JURIBLOGSPHERE

Qui a dit que cette vénérable institution qu’est le Sénat français ne servait à rien ?

Deux de ses membres, Yves DETRAIGNE et Anne-Marie ESCOFFIER viennent d’en faire la démonstration inverse en déposant, au début de ce mois, une proposition de loi concernant un sujet éminemment important et d’actualité qui est celui de mieux garantir le droit à la vie privée à l’heure du numérique.

C’est un thème auquel je suis très attaché. Comme je l’écrivais dans un précédent billet, le droit à la vie privée est de plus en plus rogné sur Internet bien sur, mais également dans la réalité du quotidien avec ce que j’ai pu récemment lire au sujet des projets de maires souhaitant accroître la vidéo-surveillance dans leurs communes alors que cette vidéo-surveillance n’a pas fait la preuve incontestable de son efficacité.

Proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique (format pdf)

Cette proposition de loi est la suite du rapport d’information (ci-contre) rédigé par ces mêmes auteurs et publié en mai dernier sur « la vie privée à l’heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l’information ».

La synthèse de ce rapport est disponible ici. (format pdf)

Que contient cette proposition de loi ?

Parmi ses quatorze articles, j’en ai sélectionné quelques uns qui ont tout spécialement retenu mon attention.

L’article 1° qui vise, comme le dit joliment l’exposé des motifs, à transformer l’« Homo Sapiens » en « Homo Numericus » libre et éclairé, protecteur de ses données et pour ce faire qui va « renforcer la place accordée à la sensibilisation aux questions de protection de la vie privée et des données personnelles dans les programmes scolaires ».

L’article 2 qui clarifie le statut de l’adresse IP (Internet Protocol), affirmant qu’elle constitue une donnée à caractère personnel.

L’article 4 qui réserve au législateur la compétence exclusive pour créer une catégorie de fichiers nationaux de police et définir ses principales caractéristiques.

Par rapport à la proposition de loi des députés BATHO et BENISTI sur les fichiers de police, (le rapport d’information des députés sur les fichiers de police est consultable ici) le dispositif de cet article 4 est moins contraignant puisque là où les députés préconisent l’intervention du législateur pour chaque création ou modification de fichier de police, les deux sénateurs suggèrent que le Parlement n’intervienne que pour autoriser certaines catégories de fichiers nationaux de police et leurs caractéristiques les plus importantes.

L’article 6 qui actualise l’article 32 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés portant sur les obligations d’information du responsable du traitement.

L’article 7 qui précise l’obligation de sécurisation des données incombant au responsable du traitement et qui crée une obligation de notification des failles de sécurité à la Commission nationale informatique et libertés.

L’article 8 qui substitue au terme « opposition » mal compris, celui plus explicite de « suppression » et ce droit de suppression s’exercerait sans frais pour celui qui le met en œuvre.

Ainsi dans la nouvelle mouture de l’article 38 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, il y aurait le droit d’opposition commerciale, qui s’exercerait avant tout traitement ou, en cas de collecte indirecte, avant toute communication des données, et le droit de suppression des données qui s’exercerait, par définition, après.

L’article 9 qui précise l’obligation pour le responsable du traitement interrogé au titre du droit d’accès d’indiquer l’origine de la donnée.

Cette indication permettrait à la personne objet du traitement de remonter jusqu’au responsable du traitement détenteur du fichier d’origine et d’exercer éventuellement auprès de lui ses droits d’accès, de rectification ou d’opposition.

L’article 12 qui renforce les pouvoirs de sanction de la Commission nationale informatique et libertés.

Enfin, l’article 13 qui renforce les possibilités d’actions juridictionnelles de la Commission nationale informatique et libertés et des personnes en cas de méconnaissance, par un responsable du traitement, des dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Le décret n° 2009-1249 du 16 octobre et celui n° 2009-1250 du même jour ont peu, sur le plan médiatique, fait parler d’eux et pourtant ils créent deux nouveaux fichiers de police.

Le premier décret n° 2009-1249 a été pris pour la création d’un fichier en matière de prévention des atteintes à la sécurité publique.

Il va servir à recueillir, conserver et analyser les informations qui concernent «les personnes dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique et notamment les personnes susceptibles d’être impliquées dans des actions de violences collectives, en particulier en milieu urbain ou à l’occasion de manifestations sportives».

