECOND DEGR

Pour accompagner et prsenter le lancement de toutes ces actions, la CNIL aparticip de nombreuses confrences ou ateliers de sensibilisation dans les tablissements scolaires et dans les acadmies. Lors de cette vingtaine dinterventions, elle arencontr les jeunes, les enseignants, les parents dlves, les personnels administratifs et les chefs dtablissement. Elle agalement conclu des partenariats avec certaines acadmies afin de former les membres du corps enseignant mais aussi les chefs dtablissement aux problmatiques Informatique et Liberts et aux responsabilits qui en dcoulent. Certains de ces partenariats se sont traduits par la cration de Commissions locales Informatique et Liberts (CLIL).

35


LA RVISION DU CADRE JURIDIQUE EUROPEN : QUEL FUTUR POUR LA VIE PRIVE ?Zoom La protection des donnes personnelles : un cadre juridique dfini au niveau europenLe 24octobre 1995, lUnion europenne aadopt la directive 95/46/CE destine harmoniser, au sein des tats membres de lUnion, la protection assure toute personne de ses donnes caractre personnel, quel que soit le lieu o sont oprs les traitements. En France, la loi du 6janvier 1978 at largement remanie par la loi no2004-801 du 6aot 2004 transposant en droit franais les exigences de cette directive europenne. ce jour, les 27 tats membres de lUnion, ainsi que les pays de lEspace conomique europen (Islande, Liechtenstein, Norvge), disposent dune loi Informatique et Liberts et dune autorit de contrle indpendante. Ces autorits indpendantes se runissent rgulirement Bruxelles au sein du groupe de larticle 29 dit G29, par rfrence larticle de la directive qui linstitue. Le Prsident de la CNIL, M.Alex Trk, aprsid le G29 de fvrier 2008 fvrier 2010.

Les dfis sont toutefois de plus en plus nombreux et complexes. Ainsi, le cadre juridique europen, sil reste largement valable, mrite dtre adapt pour prendre en compte certaines volutions. Il en va ainsi, entre autres : du dveloppement fulgurant dinternet et des nouvelles technologies (publicit cible, nanotechnologies, puces RFID, dispositif de golocalisation, informatique en nuages, etc. ) et de lapparition dun Web participatif dit Web 2.0 ; de la ncessit de renforcer la responsabilit des entreprises, tout en vitant les lourdeurs administratives ; de la ncessit de faciliter les flux transfrontires de donnes personnelles hors Union europenne, tout en maintenant un haut niveau de protection ; de la prise en compte de lentre en vigueur du Trait de Lisbonne et de lintgration des secteurs de la police et de la justice dans un instrument juridique europen. La rvision de la Directive constitue une des priorits stratgiques de la nouvelle Commission europenne, sous limpulsion de sa vice-prsidente, Mme Viviane Reding, commissaire en charge de la justice, des droits fondamentaux et de la citoyennet. En janvier 2010, Mme Reding aannonc son dsir de mettre en place un calendrier ambitieux mais plusieurs membres du G29 ont manifest leur inquitude ce sujet.

La rvision du cadre juridique europen : une priorit stratgique de la Commission europenneComme le souligne larticle 1er de la loi Informatique et Liberts , linformatique doit respecter lidentit humaine, les droits de lhomme, la vie prive et les liberts . Alors mme que la majorit des tats du monde sont encore totalement dpourvus de cadre juridique pour la protection des donnes personnelles, lUnion europenne est aujourdhui la pointe du combat en faveur dune protection exigeante et effective de la vie prive des individus. Elle doit le rester et uvrer pour la promotion de ce droit dans le monde entier.

36

LES TEMPS FORTS

Zoom Les diverses initiatives ayant men la rvision de la directiveCes dernires annes, la CNIL aconstat une augmentation du nombre de projets lis, directement ou indirectement, la rvision de la directive europenne. Fin 2008, un groupe dexperts avait t constitu par la Commission europenne afin de proposer des mesures permettant de rpondre aux nouveaux dfis de la protection des donnes en Europe. Du fait de la composition de ce groupe reprsentant majoritairement des socits amricaines, M.Jacques Barrot, alors Vice-prsident de la Commission europenne, amis fin ses activits. Ce dernier aensuite organis une confrence runissant les grands acteurs de la protection des donnes, puis ainiti une large consultation publique sur les nouveaux dfis en matire de protection des donnes personnelles.

instrument juridique global, applicable galement aux traitements mis en uvre des fins rpressives, et ce sous rserve de drogations strictement limites et appropries ce secteur.

Les dfis relever pour le futur de la vie priveLa Commission europenne apubli, le 4novembre 2010, une communication sur ses orientations stratgiques pour la rvision du cadre juridique europen en matire de protection des donnes. La CNIL accueille favorablement les grandes orientations de ce document stratgique. Les discussions sur ces diffrentes orientations et leur traduction en termes juridiques concrets vont certainement susciter dimportantes discussions. Il est toutefois dores et dj possible de mettre en avant un certain nombre de points fondamentaux.

Tenant compte de cette inquitude, la Commission europenne adcid dagir en deux temps : elle apubli une communication sur ses orientations stratgiques en novembre 2010 et elle publiera, dici la fin de lanne 2011, une proposition de cadre lgislatif europen. Ce projet de texte sera ensuite examin par le Parlement europen et le Conseil de lUnion. Ce processus pourrait prendre plusieurs annes avant ladoption finale dun nouveau texte europen.

lheure de la mondialisation, quel droit appliquer ?Les critres actuels de dtermination du droit applicable, axs sur le lieu dtablissement du responsable de traitement et sur le recours des moyens de traitement, ne sont pas pleinement satisfaisants. En effet, lapplication du droit europen aux grands acteurs de linternet, dlivrant leurs services des millions de citoyens europens, est parfois conteste. linverse, certains responsables de traitement sont soumis au droit europen, alors mme que leur activit ne prsente que des liens extrmement tnus avec le territoire et/ou le public europen. La Commission europenne va donc proposer de rviser et de clarifier les dispositions existantes. La Commission souhaite tout dabord protger les citoyens europens, ds lors que leurs donnes personnelles sont traites, et ce, ycompris lorsque les entreprises traitant ces donnes sont tablies uniquement hors Union europenne. Par ailleurs, au niveau intracommunautaire, il est indispensable de simplifier les rgles existantes pour viter, autant que possible, lapplication cumulative de 27 droits nationaux une mme situation. Il convient donc dtre extrmement vigilant au regard des risques de forum shopping . Certaines entreprises et acteurs de linternet pourraient engager une course au moins disant et seraient encourags simplanter dans les pays de lUnion offrant le niveau de protection le plus faible. Afin dassurer la fois la protection des droits fondamentaux des individus et de mettre en place un environnement rglementaire comptitif pour les entreprises, il est fondamental, pour lavenir, de trouver des solutions raisonnables

Quel(s) instrument(s) juridique(s) ?La directive europenne dfinit un cadre pour le rapprochement des lgislations nationales des tats membres, et ce pour avoir un niveau de protection quivalent dans tous les pays. Elle laisse nanmoins une marge dapprciation aux tats membres quant la manire dy parvenir. Il apparat ainsi que de profondes divergences subsistent entre les lgislations des diffrents tats membres et dans la pratique des diverses autorits de protection des donnes. Aussi, comme le propose la Commission europenne, il conviendrait dharmoniser davantage, un haut niveau de protection, les rgles de protection des donnes lchelon europen. Il serait ainsi envisag de sorienter vers une directive europenne plus prcise et dtaille ou alors vers un rglement communautaire, voire vers une combinaison de ces deux instruments. Par ailleurs, pour prendre en compte lentre en vigueur du trait de Lisbonne, il importe de soutenir ladoption dun

37


et efficaces, prservant certaines comptences nationales. Ainsi, il ne serait pas envisageable quune entreprise ciblant spcifiquement des millions de citoyens franais ne soit pas soumise au droit franais.

