Informatique et libertés sur internet, CNAM

SEMAINE 1

 

Effectivité de la réglementation « informatique et libertés »

  • Règles s’appliquent, sans différence, aux organismes publics, privés et associatifs
  • Risques d’image (réputation), judiciare (pénal), disciplinaire (pour professions réglementées surtout)
  • 2010 : CNIL a recadré Acadomia. Son fichier client comportait des commentaires déplaisants sur les élèves / clients ! Son cours de bourse a chuté !
  • 2013 : Cour d’appel de Bordeaux contre site internet s’étant amusé à créer des annuaires illicites
  • 2013 : Cour de cassation considère que vente de fichier annulé car ce fichier non déclaré à la CNIL
  • Faille de sécurité chez un opérateur mobile : fichiers de 1,3 million de clients rendus publics ! Idem avec un moteur de recherche : manque de transparence dans le partage des données et leur durée de conservation

 

CNIL

  • 6 janvier 1978. Avant de sanctionner, elle conseille, contrôle…
  • Juridiquement parlant : autorité financée par fonds publics, mais prend des décisions indépendantes (veille au respect du domaine public !)
  • Président élu pour 5 ans. 200 employés : ingénieurs informatique, contrôleurs, …
  • 2013 : a instruit 100 000 déclarations de fichiers ; 5 600 plaintes reçues ; 2 542 délibérations ; 400 contrôles ; 14 000 correspondants informatique et libertés
  • Demande de liste article 38 : demande à adresser à la CNIL
  • Mission a posteriori = une fois le traitement mis en œuvre. Pouvoir de perquisition : voit comment fonctionne un fichier. Agit par plainte, par audit. Peut désormais faire des contrôles en ligne : regarde par exemple les Mentions Légales
  • Première délibération de la CNIL en 1995
  • 2002 : création des boîtes à SPAM (internautes se plaignant d’en recevoir trop)

 

La protection des données sur internet : un enjeu majeur de protection de vie privée

  • Nos données personnelles sont utilisées à notre insu, notamment via marketing ciblé => liens, bannières, publicités, …
  • Recherche Google historisée jusqu’à plusieurs mois !
  • Paiement par carte bancaire : les données s’échangent…
  • Mailing de prospection commerciale
  • « Donnée à caractère personnel » : info qui permet de nous identifier directement (âge, nom, …) ou indirectement (adresse IP, téléphone, …)
  • « Traitement de données » : opération permettant de classer, trier, réutiliser données personnelles. Souvent sur tableau Excel, lequel est soumis à réglementation CNIL
  • « Responsable de traitement » : engage sa responsabilité dans traitement des données. Souvent société responsable d’un site d’achat (donc personne physique)

 

La dimension internationale de la protection de données : la « privacy »

  • Le modèle européen de protection de données est unique au monde : loi harmonisée, semblable à celle de la CNIL en France
  • « Paradis de données » : pays où il n’y a pas de réglementation. Entreprises peuvent y stocker leurs données pour échapper à toute loi
  • Si on transfère données dans un pays sans réglementation équivalente => garantie contractuelle. La CNIL donne alors son accord ou pas
  • « Privacy » : protection des données (anglais)
  • Standards internationaux de protection de données :
    • Convention européenne de sauvegarde des droits de l’homme (1950)
    • Pacte international de l’ONU relatif aux droits civils et politiques (1966)
    • OCDE sur vie privée (1980, révisé en 2013)
    • Convention n° 108 du Conseil de l’Europe (1981, en cours de révision)
  • Affaire « PRISM » : les USA ont pris la liberté de faire des recherches chez les grands opérateurs d’internet. Dedans, infos sur citoyens américains… mais aussi européens et français !
  • G29 : réunion à Bruxelles de toutes les « CNIL » européennes. 29 renvoie à l’article 29 de la directive 95 sur la protection des données personnelles

 

Du numéro de sécurité sociale à Google : l’histoire de la réglementation « informatique et libertés » de 1978 à nos jours

  • Années 70 : passage de la mécanographie (machines avec fiches) à l’informatique
    • Préoccupations éthiques : qu’est-ce que l’Etat allait faire avec les données des citoyens
    • « Safari » : système du ministère de l’Intérieur qui veut connecter fichiers de police judiciaire avec autres administrations (Sécu, fisc, …)
  • Loi 6 août 2004 (révision de celle de 1978)
  • Enjeux nouveaux : renforcer les règles ?

