• Home  / 
  • DELIBERATION 2010-222

DELIBERATION 2010-222

By Thiébaut Devergranne / 5 years ago

(demande d’avis n°1428095)
La Commission nationale de l’informatique et des libertés ;
Saisie pour avis par le Directeur général des médias et des industries culturelles du ministère de la Culture et de la Communication d’un projet d’arrêté portant création du traitement automatisé de données à caractère personnel dénommé « Carte musique » ;
Vu la Convention n°108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 27-II-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;
Sur le rapport de Monsieur Emmanuel de GIVRY, Vice-président délégué et les observations de Madame Elisabeth ROLIN, commissaire du gouvernement ;
Emet l’avis suivant :
La Commission nationale de l’informatique et des libertés a été saisie, le 22 avril 2010, d’une demande d’avis sur un projet d’arrêté relatif à la création d’un système d’administration du portail d’attribution d’aides dénommé « carte musique ».
A titre liminaire, la Commission relève que le projet de décret relatif à la « Carte musique » instituant l’aide d'Etat et fixant les conditions d'éligibilité des bénéficiaires de cette aide, validé au niveau interministériel, a été notifié à la Commission européenne au titre des aides d’Etat. En cas d’évolution de ce texte réglementaire conduisant à une modification substantielle du traitement de données à caractère personnel créé par le projet d’arrêté, objet du présent avis, la Commission devra être saisie du nouveau texte.
La Commission prend acte que ce traitement est la première des vingt-deux propositions du rapport « Création et Internet » remis le 6 janvier 2010 au Ministre de la Culture et de la Communication.
La mise en œuvre de ce dispositif par le Ministre de la Culture et de la Communication vise à inciter les internautes âgés de 12 à 24 ans à consommer des offres de musique légale et payante.
Le traitement mis en œuvre dans ce cadre constituant un téléservice de l’administration, il relève de la procédure prévue au 4° du II de l’article 27 de la loi du 6 janvier 1978 modifiée.
Sur les finalités
Le traitement a pour « finalité de permettre l’attribution d’une aide de l’Etat destinée à favoriser la consommation légale et payante de musique numérique dématérialisée par les personnes âgées de 12 à 24 ans ». La Commission prend acte que les bénéficiaires de cette aide sont des plateformes proposant l’écoute ou l’achat de musique et que leurs conditions d’éligibilité doivent être définies par un décret.
La mise en œuvre du traitement suppose la création d’un téléservice : l’inscription de l’usager et la création d’un compte personnel par le biais d’un mot de passe qui lui permet d’obtenir des codes d’activation utilisables auprès des plateformes de musique en ligne.
Les finalités poursuivies par le traitement n’appellent pas d’observations particulières.
Sur les risques d’usurpation d’identité
La Commission observe que le traitement présente des risques d’usurpation d’identité dans la mesure où il repose sur une simple déclaration des usagers. La Commission relève en effet qu’aucun mécanisme n’est prévu pour vérifier l’identité de la personne qui crée un compte « Carte Musique », qu’il sera donc très aisé pour une personne de créer de nombreux codes de réduction par l’interface du portail et qu’une partie de l’aide risque donc d’être détournée du public visé.
La Commission reconnaît toutefois qu’introduire un mécanisme de vérification de l’identité à l’inscription renchérirait le coût de ce service et présenterait potentiellement plus de risques vis-à-vis de la protection des données personnelles dans la mesure où elle pourrait conduire, par exemple, au stockage par le ministère de la Culture et de la Communication des pièces d’identité des jeunes.
En outre, la Commission relève que les usagers dont l’identité aurait été usurpée peuvent s’adresser aux services du ministère de la Culture et de la Communication pour demander la désactivation du compte, en fournissant une copie de pièce d’identité.
En tout état de cause, la Commission recommande que le ministère de la Culture et de la Communication détaille sur le portail « carte musique » la procédure à suivre pour traiter les cas d’usurpation d’identité. La Commission préconise que toutes demandes relatives à un problème d’usurpation d’identité soient traitées dans les plus brefs délais par le ministère.
Sur les données à caractère personnel enregistrées
Les articles 2, 3 et 4 du projet d’arrêté énumèrent les données à caractère personnel enregistrées.
Pour les demandes d’aides concernant un usager âgé de 18 à 24 ans sont collectés et traités les éléments suivants : identification de l’usager (nom, prénom, sexe, date et commune de naissance, commune de résidence, code postal, adresse électronique), un mot de passe et des codes d’activation.
Pour les demandes d’aides concernant un usager âgé de 12 à 17 ans sont collectés et traités les éléments suivants : identification de l’usager (nom, prénom, sexe, date et commune de naissance, commune de résidence, code postal, adresse électronique), un mot de passe et des codes d’activation ainsi que les nom de famille et prénom de la personne exerçant l’autorité parentale.
La Commission estime que les données susmentionnées sont adéquates, pertinentes et non excessives au regard des finalités définies à l’article 1 du projet d’arrêté.
La Commission prend acte que les données collectées auprès de l’usager à partir du portail « carte musique » ne sont pas transmises vers les platesformes bénéficiaires de l’aide. Celles-ci ne connaissent que les codes d’activation générés par le site de la Carte Musique. La Commission relève également qu’aucun paiement n’est effectué à partir du site internet « Carte Musique ».
Sur les droits des personnes
S’agissant de l’information des personnes concernées, la Commission prend acte que les utilisateurs sont informés de leurs droits par un message d’avertissement présent sur le site Internet « Carte Musique ». Ce message est délivré préalablement à l’inscription et la création d’un compte d’un usager.
La Commission recommande que les mentions d’information prescrites à l’article 32 de la loi du 6 janvier 1978 modifiée soient également accessibles dans une rubrique dédiée du site internet.
Les droits d’accès et de rectification s’exercent auprès de la direction générale des médias et des industries culturelles du ministère de la culture et de la communication.
Sur la durée de conservation
La Commission relève que les données sont conservées deux ans par le ministère de la Culture et de la Communication à compter de la date de leur collecte. L’article 4 du projet d’arrêté précise également que les consultations du traitement « Carte Musique » font l’objet d’un enregistrement pour une durée de 3 mois comprenant le mot de passe du consultant autre que l’usager, la date, l’heure et l’objet de la consultation.
Les durées de conservations paraissent pertinentes au regard de la finalité poursuivie par le traitement et n’appellent pas d’observations particulières.
Sur les mesures de confidentialité et de sécurité mises en place
La Commission prend acte de ce que moins de 10 personnes sont habilitées à accéder au traitement de données à caractère personnel. En particulier, les personnels du prestataire ont un accès limité, pour effectuer les opérations requises (maintenance des logiciels système, administration de la base de données, exploitation des scripts de traitement). La Commission recommande que la politique de mots de passe des personnes habilitées prévoie un renouvellement régulier des mots de passe et une interdiction de réutilisation d’anciens mots de passe.
S’agissant de l’accès à son dossier par l’usager, la confidentialité des échanges est assurée au moyen du protocole sécurisé SSL. L’authentification de l’usager est établie à partir d’un couple identifiant/mot de passe librement choisi par lui. La Commission recommande que le mot de passe soit d’une longueur d’au moins huit caractères.
Hormis les points soulevés dans les alinéas précédents, la Commission constate que le dispositif présente un niveau de sécurité globalement satisfaisant.

Le Président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: