Inscrivez-vous et recevez gratuitement mes conseils pour comprendre vos obligations CNIL

Une proposition de loi veut interdire la biométrie

by Thiébaut Devergranne on 17/04/2014

Newsletter bye byeEnfin interdire est sans doute un grand mot, disons que la proposition vise à la restreindre de manière tellement importante qu’en pratique rare seront ceux à pouvoir la mettre en oeuvre au sein de systèmes de traitements automatisés de données.

Celle-ci justifie l’interdiction en affirmant que “L’on assiste depuis quelques années au développement exponentiel de l’usage des données biométriques, en particulier pour contrôler l’accès à des services ou à des locaux professionnels, commerciaux, scolaires ou de loisirs“. Personnellement, je n’ai pas constaté de développement exponentiel de ces dispositifs, et encore moins sur les lieux de travail, mais qu’importe. L’Iphone 5 contient un dispositif biométrique, mais il n’est pas concerné par l’interdiction posée par la proposition de loi (puisque la loi informatique et libertés ne s’applique pas aux traitements réalisés pour les besoins personnels des personnes physiques).

En droit français, au contraire tout est déjà fait pour que la biométrie soit très difficile à mettre en place. Sa mise en oeuvre suppose une autorisation préalable de la CNIL, qu’elle ne donne qu’avec parcimonie, et évidemment à condition que tous les principes de la loi informatique et libertés soient respectés… Notamment, que le dispositif soit proportionné aux finalités et que les données soient collectées de manière loyale et licite – cela, sous peine de 5 ans d’emprisonnement et 300.000€ d’amende.

Lire la suite de l'article...

{ 4 comments }

Parmi les perles cachées de la LPM je viens de découvrir une énormité qu’un RSSI avisé à eu la gentillesse de me transmettre.

Droit à l'oubliEn résumé : la loi autorise désormais les attaques informatique – y compris sur des systèmes gouvernementaux d’ailleurs – pour “tester [leur] fonctionnement ou [leur] sécurité”

Si vous pensez comme moi que l’on est en plein délire, et que ce que vous venez de lire relève d’un mauvais poisson d’avril, lisez ce qui suit… On croit rêver, le Gouvernement l’a (vraiment) fait !

Lire la suite de l'article...

{ 28 comments }

Droit à l'oubliDepuis l’adoption de la LPM je me demande qui sera le premier à sauter sur l’occasion d’anéantir ses dispositions les plus attentatoires aux libertés publiques et introduire une Question Prioritaire de Constitutionnalité (QPC).  Les paris sont ouverts, mais je dirais que les grands de l’Internet (Google, Amazon, Apple…) sont ceux qui y ont le plus intérêt.

Ces entreprises ont, en effet, été largement vilipendées ces derniers mois pour leur collaboration dévoyée avec les services de renseignement. Elles souffrent aujourd’hui d’une image ternie qui a suscité une importante vague de contre-attaques, au moins d’apparat.

Elles ont donc là une occasion facile – et  parfaitement louable – de montrer publiquement leur attachement aux libertés individuelles et gagner une victoire  à moindre frais. La question qui surgit, en réalité, est : peuvent-elles s’en passer ?

Tout d’abord, parce qu’il est facile de faire sauter les dispositions les plus attentatoires aux libertés publiques de la LPM, tant leur rédaction est grossière. Cela amuse toujours de voir à quel point l’inlassable suffisance des Gouvernants aveugle quant à la réalité de l’Etat de Droit et à quel point le pouvoir peut pervertir de tout lucidité démocratique. A l’heure actuelle, l’article 20 de la LPM autorise ainsi la captation de toute information, y compris la correspondance privée, que détiennent les acteurs de l’Internet (créateurs de sites web, FAI, hébergeurs, etc.), pour des motifs extrêmement larges tels que la sauvegarde du potentiel économique de la France… (dit clairement : Google, SVP “donnez-nous accès à toutes les correspondances privées de vos dirigeants ainsi que ceux d’Apple, nous en avons besoin pour connaître les prochaines orientations stratégiques de vos entreprises…”). Difficile de soutenir le caractère raisonnable et proportionné de ces dispositions…

