Protection de la vie privée, une interview du président de CNIL

par Manuel Atreide
vendredi 30 novembre 2007

Nous fournissons toujours plus d’informations sur nous-même - et sans toujours le savoir - lorque nous utilisons le web. La collecte et l’utilisation de ces infos, très privées, parfois sur notre vie intime, nos convictions, sont-elles un danger pour nos libertés individuelles ? Comment sommes-nous protégés ?

Dans un papier précédent, j’avais fait part de mon point de vue sur les possibilités d’apparition d’un "Big Brother", essayant de montrer que cette tentation de contrôle n’est nullement technologique, mais forcément politique. Pour aller plus loin, j’ai voulu interroger l’autorité en charge de la protection de nos droits électroniques, la CNIL. Voici cette interview, dans laquelle son Président, Alex Türk, répond à mes questions.

Avec le développement des sites web communautaires et collaboratifs tels que myspace, facebook ou des systèmes de mails non privés, comme gmail, se pose le problème de la protection des données personnelles sur internet d’une manière plus aiguë. Quelle est la position de la CNIL sur de tels outils ?

Ces outils sont généralement gratuits (au moins dans leur version la plus utilisée), mais l’utilisateur n’est pas toujours conscient qu’en dévoilant des données personnelles sur sa vie privée, ses habitudes de vie, ses loisirs, voire ses opinions politiques ou religieuses..., il permet ainsi à ces sites de se constituer de formidables gisements de données susceptibles ainsi de multiples exploitations commerciales. Ces outils sont financés par la publicité qui peut ainsi être de plus en plus ciblée. En fait, il s’agit d’abord d’attirer l’audience la plus large possible pour ensuite pouvoir vendre la publicité au mieux.

Ainsi, l’utilisateur révèle des informations au fournisseur du service, mais aussi au reste du monde dans le cas des sites communautaires (surtout s’il n’est pas sensibilisé aux aspects I&L et qu’il ne maîtrise pas le paramétrage de la privacy). Si la plupart de ces outils offrent la possibilité de contrôler l’étendue de diffusion des contenus, le paramétrage par défaut favorise souvent une diffusion très large des contenus, sans souci adéquat de protection des données personnelles.

Par conséquent, des données destinées à être partagées uniquement dans la sphère privée sont stockées en ligne et peuvent parfois devenir accessibles à tous (par exemple par des moteurs de recherche) ; elles échappent dès lors au contrôle de l’utilisateur car il n’est pas possible d’effacer toutes les copies d’un document et il n’est pas réellement assuré que les données ne seront pas réutilisées à d’autres fins que celles annoncées.

De plus, les informations qu’un utilisateur peut révéler sur lui-même impliquent généralement d’autres personnes (par exemple la publication de photographies sur lesquelles se trouvent plusieurs individus). La distribution de contenu par un utilisateur peut donc impacter d’autres utilisateurs à leur insu de manière parfois irrémédiable.

En pratique, l’utilisateur ne maîtrise pas suffisamment ces nouveaux outils. Il apprend souvent à s’en servir à ses dépens, au fil des erreurs qu’il commet. Il est du devoir des fournisseurs de service en ligne et aussi des autorités de protection des données d’informer les utilisateurs pour qu’ils sachent utiliser les services correctement. La CNIL dialogue également avec les acteurs majeurs du secteur afin qu’ils prennent en compte les problématiques informatique et libertés dès la conception de leurs produits.

En parallèle, les utilisateurs doivent élever leur niveau de connaissance de base en matière de protection des données personnelles. Des actions d’information et de sensibilisation doivent donc être conduites par la CNIL, en particulier à destination des plus jeunes, afin d’améliorer leur niveau de connaissance et leur apprendre à utiliser correctement les services en ligne.

En cas de violation des droits de protection des données personnelles, l’entreprise contrevenante s’expose à quelles sanctions ? Ces sanctions sont-elles dissuasives ou avant tout pédagogiques ?

De façon générale, les sanctions pénales encourues en cas de violation de la loi informatique et libertés (prévues par les articles 226-16 et suivants du Code pénal) peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende. Par ailleurs la CNIL dispose depuis 2004 de pouvoirs de sanction administrative (injonction de cesser le traitement par exemple) et financière (qui peuvent aller jusqu’à 150 000 euros d’amende) qu’elle n’hésite pas à utiliser. Sous certaines conditions ces sanctions peuvent être rendues publiques.

Si les sanctions pécuniaires que la CNIL peut infliger peuvent apparaître faibles, elles ont cependant un effet dissuasif et pédagogique, dissuasif, car le fait d’être sanctionné par une autorité telle que la CNIL (en particulier si la sanction est rendue publique) peut avoir un impact non négligeable sur la réputation d’une société et la confiance des clients, pédagogique car les entreprises ainsi sanctionnées mettent généralement en œuvre des plans de mesures correctives pour assurer le respect de la loi.

Quels sont les moyens d’action de la CNIL face à des sites hébergés à l’étranger et donc non soumis au droit français ? En cas de violation des droits à la protection des données personnelles, que peut faire un internaute français ?

