Les données personnelles et la protection de la vie privée à l'heure des nouvelles technologies (Dossier de mars 2012 Introduction Si la notion de données personnelles d'un individu englobe une quantité non-négligeable et importante d'informations plus ou moins nominatives (nom, prénom, âge, sexe, lieu de résidence, loisirs préférés, pseudo, n°client, etc.), force est de constater que bon nombre de personnes ignorent précisément de quoi il s'agit, mais aussi par qui et dans quel but des fichiers sont créés. S'il est aisé d'imaginer que nous sommes tous fichés par l'Etat et les organismes qui lui sont rattachés (sécurité sociale, fisc, police à travers la carte nationale d'identité, la préfecture lors de l'établissement de la carte grise, le Pôle emploi, le médecin, etc.), par son employeur, par des associations indépendantes (club de sport, association à laquelle on fait un don, forum de discussion ou chat, etc.) ou encore par des sociétés commerciales (banque, assureurs, téléphonie, fichiers clients des commerces, etc.), on imagine moins être fichés par des sociétés que l'on ne connaît pas.
traitement des données Il n'est pas question d'envisager la collecte (le traitement) de données personnelles sans respecter un minimum de contraintes, issues de la directive de 1995 transposée de longue date dans les droits nationaux. Nous faisons le point sur ces conditions. Le principe de finalité Vous avez la possibilité de mettre la main sur un super fichier et vous vous dites « pourquoi pas, j'en ferai toujours bien quelque chose plus tard ». Pouvez-vous l'enregistrer et le garder sous la main, quitte à voir ultérieurement en quoi il peut vous aider ? La réponse est non. Selon la directive, les données doivent « être collectées pour des finalités déterminées, explicites et légitimes. » Ce principe a été repris fidèlement tant en France qu'en Belgique. Autre situation. La réponse est peut-être. Le principe de légalité Bravo, vous avez passé avec succès le test de finalité et vous vous dites : « maintenant je peux y aller ». a) la personne concernée a indubitablement donné son consentement, ou Autres conditions
DONNEES PERSONNELLES : la FNAC épinglée par la CNIL Les données bancaires communiquées par des clients lors d'un achat sur Internet sont des données dont la nature justifie des conditions de conservation strictes, entourées de mesures de sécurité élevées. La collecte et la conservation de telles données sont soumises au respect des prescriptions de la loi "informatique et libertés". Au-delà de la transaction, la conservation de ces données est ainsi subordonnée au consentement des clients et ne peut intervenir que pour une durée limitée. Afin de s'assurer du respect de ces exigences, la CNIL a mené, en février 2012, plusieurs contrôles dans les locaux de la société FNAC DIRECT, qui exploite le site fnac.com. La formation restreinte a rappelé que les données ainsi collectées ne devaient être conservées que pendant une durée limitée, et dans des conditions de sécurité renforcées.
Maîtriser son identité numérique Dans la vie courante, lorsque nous achetons une baguette de pain, il ne nous viendrait pas à l’idée de décliner notre identité et notre adresse au boulanger. Les relations que l’on entretient via Internet sont à gérer de la même façon. Pourquoi donner notre identité civile et notre adresse pour acheter un bien immatériel payé en ligne et qui n’a pas besoin d’être livré à une adresse postale ? Savoir utiliser des identités numériques distinctes et ne fournir que les données appropriées aux différents types de relations établies sur Internet constituent des compétences essentielles à la préservation de notre vie privée. Connaître et contrôler ce qu'on enregistre sur vous Lorsqu’on navigue sur internet, un certain nombre d’informations sont enregistrées en différents endroits du réseau, notamment sur l’ordinateur utilisé, chez le fournisseur d’accès ou chez les fournisseurs des services qu’on consulte. Lire la suite Endiguer la collecte excessive Gérer ses profils et ses identités
Sécurité : les salariés premiers voleurs de données ? Presque toutes les études sur la sécurité informatique affirment que les salariés sont à la fois le maillon faible en termes de défense et qu'ils sont les principaux "voleurs" de données. Il est effectivement plus facile de duper un utilisateur pour lui extorquer un mot de passe (en utilisant les techniques de social engineering) ou de partir avec le fichier clients de son entreprise sous le bras que de pénétrer le système d'information de l'extérieur. "Ceci est un mythe" dément Wade Baker, de l'équipe sécurité de Verizon Business. Dans une récente étude, 2011 Investigative Response Caseload Review, Verizon détaille les résultats de l'analyse de 90 cas d'attaques et de vols de données qui lui ont été soumis. Plus inquiétant : la majorité des entreprises ne savent pas qu'elles ont été piratées. 60 % des problèmes de sécurité ne sont découverts que des mois, voire des années après que le forfait ait été commis.
