S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

L’État met la défense et la sûreté à l’abri de la loi sur la vie privée

L'abus fait le moine

Les sénateurs ont voté ce 23 mars la proposition de loi sur le « droit à la vie privée à l'heure du numérique ». Selon le parlementaire Yves Détraigne, avec ce texte, « il s'agit, bien évidemment, non de dramatiser ou de passer pour des « ringards » en voulant limiter, encadrer le développement de ces technologies, mais simplement, pour mettre nos concitoyens en mesure de protéger leur vie privée et leurs données personnelles face aux aspects intrusifs des nouvelles technologies numériques ». Certaines avancées sont à saluer, mais le gouvernement aura mis de sérieux bémols pour protéger ses fichiers sensibles.

fichiers mains internet écran

Les auteurs du texte ont voulu de compléter ici le cadre juridique existant, construit dès 1978 à une époque où on pressentait simplement « les développements futurs de l'informatique ». Nous avions déjà analysé ce texte le 25 février dernier cette proposition, nous mettons à jour ce qui fut écrit en fonction des amendements adoptés.

Éducation :
pour éduquer les plus jeunes aux risques des TIC, les élèves seront « formés afin de développer une attitude critique et réfléchie vis-à-vis de l'information disponible et d'acquérir un comportement responsable dans l'utilisation des outils interactifs, lors de leur usage des services de communication au public en ligne. Ils sont informés des moyens de maîtriser leur image publique, des dangers de l'exposition de soi et d'autrui, des droits d'opposition, de suppression, d'accès et de rectification prévus par la loi [de 78] » (art.1)

Cet article prend appui sur le dispositif prévu par HADOPI. Avec HADOPI, on le sait, il est prévu que les profs sensibilisent les jeunes au droit de la propriété intellectuelle et aux dangers du téléchargement illégal d'oeuvres protégées. Avec la loi sur la vie privée, il s’agit de cette fois de les sensibiliser au sujet de la vie privée sur Internet…

L’IP devient une donnée à caractère personnel. La loi mettrait fin aux errements jurisprudentiels. Le traitement automatisé de l’IP entrerait alors dans les compétences de la CNIL. Le texte vise globalement « tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne ». (art.2)

Cela lève une incertitude importante qui planait sur cette série de chiffres. SI en Europe le Groupe de l’article 29 (l’ensemble des CNIL européennes) qualifiait l’IP de données personnelles, en France, dans des affaires de contrefaçon sur les réseaux P2P, la Cour d’Appel de Paris avait par exemple expliqué que « cette série de chiffres ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon ».

Les traitements automatisés peuvent désormais être mis en œuvre dès la preuve du dépôt de la déclaration d’existence (art. 2 ter).

Plus de pouvoirs pour le correspondant informatique et liberté (CIL), rendu obligatoire dès que plus de 100 personnes ont accès aux données personnelles faisant l’objet d’un traitement automatisé. Dans le texte initial, le seuil était de 50 personnes, mais les sénateurs ont craint de « compromettre la capacité de la CNIL à gérer un tel dispositif ». Plutôt que d’augmenter la puissance financière de la CNIL, on a donc préféré raréfier les dossiers. « En dessous du seuil de cent personnes, le volontariat doit ainsi être préféré au caractère obligatoire ».

Différentes modalités sont prévues pour faciliter cette procédure notamment la possibilité de mutualiser la désignation de cette personne. Nommé après aval de la CNIL, le CIL est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans cette loi, mais aussi d'informer et de conseiller l'ensemble des acteurs.

Encadrement a minima des manipulations de données personnelles par l’État
: dans le texte initial, il fallait que les traitements touchant à la sûreté, la défense, la sécurité publique soient tous rattachés à des objectifs technicojuridiques comme le rapprochement entre des infractions pénales, l’identification des auteurs de crimes, etc. Néanmoins par voie d’amendement, le gouvernement a souhaité exclure de cet encadrement, les fichiers touchant à la sûreté et la défense.