La lecture de l’article 3 de ce décret est intéressante puisqu’il est désormais possible dans ce cadre, si vous êtes âgé d’au moins treize ans, de collecter, de conserver – pendant dix ans à compter du dernier évènement ayant donné lieu à enregistrement, durée raccourcie à trois ans pour un mineur – de traiter des données concernant notamment :

- votre origine géographique, notion que je peine à définir,

- vos activités politiques, vos activités philosophiques, vos activités religieuses, et vos activités syndicales.

Quant au second décret n° 2009-1250, il vise la création d’un fichier de données à caractère personnel relatif aux enquêtes administratives liées à la sécurité publique.

Ces enquêtes sont réalisées, notamment, dans le cadre de recrutements à des emplois publics participant à l’exercice des missions de souveraineté de l’État, ou relevant du domaine de la sécurité ou de la défense, et sont destinées à vérifier que le comportement des personnes physiques ou morales intéressées n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées.

Dans ce cas de figure, si vous êtes âgé d’au moins seize ans, il est autorisé notamment l’enregistrement de données – contenues dans un rapport d’enquête – relatives à un comportement incompatible avec l’exercice des fonctions ou des missions envisagées, la source de ce comportement pouvant être une motivation politique, religieuse, philosophique ou syndicale.

Bien entendu, ces deux nouveaux fichiers de police vont s’ajouter à la liste de ceux existant en France, ces fichiers détaillés par la Commission Nationale Informatique et Libertés sur son site Internet.

Dans les faits, cette énumération CNIL a peu à voir avec la réalité puisque le rapport d’information du 24 mars 2009 sur les fichiers de police – rédigé par les députés Jacques Alain BENISTI (UMP) et Delphine BATHO (PS) – en dénombre 58, soit dix fois plus…

Assemblée nationale – Rapport d’information des députés BENISTI et BATHO du 24 mars 2009 sur les fichiers de police (format pdf)

J’ai tout particulièrement noté que, dans leur rapport, deux points particulièrement importants.

La tendance actuelle à la multiplication des fichiers de police

Les deux parlementaires pointent du doigt la tendance actuelle à la multiplication des fichiers de police qui s’explique, selon eux :

♦ d’une part «par le fait que certains traitements de données sont créés en dehors de tout cadre juridique et sans aucune base normative» (un quart des fichiers de police n’ont aucune base juridique),

♦ d’autre part «lorsque le gouvernement entend donner une base juridique aux fichiers, dont il envisage la création, il peut recourir à un large éventail d’instruments normatifs (lois, décrets, arrêtés, etc…)».

La nécessité de clarifier les conditions de création de ces fichiers de police

Les deux députés soulignent également la nécessité de clarifier les conditions de création de ces fichiers de police car le cadre juridique actuel n’est pas satisfaisant.

Aujourd’hui, lorsque l’exécutif entend donner une base juridique au fichier de police qu’il crée, il peut recourir soit à la voie réglementaire sur le fondement de l’article 26 de la loi du 6 janvier 1978 (cf. par exemple les deux décrets ci-dessus), soit à la voie législative.

Alors, les deux députés proposent notamment «de modifier l’article 26 de la loi du 6 janvier 1978 afin que les fichiers ou toute catégorie de fichiers intéressant la sécurité publique et ceux qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ne soient autorisés que par la loi.».

Pour eux – en la matière – l’intervention et le contrôle du Parlement est le point d’équilibre entre les besoins opérationnels des services de police pour l’exercice de leurs missions et la protection des libertés individuelles du citoyen.

Visiblement, ils n’ont guère été entendus…

Le gouvernement français préconise fortement à toutes les entreprises, quelle que soit leur taille, de mettre en place un plan de continuation d’activité pour éviter que l’épidémie de grippe A-H1N1 ne paralyse totalement l’activité économique du pays.

Ce plan va, notamment, identifier les fonctions et les personnes strictement nécessaires à l’activité de l’entreprise et recenser les coordonnées (adresse électronique et numéro de téléphone personnels) et les moyens de transports des salariés.

Il va donc s’agir de collecter des informations nominatives pour élaborer ce plan de continuation d’activité qui devrait ainsi faire l’objet d’une déclaration préalable à la Commission Nationale Informatique et Libertés.

Dans une délibération n° 2009-476 du 10 septembre 2009, la CNIL a adopté une dispense – dispense 14 – pour ce type de fichiers.

Délibération CNIL n° 2009-476 du 10 septembre 2009 (format pdf)

Elle précise aux employeurs que s’imposerait la déclaration préalable sur son site si les points qui suivent ne devaient pas être scrupuleusement respectés lors de la mise en place du fichier dans le cadre du plan de continuation d’activité :

♦ que ce fichier n’a pas vocation à être permanent car c’est une collecte ponctuelle d’informations reposant sur une situation sanitaire d’urgence, ces informations devront donc être détruites dés la fin de la pandémie pour celles qui sont nominatives, les autres pouvant subsister ;

♦ que ce fichier ne doit pas contenir de données médicales sur les personnes atteintes de la grippe ;

♦ que la confidentialité des informations doit être garantie dans leurs modalités de recueil – communication des données personnelles par le salarié sur la base du volontariat, renvoi direct sous pli ou par courrier électronique à la personne désignée du service des ressources humaines – et de conservation ;

♦ que l’accès à ces données soit exclusivement réservé aux personnes habilitées du service des ressources humaines.

MODÈLE DE MENTION D’INFORMATION A FAIRE FIGURER SUR LE FORMULAIRE DE COLLECTE

« Afin d’établir le « plan de continuité d’activité » (PCA) de l’entreprise, préconisé par les pouvoirs publics dans le cadre du plan national de prévention et de lutte « pandémie grippale », nous souhaitons recueillir vos coordonnées personnelles pour pouvoir vous joindre (téléphone fixe ou portable, email personnel) ainsi que d’autres informations que nous sollicitons dans notre questionnaire.
Nous vous recommandons de nous transmettre ces informations afin de pouvoir vous prévenir et organiser la continuité de notre activité, en cas de pandémie grippale avérée, conformément aux préconisations des pouvoirs publics.
Les destinataires de ces données sont exclusivement les personnes habilitées du service du personnel (ou de la cellule de crise).
Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous pouvez accéder à ces informations et les faire rectifier en vous adressant à …………………………………… (Veuillez préciser le service et l’adresse). »

La simplification et la clarification du droit que j’évoquais il y a peu a fait une heureuse à savoir la commission nationale informatique et libertés.

En effet, la loi du 12 mai 2009 du député Warsmann a modifiée la loi du 6 janvier 1978, bien connue sous le nom de «Informatique et libertés», dans ses articles 11, 13 et 15.

De par ces modifications, pour ne pas renouveler les tribulations du projet de loi «Hadopi ou Création et Internet», un avis de la commission sur un projet de loi est rendu public non plus à la suite de «fuites» mais à la demande du président de l’une des commissions permanentes prévues à l’article 43 de notre Constitution.

Par ailleurs, la commission peut – ce qu’elle ne pouvait faire antérieurement faute de moyens – délivrer des labels aux entreprises qui attestent que leurs produits ou leurs procédures sont conformes aux exigences de la protection des données personnelles car elle a la faculté de «recourir à toute personne indépendante qualifiée» pour procéder à l’évaluation de ces produits ou de ces procédures en sachant «que le coût de cette évaluation est pris en charge par l’entreprise qui demande le label».

Enfin, cette même commission peut déléguer à son président la compétence pour autoriser les transferts de fichiers en dehors de l’Union Européenne.

Ce qui vient d’être dit est, au passage, une réponse à Stéphane Cola rédacteur d’un communiqué en date du 2 juillet au nom du site «Palmarés.com» – dans son conflit ouvert avec la CNIL – qui écrit :

«Contre toute attente, le 10 juin 2009 la Commission nationale de l’informatique et des libertés (CNIL) a exigé de Palmares.com la disparition de cet espace de liberté et de partage d’expérience. Cette exigence se fonde sur une loi dite « informatique et libertés » promulguée en janvier 1978, à un moment où l’informatique encore balbutiante était perçue non comme une chance mais comme une menace.»

Cette présentation est clairement tendancieuse et erronée :

- tendancieuse car le couplet sur 1978 et l’informatique balbutiante perçue comme une menace est non avéré;

- erronée car la loi du 6 janvier 1978 n’est pas figée et, bien évidemment, fait l’objet de constantes adaptations comme ce fut le cas, notamment, avec la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et, il y a moins de deux mois, avec celle que je viens d’évoquer.

Il est parfaitement louable de vouloir exploiter son modèle économique encore faut-il que cette exploitation se fasse dans le respect du droit et des personnes.

Un président peut-il durablement diriger une institution à laquelle il s’oppose ?