Ensuite, parce que ces entreprises seront, avec les FAI, probablement les premières sollicitées par des demandes d’accès à des informations sur le fondement de la LPM. Or, le mécanisme de la QPC est tel qu’il ne peut être déclenché qu’à l’occasion d’un contentieux (voir ses détails sur le site du Conseil constitutionnel) :

La « question prioritaire de constitutionnalité » est le droit reconnu à toute personne qui est partie à un procès ou une instance de soutenir qu’une disposition législative porte atteinte aux droits et libertés que la Constitution garantit. Si les conditions de recevabilité de la question sont réunies, il appartient au Conseil constitutionnel, saisi sur renvoi par le Conseil d’État et la Cour de cassation de se prononcer et, le cas échéant, d’abroger la disposition législative.

Il y a donc ici un fort lien d’opportunité, autant probablement que financier (la mise en oeuvre de ces mécanismes aura également un coût qu’il est utile d’éviter si ces dispositions sont contraires à la Constitution…).

Nous verrons donc qui héritera des premières demandes et qui sera assez rapide pour introduire sa QPC… les paris sont ouverts, effet médiatique massif garanti : le gagnant remportera une énorme victoire médiatique.

Fort heureusement aujourd’hui, faire passer en force de telles dispositions – anticonstitutionnellement – est d’une témérité grotesque et ne sert aujourd’hui à rien d’autre que de retarder leur annulation. 

Ce qui suscite une véritable inquiétude toutefois est de voir à quel point les promoteurs de ces mécanismes ne réalisent pas l’atteinte que ces dispositions portent à la confiance démocratique ; à quel point elles sabrent le pacte social, l’Etat de droit dont l’essence n’est que “la conservation des droits naturels et imprescriptibles de l’homme”, “la liberté, la propriété, la sûreté et la résistance à l’oppression”.

L’article 20 aurait peut-être permis une plus grande efficacité des services.

Mais c’est sans compter toute la défiance que les citoyens, plus encore, leur portent désormais.

A vos QPC… Prêt… Partez…

Lire la suite de l'article...

{ 6 comments }

Les 3 merveilles de la LPM…

23 November 2013

business man with laptop over head - mad Je discutais vendredi dernier avec un journaliste du Monde qui m’avait appelé pour des éclaircissements sur certains aspects de la LPM suite au moratoire demandé par l’ASIC ; l’association  (qui regroupe notamment AOL, Dailymotion, Google, Deezer, PriceMinister, Facebook, Yahoo…) fustigeait en effet l’extension substantielle de l’accès administratif des données de connexion conservées par les FAI et les hébergeurs de contenu sur Internet.

La raison de sa colère, plus précisément, tient à ce que la LPM (et son futur article 246-1) prévoit une double extension de la possibilité de récupérer des données de connexion :

  • d’abord le texte va ouvrir un accès très large aux agents de plusieurs ministères (v. futur art. 246-1), en particulier ceux chargés “de la sécurité intérieure, de la défense, de l’économie et du budget” ; on comprend parfaitement que les services de police y aient accès, mais quid de ceux de l’économie et des finances ?
  • ensuite les motifs pour lesquels ces agents auront accès à ces informations seront étendus substantiellement eux aussi, à : “la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisée (…)” ; actuellement l’article L. 34-1 du CPCE est beaucoup plus strict et prévoit que cet accès ne peut se faire que “dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire (…)“. On voit donc bien le changement de perspective !
  • Enfin, il faut noter que ces agents auront accès à ces informations en temps réel (futur art. L. 246-3).