 

 

SEMAINE 2

 

La cybersurveillance des salariés

  • Février 2015, jurisprudence : employeurs peuvent contrôler SMS non identifiés comme personnels échangés avec téléphone et ordinateur pro
  • Contrôle, oui, mais sous réserve de respect des libertés et de la vie privée. Trois principes à respecter :
    • finalité (si sécurité de l’entreprise en jeu)
    • proportionnalité
    • transparence (information préalable des salariés des dispositifs de contrôle ; idem auprès de la CNIL)
  • Si preuves obtenues par surveillance, mais que les salariés n’ont pas été informés au préalable : les preuves sont illicites et rendues sans valeur

 

Liberté d’expression

  • Par exemple, un employé se plaint de ses conditions de travail sans toutefois dénigrer son entreprise. Licencié… mais licenciement jugé abusif par justice
  • Sur réseaux sociaux : Quelle est la nature des propos ? Quel est le cercle de diffusion (limité = privé ; grand nombre de personnes = public) ? Importance de paramétrer la confidentialité de ses propos !
    • Espace public intègre le « mur » de la personne et le « mur » d’autres personnes sur lequel elle a publié. Le « mur » peut en effet être considéré comme un forum de discussion

 

Les droits d’accès, de rectification et d’opposition de l’internaute

 

Le droit à l’information préalable

  • Entreprise doit préciser finalité de la collecte de données, destinataires des données
  • Information forcément : écrite, facilement accessible, figurer en bas de tout formulaire de recueil de données
  • Sur cookies : on doit être informé que le site peut tenter d’accéder à nos infos
  • Ne pas confondre information et consentement, lequel signifie qu’on a donné son accord formel à la collecte des données (exemple : case à cocher)

 

Le consentement préalable en matière de marketing ciblé

  • Toute opération visant à « pister » la navigation de l’internaute afin de cibler ses centres d’intérêt et adapter les messages publicitaires
  • Directive de 1995 parle de « consentement » tandis que loi française parle d’ « accord »
  • Modalités d’accord via bandeau sur site internet. « Le bandeau ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation »
  • Exceptions à l’accord de l’internaute afin de faciliter navigation d’un point de vue « technique » :
    • cookies de panier achat
    • identifiants de session
    • authentification de l’internaute

 

 

SEMAINE 3

 

Paradis de données

  • Données hébergées offshore, hors du contrôle de l’Europe. L’utilisateur doit savoir où se trouve le lieu de stockage de ses données
  • Sous-traitance informatique : beaucoup dans pays à bas coût…
  • L’entreprise s’engage par contrat, ensuite approuvé par CNIL, à ce que le pays de stockage conserve nos données sous législation européenne. « Existence d’un transfert hors UE »
  • Affaire « PRISM »… PNR = données des passagers d’avion auxquelles les USA ont accès (conformément à la loi américaine sur le renseignement)

 

Jusqu’où peut-on aller dans la collecte des données ?

  • Article 6 de la loi I & L : « proportionnalité ». Stipule qu’on ne peut collecter que les infos strictement nécessaires / pertinence
  • Principe de collecte loyale et licite (article 6 I & L). Obligation de collecter loyalement les données auprès de l’internaute lui-même, non par le biais d’un tiers
  • 2011 : sanction de la CNIL contre Pages Jaunes, qui « aspirait » les données des réseaux sociaux pour les verser dans l’annuaire

 

Droit à l’oubli sur internet

  • Obligation de définir une durée de conservation des données. MAIS suivant le principe de proportionnalité : elles sont conservées le temps nécessaire
  • Mais la loi impose un délai de conservation minimum :
    • prescription civile (5 à 20 ans)
    • prescription commerciale (10 ans)
    • prescription fiscale (3 ans)
  • Données de trafic (ou de connexion) : adresse IP, durée, date, heure, lieu, … Directive européenne de 2002 pose le principe d’anonymisation des données. Mais conservation pendant un an chez opérateurs et fournisseurs internet
    • Ne pas confondre avec données de contenus = par exemple, contenu d’un mail
  • Droit au déréférencement : demander à un moteur de recherche de supprimer contenus nous concernant et encore accessibles

 

  • L’entreprise doit assurer sécurité et confidentialité des données
  • Adapter le niveau de sécurité au niveau de sensibilité des données

 

 

SEMAINE 4

 

Le correspondant « informatique et libertés » (CIL)

