Accueil du site > > Les défis Web 2.0 de

Les défis Web 2.0 de la Cnil

Les défis Web 2.0 de la Cnil

La Cnil vient de publier son 30ème rapport d’activité pour l’année 2009. L’occasion d’un retour non exhaustif sur les temps forts de son action et ses défis à venir dans le monde du Web 2.0.

Les réseaux sociaux et le droit à l’oubli

Dans le cadre de plusieurs contrôles auprès des principaux réseaux sociaux français, les agents de la Cnil ont constaté que les paramètres de confidentialité du compte permettent généralement par défaut un accès complet au profil des membres, ainsi que leur référencement par les moteurs de recherche.

Elle a également relevé que la publicité peut être ciblée en fonction de l’âge, du sexe et de l’adresse IP de l’internaute sans que celui-ci puisse s’y opposer. De plus, les personnes qui ne font pas partie du réseau ne sont pas toujours informées de la diffusion de photos de groupe, sur lesquelles elles sont identifiables et parfois taguées.

Point positif, les demandes de suppression de données de la part d’internautes sont souvent prises en considération et les mesures de sécurité sont globalement satisfaisantes.

Mais que signifie la notion de droit à l’oubli numérique ?

Pour le Président de la Cnil, le sénateur du Nord Alex Türk, il est « dangereux que l’information mise en ligne sur une personne ait vocation à demeurer fixe et intangible, alors que la nature humaine implique, précisément, que les individus changent, se contredisent, bref, évoluent tout naturellement. Il en va, pour tous, de la protection de la liberté d’expression et de la liberté de pensée, mais aussi du droit de changer d’avis, de religion, d’opinions politiques, la possibilité de commettre des erreurs de jeunesse, puis de changer de vie (…) ».

Compte tenu de ces enjeux en termes de protection de la vie privée, le G29, qui regroupe les Cnil européennes, a affirmé, dans son avis du 12 juin 2009, que le droit européen de protection des données personnelles s’applique aux réseaux sociaux, même quand leur siège se trouve hors d’Europe.

Toutefois, les grands réseaux sociaux américains ne partagent pas cette analyse, même s’ils adaptent leurs conditions générales d’utilisation pour respecter la plupart des principes européens.

A noter que Linkedin est celui qui est allé le plus loin dans sa mise en conformité au regard de la loi Informatique et Libertés, puisqu’il a effectué toutes les formalités déclaratives auprès de la Cnil.

Google Street View

Depuis la mise en ligne de ce service, qui permet de se promener virtuellement dans les rues, en 2008, la Cnil est régulièrement saisie en raison des ratées du dispositif de floutage des visages de passants, des plaques d’immatriculation des véhicules, ou encore des vues de l’intérieur des domiciles privés. Un couple a par exemple découvert que Google Street View diffusait des vues de l’intérieur de leur propriété sur lesquelles on apercevait leur fille âgée de quatre ans en sous-vêtements.

Prolongement de son action menée en 2008 et 2009, la Commission est à ce jour la première autorité de protection des données dans le monde à avoir obtenu les informations collectées par Google dans le cadre de son dispositif Street View. La formation contentieuse de la Cnil a en effet adopté le 26 mai dernier une mise en demeure à l’encontre de la société Google Inc., afin d’obtenir la communication de l’ensemble des données recueillies en France par les véhicules Street View, à partir des bornes Wi-fi non sécurisées.

S’il est encore trop tôt pour que la Commission puisse se prononcer sur les suites que connaîtra ce contrôle, un premier constat a d’ores et déjà été réalisé : Google a enregistré des mots de passe d’accès à des boîtes mail, à l ’insu des personnes, ainsi que des extraits de contenus de messages électroniques.

Enfin, la Cnil a démontré que les données collectées par Street View, comme les adresses MAC de points d’accès WI-fi, ont permis le développement du service de géolocalisation Google Latitude.

En 2009, la CNIL ce fut aussi …La première mise œuvre de la procédure d’urgence pour interrompre un traitement en raison de la détection d’une faille de sécurité ; le secteur public (administrations d’État et collectivités locales) qui représente désormais plus de 10% des procédures engagées par la formation restreinte de la Cnil (cf encadré). Ou encore la mise en ligne d’un nouveau site, l’ouverture de l’extranet dédié aux Correspondants Informatique et Libertés (CIL). Et début 2010, la Commission a ouvert des comptes sur Facebook, Twitter et Dailymotion pour conseiller les utilisateurs.

Un service de plainte en ligne

Depuis le 14 juin dernier, si vos droits d’accès ou d’opposition à recevoir de la publicité ne sont pas respectés, vous pouvez demander l’intervention de la Cnil à partir de son site internet.

Concrètement, une fois le formulaire de plainte en ligne rempli, avec possibilité d’intégrer des pièces jointes numérisées dans différents formats, vous recevez un accusé de réception sur votre adresse électronique. Ensuite, la Commission prévoit un délai moyen de huit semaines pour le règlement de votre plainte.

Un bilan de ce nouveau téléservice sera réalisé d’ici la fin de l’année 2010 afin d’envisager son extension à d’autres types de plaintes.

Sanctions : une formation spécifique

Pour prendre des mesures à l’encontre des responsables de traitement qui ne respectent pas la loi Informatique et Libertés, la Cnil siège dans une formation spécifique, composée de six membres appelée « formation restreinte ». À l’issue d’une procédure contradictoire, cette formation peut notamment décider de prononcer des sanctions pécuniaires pouvant atteindre 300 000 euros. En 2009, elle adressé 91 mises en demeures et prononcé cinq sanctions financières (pour un montant global de 75 000 euros) et quatre avertissements.

Les chiffres de 2009

L’an dernier, la Cnil a enregistré 68 185 nouveaux traitements de données personnelles et accordé 900 autorisations administratives pour la mise en oeuvre de systèmes biomériques (contre 700 en 2008) et 3054 pour des dispositifs de vidéosurveillance ( soit +18 % par rapport à 2008 ).

Elle a reçu 4 265 plaintes, 2 217 demandes de droits d’accès indirects aux fichiers de police et effectué 270 contrôles (+24%).

vendredi 25 juin 2010

Suite des dépêches