« Le gouvernement est favorable à une évolution de l'encadrement juridique des fichiers de police, c'est-à-dire des fichiers qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, qui étaient visés par les textes déjà cités. Corrélativement, compte tenu de leur spécificité, il souhaite le maintien du régime actuel pour les traitements qui intéressent la sûreté de l'État et la défense, que ces propositions n'ont pas entendu remettre en cause ».

Conclusion, si les traitements de données mis en œuvre pour le compte de l'État et touchant à la sécurité publique doivent répondre à des objectifs, ce n’est pas le cas des fichiers liés à la sûreté et à la défense. 

Là, un tout petit arrêté, après avis motivé (simple) de la CNIL suffit toujours à autoriser leur création et mise à œuvre pour le compte de l’État. Et encore : il est spécifié que « certains » de ces traitements pourront être dispensés par décret en Conseil d'État, de la publication de l'acte réglementaire qui les autorise. Ce n’est pas tout : cette ébauche de loi censée protéger la vie privée permet l’expérimentation en situation réelle de fonctionnement de ce genre de traitements automatisés. Et toujours, un simple arrêté, après avis de la CNIL suffira, avec une autorisation qui sera de 18 mois...

Obligation de notification des failles de sécurité : la proposition de loi impose au responsable d’un traitement automatisé une série d’obligations nettement plus précises que le texte en vigueur actuellement :

« Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites ».

En cas de violation de données, le responsable du traitement « avertit sans délai » le correspondant « informatique et libertés », ou à défaut, la CNIL. Le responsable du traitement a alors obligation de prendre sans attendre toutes « les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données ». Si la violation a affecté des données à caractère personnel d'une ou de plusieurs personnes physiques, celles-ci sont alertées.

Précison importante : ces obligations ne s’appliquent pas aux fichiers de police, exempts de signalement, à défaut de bug.

Enfin, parmi les différentes mesures, que la proposition veut aussi faciliter, signalons le droit d'opposition (qui devient droit de "suppression") à la demande des personnes dont les données font l'objet d'un traitement automatisé..
Marc Rees

Journaliste, rédacteur en chef

Publiée le 25/03/2010 à 08:40

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 68 commentaires

Avatar de tof67000 INpactien
tof67000 Le jeudi 25 mars 2010 à 08:46:15
Inscrit le vendredi 25 juillet 08 - 2275 commentaires
je n'ai pas encore absorbé assez de cafeine pour assimiler tout cet article
je soupçonne marc d'utiliser des substances illicites fume.gif
Avatar de gokudomatic INpactien
gokudomatic Le jeudi 25 mars 2010 à 08:52:21
Inscrit le mercredi 15 décembre 04 - 12300 commentaires
tro lon est tro compliké
Avatar de anon_1802ksTyu INpactien
anon_1802ksTyu Le jeudi 25 mars 2010 à 08:54:22
Inscrit le vendredi 20 mai 05 - 7189 commentaires
L’IP devient une donnée à caractère personnel. <<< MDR, cet argument se fera démonter à chauqe procès
Avatar de Vilainkrauko INpactien
Vilainkrauko Le jeudi 25 mars 2010 à 08:54:59
Inscrit le mardi 24 février 09 - 4232 commentaires

+1 C'est dur la matin ce genre de lecture (Surtout dans mon état actuel )

Si j'ai tout comprite, Ils ont enfin décidé de (presque) protégé la vie privée des gens ?

Apres les loi comme la lopsi ou hadopi, c'est limite du foutage de gueule !
Avatar de Bourriks INpactien
Bourriks Le jeudi 25 mars 2010 à 08:57:00
Inscrit le mercredi 28 janvier 04 - 6773 commentaires


T'as encore le cerveau en phase "sms-kikoolol" à cette heure-ci ?

Attends que Windu se réveille...

Il y a 68 commentaires

;