L’ASIC souhaitait en particulier que les demandes des agents administratifs soient  « placées sous la direction ou la surveillance de l’autorité judiciaire » ce qui semble assez raisonnable considérant l’ampleur du nouveau système, particulièrement à l’heure où PRISM occupe les esprits…

Toute cette réflexion a été pour moi l’occasion de me plonger dans la LPM et d’y découvrir également une série de perles cachées… Voilà en quelques mots ce que cette loi nous prévoit :

Lire la suite de l'article...

Lire l’article en intégralité →

Les méthodologies de sécurité, outil de limitation des risques juridiques

8 November 2013

jeu-echec

S‘assurer de respecter l’ensemble des obligations légales liées à la mise en oeuvre d’un traitement de données personnelles n’est jamais simple, en particulier dès lors que l’on touche aux aspects de sécurité informatique.

Fort heureusement, un énorme travail de rationalisation a été effectué en ce sens afin de tenter de s’assurer, de la manière la plus scientifique possible, que toutes les précautions utiles de sécurité ont bien été prises. De nombreuses méthodologies de sécurité ont ainsi émergé, les deux les plus citées étant sans doute Ebios (initiée par un ancien collègue) et Méhari.

Toutes deux ont avant tout pour finalité d’analyser un certain nombre de risques techniques, humains et organisationnels, afin d’assurer une sécurité optimale à un système d’information (dont on parle abondamment dans les formations CIL, au passage). Toutes deux permettent au responsable du traitement d’avoir, autant que possible, une pleine conscience des risques auxquels le système est exposé.

D’un point de vue juridique, ces méthodologies ont donc un intérêt majeur.

Lire la suite de l'article...

Lire l’article en intégralité →

Banques, Facebook et FranceInfo

30 October 2013

J’ai été interviewé par France Info sur des pratiques d’organismes du milieu bancaires, aux Etats-Unis, qui se renseignent sur leurs clients au moyen des réseaux sociaux.

De telles pratiques en France, se heurteraient de plein fouet la législation sur la protection des données personnelles.

Trois obstacles au moins existent :

  • D’abord il faudrait l’autorisation de la CNIL, en vertu de l’article 25 de la loi informatique et libertés, puisque le traitement est “susceptible (…) d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat”. Bon courage pour convaincre la CNIL.
  • Ensuite, une telle pratique poserait évidemment un problème fondamental de loyauté de la collecte des données personnelles (or, collecter de manière déloyale des données personnelles est une infraction pénale sanctionnée à hauteur de 5 ans d’emprisonnement et 300.000 € d’amende, de quoi décourager n’importe quel service juridique. Encore une fois bon courage pour démontrer que le procédé est loyal)
  • Enfin le banquier est titulaire d’une obligation d’information de son client sur les recherches qu’il réalisera. Il doit donc le lui dire avant de les mener ! On imagine mal le rendez-vous client dans lequel le banquier explique que pour avoir un prêt il va falloir qu’il regarde d’abord sur Facebook, Twitter, et autres afin de se rassurer. Commercialement cela risque difficilement de passer.

Bref, nous sommes assez bien muni, légalement, contre ce genre de pratiques. Je vous laisse avec l’interview très courte (dans laquelle Données Personnelles y est cité à deux reprises ;)

Lire la suite de l'article...

Lire l’article en intégralité →

RSSI : pas de sécurité, pas de fraude, pas d’indemnisation

14 October 2013

Le TGI de Creteil a rendu le 23 avril dernier une décision intéressante qui illustre les conséquences du défaut de sécurité d’un système d’information.MP900404902

L’affaire mettait en cause l’Agence Nationale de Sécurité Sanitaire de l’Alimentation et un internaute qui avait accédé à des données confidentielles sur les serveurs de l’autorité administrative au moyen d’une simple requête Google. Les données litigieuses étaient en accès libre et mises à disposition du public, sans que celles-ci fassent l’objet d’aucune mesure de sécurité particulière. La victime, non contente de voir ses secrets atterrir dans les mains de tiers, décidait d’engager des poursuites pénales considérant qu’elle avait subi un accès frauduleux de la part de l’internaute indélicat.