Google, Cnil et les données Le 24 janvier 2012, Google annonçait l'entrée en vigueur de nouvelles règles de confidentialité et de nouvelles conditions d'utilisation applicables à la quasi-totalité de ses services à partir du 1er mars 2012. Face aux nombreuses questions soulevées par ces changements, la CNIL a été mandatée par le groupe des CNIL européennes (G29) pour conduire l'enquête sur les nouvelles règles. Deux questionnaires successifs ont été envoyés et Google a fourni ses réponses les 20 avril et 21 juin, plusieurs d'entre elles s'étant avérées incomplètes ou approximatives. En particulier, Google n'a pas fourni de réponses satisfaisantes sur des points essentiels comme la description de tous les traitements de données personnelles qu'il opère ou la liste précise des plus de 60 politiques de confidentialité qui ont été fusionnées dans les nouvelles règles. Google ne fournit pas suffisamment d'informations aux utilisateurs sur ses traitements de données personnelles
Protégez-vous et votre famille sur les réseaux sociaux Micro Hebdo le 19/07/12 à 15h55 sommaire Combien de temps passons-nous sur les réseaux sociaux ? beaucoup, si l’on en croit les chiffres de comScore. La société d’études marketing américaine estime que, sur le mois de mars, les internautes français se sont connectés plus de 5 heures à Facebook, et ce chiffre augmente de mois en mois. Chronophages Sur Facebook, on retrouve ses amis et ses connaissances personnelles ou professionnelles, on s’en fait d’autres, on donne de ses nouvelles, on se montre et on montre ses activités en photo ou en vidéo, on joue, on partage ses découvertes, on s’informe… tout cela prend du temps. Addictifs Mais sous ces dehors chatoyants et avenants, les réseaux sociaux présentent quelques aspects plus troublants. Autre inquiétude : l’utilisation faite des données que nous publions et partageons, que ce soit par les réseaux sociaux eux-mêmes ou par les pros du marketing et les marques qui ont désormais envahi ces sites communautaires. Les sites en déclin :
Cnil et identité numérique Le rapport de M. Albrecht sur le projet de règlement relatif à la protection des données personnelles a été adopté à une large majorité, ainsi que le rapport de M. Droutsas sur le projet de directive. En adoptant simultanément ces deux rapports, le Parlement européen confirme son attachement à une approche d’ensemble de la législation en matière de protection des données. Intervenu avant les élections européennes de mai 2014, le vote permet aussi de consolider les travaux accomplis par le Parlement européen depuis la présentation des propositions de la Commission européenne en janvier 2012, avant la transmission à l’assemblée renouvelée et l’ouverture des négociations avec le Conseil de l’Union européenne. La CNIL continuera de suivre le processus législatif, et en particulier les travaux au sein du Conseil de l’Union Européenne relatifs au projet de règlement, et de faire valoir l’importance d’une vision exigeante de la protection des données des citoyens européens.
RENDEZ-MOI MES DONNEES ! ! ! Principales tendances motrices La crise de la relation de confiance entre individus et organisations et l’inquiétude montante en matière de données personnelles. L’évolution des attentes des consommateurs et des citoyens vers une plus grande maîtrise de leur vie. Signes avant-coureurs Le mouvement Quantified Self : "Connais-toi toi-même par les chiffres." Augmenter le pouvoir d’achat des consommateurs en convaincant les entreprises de partager avec leurs clients toutes les informations personnelles dont elles disposent sur eux : tel est l’objectif du programme MiData que lance le gouvernement de David Cameron en 2011. Pourtant, les premiers résultats n’ont rien de spectaculaire. Les entreprises, ainsi que certaines administrations, apprennent à vivre en partageant leurs données avec leurs clients et usagers. Parallèlement, des effets pervers se dessinent. Qui est concerné ? Raisons de douter L’intérêt économique pour les entreprises n’apparaît pas clairement. Signaux à surveiller