Rappelez-vous les réserves  - contenues dans sa délibération n° 2008-101 du 29 avril 2008 – émises par la Commission nationale informatique et libertés sur le projet de loi «Création et Internet».

Après le vote de cette loi, par curiosité, je me suis rendu sur le site de l’Assemblée nationale puis sur celui du Sénat pour voir, face à ce texte, quelle avait été la position de quelques élus que je peux connaitre.

Peu de réelles surprises et alors que je m’apprêtais à clore ma consultation, mon regard s’arrêta sur la courte liste des sénateurs ne figurant sur la liste d’aucun groupe pour y voir avec stupéfaction que, lors du scrutin n° 147 de la séance du 13 mai 2009 sur l’ensemble du projet de loi favorisant la diffusion et la protection de la création sur Internet, le nom d’Alex Türk, président de la Commission nationale informatique et libertés, figurait parmi les six sénateurs ayant voté «pour» le texte !!

Bien entendu, il peut avoir une opinion personnelle mais, en l’espèce, celle défendue est difficile à justifier pour un homme qui préside aux destinées d’une «autorité» telle que la C.N.I.L. qui affiche sa devise de voir triompher une informatique respectueuse de l’identité humaine, des droits de l’homme, de la vie privée et des libertés, pour un homme qui ne peut se prévaloir ni d’un manque de temps pour un examen approfondi du dispositif légal sur lequel il était appelé à se prononcer, ni d’une absence ou d’une difficulté de maitrise des questions informatiques ayant pu altérer son jugement, encore moins d’une discipline de groupe politique à respecter…

La Commission nationale informatique et libertés vient de publier son 29ème rapport d’activité (année 2008) et fête ainsi «30 ans au service des libertés».

Le 29ème rapport d’activité (année 2008) de la Commission Nationale Informatique et Libertés (format pdf)

Dans ce rapport, le commissaire en charge de la gestion des risques et des droits, Emmanuel de Givry, justifie l’attitude de la Commission sur le projet de loi Hadopi (Création et Internet) refusant de rendre public son avis et qu’il fallut «une fuite» pour que celui-ci soit publié dans la presse en novembre 2008.

Il explique que l’avis du 29 avril 2008 était couvert par le secret des délibérations du gouvernement, donc sans accord du gouvernement pas de publication possible.

J’ai aussi spécialement relevé, à la lecture de ce document, que la Commission :

√ demande au ministère de l’Intérieur la clarification du régime juridique applicable à la vidéo-surveillance.

Actuellement deux régimes sont applicables, la loi du 21 janvier 1995 pour les systèmes de vidéo-surveillance visionnant les lieux ouverts au public, dans ce cas de figure une autorisation préfectorale est nécessaire et la loi «Informatique et Libertés» qui règlemente les systèmes de vidéo-surveillance installés dans un lieu non ouvert au public ou les systèmes implantés dans les lieux publics lorsqu’ils sont couplés à une technique biométrique ou à un fichier permettant d’identifier des personnes physiques.

«… Dans la pratique, ce cadre juridique, difficilement compréhensible, tend à devenir inapplicable puisque la majorité des dispositifs de vidéo-surveillance utilisent désormais des systèmes numériques qui relèvent de la compétence de la CNIL, et ce quel que soit leur lieu d’installation. Or, aujourd’hui, ces systèmes sont autorisés par les préfectures, alors même que nombre d’entreprises ou d’administrations s’interrogent sur le point de savoir si une telle autorisation est nécessaire ou si elle doit se cumuler, ou bien être remplacée, par une déclaration auprès de la C.N.I.L. !…».

√ appelle à la constitutionnalisation du droit à la protection des données personnelles, ces données étant collectées, générées, analysées dans des proportions sans cesse croissantes.

Au sein de l’Union Européenne, 22 états membres – la France n’est pas incluse - ont intégré dans leur Constitution le droit au respect de la vie privée et 13 ont reconnu le droit à la protection des données personnelles comme principe à valeur constitutionnelle.

√  constate et se félicite de la forte augmentation du nombre de correspondants informatique et libertés : celui-ci a pour mission de conseiller le responsable des traitements afin qu’il travaille dans le respect de la loi «informatique et libertés», de l’alerter encas de manquements afin d’éviter qu’il ne commette des infractions qui pourraient être pénalement sanctionnées.

Enfin, j’ai noté, tout particulièrement, que la Commission :

√  accompagne le développement technologique, un exemple avec «Streetview» de Google ou elle est intervenue pour préconiser le floutage des visages et des numéros d’immatriculation.

√  s’inquiète notamment ;

- de la diminution de la sphère privée, de l’atteinte au droit à l’intimité avec, notamment, l’émergence des réseaux sociaux comme par exemple «Facebook» et de citer l’article de décembre 2008 de la revue «le Tigre» qui a défrayé la chronique en son temps,

- de la multiplication des échanges de données personnelles dans le cadre de la coopération policière européenne ou internationale,

- du partage des données de santé.

Bref, toujours plus de «chantiers» pour cette Commission au financement limité et exclusivement étatique, laquelle souhaite qu’il s’élargisse et aspire à ce que son avis sur un projet de loi déposé devant le Parlement soit rendu public «à la demande du président de l’une des commissions permanentes de l’Assemblée nationale ou du Sénat».

Une extension et des simplifications au menu de la déclaration de revenus 2008. Avant d’en parler, je vous indique les dates importantes à retenir qui ont été communiquées par le ministère.

La campagne « IMPOT SUR LE REVENU 2008 » va s’ouvrir à partir du lundi 27 avril 2009 et se terminera le vendredi 29 mai 2009 à minuit, date limite de remise de la déclaration papier.

Comme les années précédentes, les cyberdéclarants sur le site dédié du « minéfi » bénéficient de délais supplémentaires qui varient en fonction de leur lieu de résidence – zones retenues pour les vacances scolaires :

♦ le jeudi 11 juin 2009 à minuit pour la zone A,

♦ le jeudi 18 juin 2009 à minuit pour la zone C et les départements d’outre-mer,

♦ le jeudi 25 juin 2009 à minuit pour la zone B et la Corse.

L’extension 

J’en viens maintenant à l’extension pour signaler que cette année, la déclaration préremplie va s’étendre aux revenus de capitaux mobiliers dont les montants à ce titre vont donc être déjà indiqués sur les imprimés que nous recevrons prochainement.

Les simplifications

Constatant une stagnation du nombre de cyberdéclarants, les uns évoquant la complexité du certificat électronique, notamment, en cas de changement d’ordinateur, les autres l’expliquant par la perte du « petit bonus » de 20 euros, les informaticiens du ministère ont mis en oeuvre des simplifications pour attirer de nouveaux « clients ».

Elles sont au nombre de deux :

√ Vous pourrez déclarer vos revenus en ligne depuis n’importe quel « PC » grâce à un accès simplifié et sécurisé en saisissant trois identifiants. Le certificat électronique n’est ainsi plus indispensable.

√ Ceux d’entre vous qui n’auront aucun complément, ni aucune modification à apporter à leur déclaration de revenus préremplie disposeront d’une procédure simplifiée qui leur permettra de déclarer en trois clics seulement.

Face à ces innovations, la commission nationale informatique et libertés – dans un document intitulé « LA DECLARATION FISCALE SUR INTERNET EN DIX QUESTIONS » – déconseille l’accès simplifié sans certificat, ce qui m’amène à préciser que la déclaration avec certificat, comme les années antérieures, est toujours possible et qu’elle donne, de surcroit, la possibilité de consulter son compte fiscal en ligne.

«Nos vies sur Internet à perpète» est le titre d’une très intéressante enquête parue dans l’édition datée d’hier du quotidien «Le Monde».

Avec les nouveaux outils Internet – blogs, pages personnelles, réseaux sociaux… – et les pratiques qui leur sont associées, la frontière entre vie privée et vie professionnelle est de plus en plus floue, ce qui dans le domaine du recrutement ne manque pas de poser de sérieux problèmes à certains candidats.

La tache d’enquête, notamment, des recruteurs et des DRH est grandement facilitée avec des outils comme ceux qui suivent.

Les agrégateurs 123people.com ou CVGadget.com

La plus grande vigilance est donc de mise sur les renseignements que vous fournissez sur «Facebook», «Viadeo» ou «LinkedIn» et/ou sur vos propos sur vos pages personnelles, blogs et sur les photos qui sont prises de vous.

A propos des réseaux sociaux, ainsi que le rappelle Alex Turk, son président, la commission nationale informatique et libertés peut difficilement intervenir pour faire effacer données et photos car les sociétés gestionnaires de ces réseaux sont généralement américaines et corrélativement hors de portée de la CNIL, n’existant pas «de cadre juridique satisfaisant entre l’Union européenne et les États-Unis dans ce domaine».