Le problème posé était donc de savoir si l’on peut être victime d’un piratage informatique, lorsque aucune mesure de sécurité ne vient protéger des données mises à disposition du public ?

Lire la suite de l'article...

Lire l’article en intégralité →

Réflexions sur le projet de règlement européen

27 September 2013

NegociationsJ‘ai été reçu ce matin par les services du Premier Ministre (SGAE) pour donner mon sentiment sur les orientations actuelles du futur projet de règlement européen et aider la France à définir sa position dans cette querelle juridique.

Je dois tout d’abord saluer cette initiative et féliciter le SGAE de solliciter l’avis d’experts indépendants, de praticiens et d’universitaires pour l’élaboration des normes de droit (nous étions 4 à avoir été reçus). Il est toujours plus facile de se convaincre de la justesse de ses opinions et de sa suffisance de gouvernant que d’aborder avec écoute des visions dissemblables, et parfois opposées. Pour avoir vécu l’élaboration de projets de loi lorsque j’étais au service du SGDSN, je ne peux que louer cette lucidité.

Cette discussion stimulante a été l’occasion de quelques réflexions personnelles que je retracerai ici (tout en faisant la délicatesse au SGAE de conserver nos discussions confidentielles, bien que cela ne m’ait pas été demandé).

Lire la suite de l'article...

Lire l’article en intégralité →

Un fichier client non déclaré à la CNIL n’a aucune valeur financière ni juridique

1 July 2013

La Cour de cassation vient de rendre un arrêt intéressant, posant la question de l’appréciation de la valeur juridique d’un objet illicitedanger.

Il s’agissait en l’occurrence d’un fichier de clientèle non déclaré à la CNIL qui avait été vendu, alors que la loi impose que tout traitement automatisé de données personnelles fasse l’objet de formalités préalables (on parle en général de déclaration CNIL mais ces formalités peuvent en réalité recouvrir une diversité de régimes juridiques tels que demande d’autorisation, dispenses, etc.).

S’apercevant que le fichier litigieux n’avait pas été déclaré à la CNIL – et donc qu’elle ne pouvait légalement en faire usage – la société victime de la fraude a fait assigner le vendeur en demandant la nullité de la vente. Naturellement, elle demandait ainsi le remboursement des sommes initialement dépensées.

Au terme d’un long contentieux, la Cour de Cassation, donne raison à la société sur le fondement de l’article 1128 du Code civil ; celui-ci dispose qu’“il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions“. En effet, un bien acquis ou produit de manière illicite ne peut avoir aucune valeur en droit et par conséquence ne peut légalement être vendu.

Lire la suite de l'article...

Lire l’article en intégralité →

7 conseils pratiques pour vous mettre en conformité avec vos obligations CNIL

18 April 2013

MC900382587La loi va bientôt changer. Les montants d’amende pour non respect du régime en matière de protection des données personnelles vont être faramineux : 2% du chiffre d’affaire global pour les groupes ; pour une société comme Microsoft en 2008, cela représente un potentiel 1,2 milliard de dollars d’amende

Voilà de quoi prendre très au sérieux cette règlementation. Pour ne rien vous cacher j’intervenais la semaine dernière dans une entreprise du CAC40 dans laquelle on me confiait que les commissaires aux comptes appelaient à mettre l’ensemble de la structure en conformité de toute urgence, par crainte de sanctions majeures. Le temps est clairement à l’anticipation de ce nouveau risque juridique.

Cest donc le bon moment pour vous donner quelques conseils pour mettre en conformité votre organisation avant l’arrivée du nouveau règlement européen ! Cela vous simplifiera la tâche, et vous évitera nombre de déconvenues. Pensez à partager ce guide à qui de droit, c’est toujours utile de faire partager cette expérience…

Lire la suite de l'article...

Lire l’article en intégralité →