La proposition de la CNIL et ses actions autour du thème de l’e-réputation

cnil e-reputation

Accompagner la Conformité: de quels outils disposons-nous ?

Le respect de la loi “informatique et libertés” implique de la part de tous, une mise en place d’une conformité dynamique. Il ne s’agit pas de démarches administratives mais de respecter pendant toute la vie d’un traitement de données, les principes, droits et obligations posées par la loi.

Pour les professionnels, cette démarche vers la conformité apporte certains avantages, celui d’assurer une sécurité juridique, de tirer parti du droit pour en faire un facteur de succès et d’accroître le capital de confiance vis-à-vis des interlocuteurs.

La CNIL a développé en 2014, une gamme d’outils complémentaires permettant d’accompagner aux mieux les différents métiers et secteurs d’activité.

1. Les packs de conformité : des outils pour simplifier les démarches

Les packs de conformité ont été élaborés en concertation avec les acteurs d’un secteur d’activité. Ils visent à définir et diffuser des bonnes pratiques pour un secteur défini. Leurs contenus peuvent être des mesures de simplification des formalités (autorisations uniques et/ou normes simplifiées) ou des tests de vérifications de conformité à la loi (exemple : les grilles d’auto-évaluations).

La principale préoccupation

L’une des préoccupations croissantes des citoyens est celle concernant la protection de sa vie privée en ligne.

Le rapport de la CNIL pour 2014 fait état de 11 071 demandes de citoyens réparties :

  • 5 825 plaintes (augmentation de 3 % par rapport à 2013), dont 39 % de ces plaintes concernaient des problématiques d’e-réputation : suppression de textes, photographie, vidéos, coordonnées, commentaires, faux profils en ligne, la réutilisation de données publiquement accessibles sur Internet.
  • 5 246 demandes de droit d’accès indirect (augmentation de 22 % par rapport à 2013) aux fichiers de police, de gendarmerie, de renseignement, ainsi à FICOBA (Fichier National des Comptes Bancaires et Assimilés).
Un service en Ligne

Depuis avril 2015, la CNIL a mis en place un nouveau service de plaintes en ligne : http://www.cnil.fr/vos-droits/plainte-en-ligne. Ce service permet de répondre :

  • Aux difficultés liées à la suppression de données personnelles sur des sites, blogs, forums, réseaux ou des moteurs de recherche.
  • Aux problèmes liés au spam et à la protection commerciale par courrier, courriel ou par téléphone.
  • Aux questions de surveillance des salariés.
  • Aux inscriptions dans les fichiers d’incidents de paiements (Preventel, FICP, FCC chèques ou cartes bancaires).

*CNIL : Commission Nationale de l’Informatique et des Libertés

2. Un acteur : le CIL “ Emblème des nouveaux outils de conformité“

Le CIL est le pilote en charge de veiller à la sécurité juridique et technique du patrimoine informationnel au sein des organismes privés ou publics. Son rôle de conseil permet de diffuser les bonnes pratiques en matière de protection de données personnelles et participe à la réduction des risques.

Protéger les données personnelles est devenu un enjeu de crédibilité vis-à-vis des clients, des usagers ou des adhérents.

Une approche qui implique aussi une diffusion plus large de l’information, à la fois aux personnes concernées et aux entités qui traite leurs données

3. Un label “Gouvernance informatique et liberté”

Ce label atteste de la qualité des procédures et des bonnes pratiques mise en œuvre pour gérer les données personnelles collectées et traitées par tout type d’organisme. Véritables outil de responsabilisation des organismes traitant les données personnelles, le label est un indicateur de confiance pour les clients ou usagers.

Il constitue un cadre éthique et juridique adapté, témoignant de la volonté de l’organisme d’innover et de traiter les données personnelles de manières responsables.

Cette démarche permet de préparer les organismes aux règles du futur règlement Européen en intégrant notamment le principe “d’accountability”. La pierre angulaire de ce label repose également sur la désignation d’un correspondant informatique et libertés (CIL).