Il y a lieu de considérer que les principes de protection des données tels que définis notamment par la directive européenne sur la protection des données et la loi informatique et libertés ont lieu de s’appliquer dès lors qu’un recueil d’informations est réalisé auprès d’internautes français ou encore si des traitements sont réalisés sur des serveurs en Europe ou si des cookies sont implantés sur les ordinateurs des internautes européens.

Si un internaute pense qu’il y a violation de la législation en matière de protection des données personnelles, il peut saisir la CNIL.

La CNIL est membre du "groupe de l’article 29" au niveau européen, M. Türk, président de la CNIL en est même le vice-président. Quelles sont les préoccupations européennes en matière de protection des données personnelles ? Quels sont les chantiers en cours ?

Sur les aspects internet, le G29 , c’est-à-dire l’organisation regroupant toutes les CNIL de l’Union européenne, est en train d’élaborer un avis sur les moteurs de recherche pour préciser quelles pratiques doivent être respectées et bannies par les moteurs de recherche.

La directive 2002/58/EC est également en cours de révision et sera probablement soumise à avis du groupe.

Enfin, les sites communautaires seront très probablement au programme des études conduites en 2008.

Dans l’ensemble des actions que la CNIL entreprend chaque année, quelle proportion prend le web dans les problèmes de protection des données personnelles ? Et quelle est la tendance ?

La proportion est importante et augmente du fait de la dématérialisation croissante et du développement des services en ligne. Ainsi, de nombreux services étudiés par la CNIL mettent en œuvre des services web dans des domaines variés (e-administration, géolocalisation, dossier médical personnel, vote électronique, etc.)

Quel est le délai moyen de réponse à une plainte ?

Ce délai s’apprécie vraiment au cas par cas selon le type de plaintes. Certaines plaintes très simples peuvent être réglées en quelques jours. D’autres plus complexes, qui nécessitent des contrôles, puis des sanctions, peuvent prendre plusieurs mois.

En 2005, vous avez publiquement exprimé votre inquiétude pour l’avenir de l’institution en raison de sa pauvreté. Selon vos services, en 2007 la CNIL dispose-t-elle des moyens de la politique fixée par les pouvoirs publics ? Quels sont les besoins financiers et humains de la CNIL pour travailler correctement ?

Voir réponse question suivante.

Avec l’élection présidentielle et les élections législatives, la donne politique a évolué en France. La CNIL a-t-elle déjà eu des assurances concernant sa dotation financière et en personnels. Pourrez-vous rejoindre d’ici à deux ans la "moyenne basse" européenne, comme vous l’aviez demandé en 2005 ?

Lors de la présentation de son rapport annuel en juillet dernier, j’avais lancé un appel au gouvernement et au Parlement afin que la Commission soit dotée des moyens lui permettant de faire face aux nouvelles missions qui lui ont été confiées par la loi d’août 2004 ainsi qu’au développement des nouvelles technologies de traçage des personnes (vidéosurveillance, GPS, biométrie, RFID, nanotechnologies...).

A l’issue des négociations budgétaires menées ces dernières semaines, c’est un total de 15 emplois (l’effectif actuel de la CNIL étant de 95 agents), ainsi qu’une augmentation du budget de fonctionnement, que le gouvernement a attribué à la CNIL pour l’année 2008.

Dans ces conditions, la CNIL sera en mesure d’engager le développement d’une politique de contrôles adaptée aux réalités de l’informatique d’aujourd’hui et davantage protectrice du respect de la vie privée des personnes.

Je me félicite de cet effort très significatif puisqu’il nous permet de renforcer le service des contrôles, mais il est clair qu’il devra être poursuivi au cours des prochaines années, notamment de façon à permettre à notre Commission de mettre en place des délégations régionales pour traiter les problèmes que rencontrent nos concitoyens.

Dernière question : la CNIL est-elle suffisamment connue du grand public ? Quels sont vos initiatives pour combler un éventuel déficit d’image ? En définitive, la CNIL est-elle une autorité administrative indépendante au service des citoyens ?

La CNIL bénéficie d’une notoriété assez satisfaisante (39 % des personnes interrogées par TNS Sofres en décembre 2006 connaissaient la CNIL) et croissante. En revanche, cette même étude met en avant le manque de connaissance des droits en matière de protection des données personnelles. Ce droit est pourtant inscrit dans la charte européenne des droits fondamentaux, mais il est peu connu (27 % des personnes interrogées ont conscience de leurs droits).

Ne disposant pas d’un budget permettant des campagnes d’informations massives auprès du grand public, contrairement par exemple à l’autorité britannique, la CNIL utilise d’autres méthodes pour faire connaître son action et ses missions : relations avec les médias, site internet recueillant plus de 120 000 visiteurs par mois, lettre d’information électronique mensuelle adressée à 18 000 abonnés, édition de guides pratiques.

La CNIL a organisé depuis 2005 quatorze « Rencontres Régionales » à l’occasion desquelles elle est allée à la rencontre de l’ensemble des acteurs locaux concernés par la protection des données : entreprises, secteur social, secteur médical, avocats, secteur éducatif, services de l’Etat, etc. Il s’agit, au travers de ces actions de proximité, de mieux faire connaître la loi, la CNIL et la fonction de correspondant informatique et libertés et de pallier, pour le moment, l’absence de représentations régionales de la CNIL.

Propos recueillis par Manuel Atréide


Lire l'article complet, et les commentaires