la protection des donnes. Les organismes devront dmontrer, la demande de lautorit, que ces mesures appropries ont effectivement t prises. Cest le principe daccountability . La Commission europenne envisage de rendre les correspondants Informatique et Liberts (CIL) obligatoires, sans toutefois faire peser de charges superflues, notamment sur les petites et moyennes entreprises. Elle value par ailleurs la ncessit de promouvoir certains concepts comme le principe de prise en compte de la vie prive ds la conception (privacy by design) ou le principe de vie prive par dfaut. De mme, il serait opportun dintroduire une responsabilit des concepteurs et producteurs de technologies et des industriels, afin de les responsabiliser quant aux produits quils mettent en circulation sur le march. Il faudrait galement renforcer et harmoniser la responsabilit du sous-traitant en prcisant davantage les obligations qui lui incombent. Simplifier les formalits administratives En ce qui concerne la rduction de la charge administrative, la Commission europenne indique vouloir simplifier et harmoniser le systme actuel de notification. Du point de vue de la CNIL, le rgime de la dclaration, pour les traitements les plus courants ou posant peu de risques pour la vie prive, devrait ainsi progressivement tre abandonn. En revanche, il est indispensable de conserver un rgime de contrle pralable fort, cest-dire un rgime dautorisation, pour les traitements dits risques comme par exemple pour le traitement des donnes se rapportant au corps humain, aux fichiers de scurit publique, certaines donnes sensibles, etc. Dun point de vue plus pratique, il serait galement souhaitable dencourager laccomplissement des formalits en ligne et surtout, dans une optique dharmonisation, dencourager la mise en place dun formulaire denregistrement uniforme, valable dans toute lUnion. La mise en place dun guichet unique pour toute lUnion pour laccomplissement de ces formalits serait galement une volution positive. Favoriser les transferts internationaux dans le respect des principes de protection des donnes La Commission europenne veut amliorer et rationaliser les rgles concernant les transferts de donnes en dehors de lUnion europenne. Il apparat ainsi souhaitable de mettre pleinement en uvre les outils existants (adquation, Safe Harbor, clauses contractuelles, etc.) pour faciliter, sans baisser daucune manire le niveau de protection des individus. La CNIL propose galement dintgrer, dans la proposition lgislative, les BCR (Binding Corporate Rules, qui sont

Comment renforcer les droits des individus ?La directive prvoit des principes gnraux et des rgles dor pour le traitement des donnes personnelles, ainsi que des droits (accs, opposition, rectification, etc.) qui constituent des garanties pour les individus. Il est toutefois de plus en plus difficile pour les personnes concernes, notamment sur internet, de faire respecter pleinement ces droits. Aussi, la Commission europenne souhaite-t-elle mettre en avant diffrentes propositions. Il sagirait par exemple dintroduire un principe gnral de transparence pour le traitement des donnes, impliquant notamment une information des personnes qui soit plus simple, adapte et accessible. De mme, les droits des personnes devraient tre gratuits et pouvoir tre exercs plus aisment en ligne. Les rgles relatives au consentement des personnes devraient tre largement clarifies et renforces, afin que les individus puissent garder, de faon effective, le contrle sur leurs donnes personnelles. La notion de donne sensible pourrait galement tre largie, par exemple pour inclure les donnes gntiques. La CNIL est, en outre, largement favorable lintroduction, dans la proposition lgislative, dun droit loubli , qui permettrait une plus grande effectivit dans lexercice des droits de la personne et une meilleure prise en compte de la ralit dune mmoire numrique infaillible , qui, progressivement, remplace une mmoire humaine limite dans le temps . Un tel droit loubli impliquerait notamment de limiter strictement la dure de conservation des donnes la ralisation des finalits initialement envisages. Le droit loubli supposerait dobtenir la suppression des donnes personnelles, voire den demander la restitution, notamment dans le contexte des moteurs de recherche ou des rseaux sociaux.