Structures labellisées “Gouvernance Informatique et liberté”

A ce jour, trois acteurs ont été labellisés :

  • Le Département des Alpes Maritimesfût le premier acteur public à avoir obtenu le label Gouvernance Informatique et Libertés sous les références Label CNIL n°2015-372 le 22 octobre 2015.
  • Cabinet Alain Bensoussan Selas– (Avocats du Droit du numérique et des technologies avancées) à Paris
  • Cabinet ACTECIL(Expert en gestion et sécurisation du patrimoine informationnel) à Schweighouse-sur Moder (67) – Délibération CNIL du 17 décembre 2015.
Implication Européenne : mesures approuvées

La Commission Européenne, le Parlement Européen et le Conseil Européen se sont entendus le 15 décembre 2015 sur le règlement Européen pour la protection des données. Celui-ci vise à harmoniser des législations nationales très variées (voire inexistantes) pour donner aux citoyens un meilleur contrôle sur la façon dont leurs données sont collectées et utilisées. Comme tout règlement, celui-ci n’aura pas besoin d’être transposé en droit national et s’appliquera directement à partir de début 2017.

Parmi les principales mesures approuvées, on trouve :

  • Un important pouvoir de sanction accordé au CNIL National.
  • L’obligation pour les entreprises victimes de fuite de données, de signaler leur cas aux régulateurs nationaux sous trois jours, sous peine de forte amende.
  • Le droit à l’oubli, entériné par le règlement, qui permet aux citoyens européens de demander à supprimer des informations en ligne qui les concernent, mais ne sont plus pertinentes.
  • La portabilité des données qui permet aux utilisateurs de demander le transfert de leurs données d’une plateforme vers une autre.
  • L’obligation pour les moins de 16 ans, de demander une autorisation parentale avant de pouvoir utiliser des services tels que Facebook, Snapchat ou Instagram.
  • L’extension de ces nouvelles règles à toutes les sociétés qui comptent des utilisateurs dans l’Union Européenne, même si elles sont basées hors UE (par exemple : dans la Silicon Valley).

Autrement dit, le règlement se fait beaucoup plus protecteur des citoyens européens que la législation équivalente aux Etats-Unis, mais également bien plus sévère à l’égard des sociétés qui y contreviendraient.

Pour exemple :

Suite à la délibération du 5 novembre 2015, la CNIL a prononcé une sanction pécuniaire de 50 000 € à l’encontre d’Optical Center pour ne pas avoir mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients (170 000 comptes clients chez Optical Center).

 

Il est intéressant d’évoquer le thème du « privacy by design” ou “Protection de la vie privée dès la conception”.

Ce concept a été développé à l’initiative de la préposée à la protection des données de l’Etat d’Ontario au Canada en 2012 :

“Chaque nouvelle technologie traitant des données personnelles ou permettant d’en traiter doit garantir dès sa conception et lors de chaque utilisation, même si elle n’a pas été prévue à l’origine, le plus haut niveau de protection des données. Cette idée a notamment été plébiscitée par une résolution de la 32ème conférence internationale des préposés à la protection des données le 27 -29 octobre 2010, qui recommande aux Etats ce concept à leur législation.”

(Jean Christophe Swhwaab correspondant informatique et libertés CNRS le 24/11/2014)

Désormais le “Privacy by design” ou la “Data protection by design” sont à l’ordre du jour des législateurs et des régulateurs. De leur côté, les commissaires à la protection de la vie privée des différents pays européens réunis lors de la 36ème conférence internationale ont déclaré que cette démarche constituait “un argument de vente clé pour les technologies innovantes“.

Le 28 janvier 2016, la CNIL et INRIA (Institut national de recherche en informatique et en automatique) lancent un prix européen pour encourager la recherche scientifique sur la protection de la vie privée.

Ce prix est destiné à promouvoir les travaux de recherche en sciences du numérique, à sensibiliser la communauté scientifique aux enjeux de la protection des données et à la nécessité de développer des projets de recherche sur les thèmes :

  • La protection de la vie privée dès la conception (Privacy by design).
  • Les techniques de protection de la vie privée (PETs).
  • L’anonymisation.
  • L’analyse des risques pour la vie privée.
  • Le contrôle sur les données personnelles.
  • L’accountability.
  • La transparence.

Cette initiative s’inscrit dans le cadre de la convention de partenariat signée par la CNIL et INRIA en 2011. Celle-ci a déjà permis de conduire des projets de recherche en commun comme MOBILITICS, sur « La face cachée des smartphones », avec pour objectif d’analyser en profondeur les données personnelles enregistrées, stockées, diffusées et ainsi de favoriser par la suite des innovations et des nouveaux services durables, protecteurs des droits des utilisateurs.

Sources :

La CNIL cherche la vérité des données personnelles (17 avril 2015)

Label CNIL

Béatrice Bernard

logo-complet

Menu Principal