Dplacer la protection des donnes au cur de lorganisme traitant les donnes personnellesOn constate trop souvent que les entreprises ne mettent pas en uvre les principes relatifs la protection des donnes du fait dune mconnaissance de leurs obligations. Il est envisag dintroduire une obligation gnrale, pour les responsables de traitement, de prendre les mesures appropries pour mettre en uvre les principes relatifs

38

LES TEMPS FORTS

des codes de conduite applicables aux socits dune multinationale), afin quils deviennent un outil dencadrement des transferts reconnu formellement, et ce suivant un mcanisme de reconnaissance mutuelle entre autorits europennes. Au niveau mondial, la CNIL estime galement quil est fondamental de dployer tous les efforts utiles pour laborer un instrument juridique international contraignant dans le domaine de la protection des donnes, et ce pour pallier labsence de cadre juridique dans la majorit des tats du monde. cet gard, les initiatives de la Confrence internationale des commissaires la protection des donnes, dfinissant dans leur rsolution de Madrid un corpus de principes communs applicables dans le monde entier, doivent tre soutenues. Il en va de mme des initiatives visant moderniser la Convention 108 du Conseil de lEurope, notamment pour la faire merger comme un instrument mondial.

Renforcer le rle des autorits nationales de protection des donnes personnelles et du groupe des CNIL europennes (G29)La Commission europenne souhaite renforcer, clarifier et harmoniser le statut et les pouvoirs des autorits de protection des donnes, ycompris pour prciser plus avant les exigences en termes dindpendance des autorits. Par ailleurs, elle voudrait amliorer la coopration et la coordination entre autorits, en particulier sur les sujets ayant une dimension transfrontire. Il est en outre essentiel que les tats membres fournissent des moyens suffisants aux autorits afin daccomplir les missions qui leur sont confies ou dharmoniser vers le haut les comptences et pouvoirs de ces autorits. Par ailleurs, le rle du groupe de travail de larticle 29 (G29) doit tre renforc, afin que ce dernier puisse vritablement jouer son rle de pilote de la vie prive en Europe, voire dans le monde. En tout tat de cause, il apparat indispensable de garantir limpartialit et la transparence des activits du G29, qui doit disposer dune autonomie juridique, administrative et financire.

Zoom Pour en savoir plus sur la rvision de la directive 95/46/CELa CNIL est pleinement investie sur ce dossier majeur de la rvision de la directive. Elle anotamment t largement associe, dans le cadre du G29 et de faon bilatrale, aux diverses phases de consultation menes par la Commission europenne. Ainsi, divers documents ont t prpars et permettent davoir davantage dlments sur la position de la CNIL et du G29 : lavis du G29 sur le futur de la vie prive (WP168) ; lavis du G29 (3/2010) sur le principe de responsabilit (accountability principle) (WP173) ; lavis du G29 (8/2010) sur le droit national applicable (WP179) ; la lettre du G29 en date du 14janvier 2011 adresse Mme Reding sur les orientations stratgiques de la Commission europenne. Par ailleurs, le G29 aadopt trois documents de travail sur les donnes sensibles, les formalits pralables et la coopration entre autorits. Un avis sur la notion de consentement est en prparation. Lensemble de la documentation disponible se trouve sur la page pertinente du site Europa : http://ec.europa.eu/ justice/policies/privacy/workinggroup/wpdocs/2011_ en.htm

De quoi sagit-il ?Le G29Larticle 29 de la directive du 24 octobre 1995 sur la protection des donnes et la libre circulation de celles-ci a institu un groupe de travail des27 CNIL europennes. Il a pour mission de contribuer llaboration des normes europennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission europenne sur tout projet ayant une incidence sur les droits et liberts des personnes physiques lgard des traitements de donnes personnelles. Le G29 se runit Bruxelles en sance plnire tous les deux mois environ. Environ 15sous-groupes composs des collaborateurs des CNIL europennes se runissent rgulirement pour alimenter les rflexions des membres du G29 en sance plnire et rdiger les avis qui leur seront ensuite soumis pour adoption.

39


LES NOUVEAUX POUVOIRS DE CONTRLE DE LA VIDOPROTECTIONLes constats relevs grce aux contrlesDans le cadre de son programme annuel pour lanne 2010, la CNIL avait inscrit le contrle des dispositifs de vidosurveillance relevant de la loi Informatique et Liberts . Elle aainsi effectu plus de 55 contrles concernant ces dispositifs. Ces contrles ont majoritairement t raliss dans le cadre de linstruction de plaintes et ont permis la formation contentieuse de dgager une premire orientation en matire de proportionnalit de dispositifs de vidosurveillance filmant des salaris sur leur lieu de travail. Les constats effectus loccasion de ces contrles peuvent se rsumer par les chiffres suivants.Nombre de contrles Absence de dclaration CNIL ou dclaration incomplte Dispositif disproportionn (surveillance permanente des salaris concerns) Dure excessive de conservation des images Dfaut dinformation des personnes Dfaut de scurit 55 23 27 10 38 14

Comment peut-on analyser ces chiffres ? En premier lieu, on relve que lensemble des finalits constates apour objet la scurit des personnes et des biens. Sur 27 dispositifs jugs excessifs, 6 (soit 10 % des contrles effectus) taient dlibrment orients sur des salaris. Or, la mise en uvre dun dispositif de vidosurveillance ne peut pas avoir pour seule finalit la surveillance des salaris. Dans les 21 autres cas (soit 38 % des contrles effectus), les dispositifs avaient pour finalit dassurer la scurit des biens (marchandise, etc. ) mais filmaient galement des postes de travail de salaris qui ntaient pas en contact avec la marchandise protger.

Avec ces dcisions, la CNIL atabli une doctrine en matire de mise en uvre de dispositifs de vidosurveillance sur les lieux de travail. La mise en uvre de dispositifs de vidosurveillance destins lutter contre le vol est acceptable, sous certaines conditions : les zones sans rapport avec la finalit de lutte contre le vol ne doivent pas tre filmes. Il peut sagir notamment des zones de repos, des zones de travail sans prsence de la marchandise. La marchandise peut tre filme ventuellement les salaris qui la manipulent mais pas les salaris en tant que tels ; la CNIL apprcie galement la lgitimit du dispositif : la lutte contre le vol ne doit viser que les marchandises en lien avec lactivit de lentreprise concerne (ce qui permet dviter une lutte trop gnrique : lutte contre le vol de papiers, de crayons, etc.) ; enfin, si des moyens alternatifs existent dj (armoires fortes, scurit des locaux), le recours des dispositifs de vidosurveillance ne parat plus indispensable. En deuxime lieu, les manquements aux obligations lies aux formalits dclaratives concernent 49 % des organismes contrls. Ce chiffre sexplique par la ralisation de contrles auprs dtablissements mettant en uvre des dispositifs filmant, pour partie, la voie publique ou les zones ouvertes au public relevant de la loi du 21janvier 1995 et, pour partie, des lieux privs (entrepts, salles rserves au personnel, etc. ) qui, eux, relvent de la loi Informatique et Liberts . La dualit de rgime juridique, et la confusion en rsultant, est le plus souvent la cause de ce manquement car il nest pas toujours ais dapprcier quel est le rgime applicable.

40

LES TEMPS FORTS

En troisime lieu, le manquement linformation des personnes at relev dans 69 % des cas. Celui-ci sexplique dans la majeure partie des cas par la mconnaissance de cette obligation, consquence de labsence de formalits pralables, ou par des informations dlivres non conformes ou incompltes (exemple : prsence de pictogrammes dpourvus des mentions dinformations prvues par la loi). En quatrime lieu, le manquement la ncessit de dfinir des dures de conservation limites at constat dans 18 % des tablissements contrls. Ce chiffre, satisfaisant au demeurant, sexplique davantage par des raisons techniques de capacit de stockage dimages en base, permettant rarement une dure de conservation suprieure 30 jours, que par une relle politique de purge des donnes. Enfin, il apparat que 32 % des organismes, pour lessentiel des grandes surfaces commerciales, filmaien

CNIL Rapport Annuel 2010

Documents

Transcript of CNIL Rapport Annuel 2010