  • En 2004, la France rejoint la moitié des pays de l’UE ayant introduit le CIL
  • 14 000 institutions ont désigné un CIL, poste par ailleurs facultatif
  • Profil du CIL : souvent un juriste, responsable informatique, … Est approuvé par la CNIL sur demande de l’entreprise. Le CIL a un statut spécifique : salarié, prestataire de service (libéral). Mais doit garder son indépendance : ce n’est pas un salarié protégé
  • Pourquoi désigner un CIL ? Car il permet allège toutes les démarches d’une entreprise auprès de la CNIL : il s’en charge ! Le CIL met un registre de traitement

 

Droit de la consommation sur internet

  • Relatif au droit à la consommation : achats sur internet
  • Consommateur en ligne = internaute a un statut particulier. Voir loi 21 juin 2004, dite de « confiance dans l’économie numérique ». Voir aussi loi Hamon du 17 mars 2014
  • Réglementations spécifiques pour par exemple : jeux en ligne, banques virtuelles, sites de tourisme, …
  • Cybermarchand doit informer sur : caractéristiques, prix, date / délai de livraison, son identité (adresse postale, téléphone, nom du représentant, …)
  • Règle du « double clic » : on ne peut pas être engagé contractuellement / effectuer un paiement via un seul clic. Pour contrat supérieur à 120 € : le cybermarchand conserve copie du contrat pendant 10 ans
  • Droit de rétractation : 14 jours. On renonce à l’achat du bien ou du service. Le site marchand doit mettre à disposition une lettre type de rétractation. Seul le coût du renvoi est (parfois) à la charge du client internaute. Le site a alors 14 jours pour rembourser
  • Si on achète sur site étranger : la loi française entre en vigueur

 

Déclaration à la CNIL

  • Déclarer fichiers auprès de la CNIL AVANT de lancer collecte de données, faute de quoi ils n’ont aucune existence légale. Le site internet lui-même n’est pas déclaré
  • Exception pour sites exclusivement personnels (blogs…) : dispense de déclaration, sauf pour sites à fins professionnelles, politiques ou associatives

 

 

SEMAINE 5

 

Segmentation comportementale et prospection commerciale

  • Segmentation : utilisation des données clients pour déterminer des profils : bon client, à développer, VIP, … A chaque profil sa stratégie commerciale. On peut demander dans quel segment on se trouve
  • Prospection : l’entreprise doit avoir respecté au préalable la collecte loyale et licite ! Ce qui est interdit : envoyer des mails à des adresses trouvées au hasard sur internet
  • « Opt-out »: tant que l’internaute ne s’est pas opposé (droit d’opposition), le professionnel peut prospecter ou céder ses données à des tiers
  • « Opt-in »: règle du consentement préalable (en cochant une case par exemple)

 

Fichiers de lutte contre la fraude

  • Cybercommerçants mettent en place des « listes noires » : auteurs d’impayés, personnes à l’origine d’une fraude ou d’une tentative (usage de CB volée), … Pratique légale (!) pour protéger commerces et internautes
  • Fichier PREVENTEL : mutualisé entre tous opérateurs de téléphonie mobile. Fichier vérifié systématiquement lorsqu’on s’abonne : impayés ou fourniture de faux documents lors souscription. Si on paie impayé, on est supprimé du fichier

 

Droit à l’image

  • « Marketing de soi » : on communique soi-même sur sa propre vie
  • 300 millions de photos partagées chaque jour sur réseaux sociaux
  • Droit à l’image : voir aricle 9 du Code civil. « On ne peut exploiter l’image d’une personne qu’avec son autorisation expresse. »
  • Obligations du blogueur : collecte loyale et licite, principe de proportionnalité, mentions légales, … Mais dispense de déclaration à la CNIL

 

« Zones bloc-notes »

  • Zones de texte libre où l’on met généralement des commentaires sur le client. Pas interdit, mais usage encadré et surveillé. Pas de jugement de valeur, de propos sur le physique, … Pour limiter les choix, proposer un menu déroulant à celui qui édite le fichier
  • Elles ne sont pas la propriété privée du site internet : on a un droit d’accès
  • On peut écrire : « le client m’a insulté » (objectif). Mais on ne peut écrire « client grossier et insupportable » (principe de proportionnalité)

 

Commerce électronique / Fichier cliens / prospects

  • Prospect = client potentiel. Alors qu’un client a déjà acheté auparavant sur le site
  • Protection des données doit être assuré par le e-commerçant : par exemple par système d’authentification, par HTTPS (sécurité en plus), journalisation des accès obligatoire
  • Le client doit lire les CGU,et la politique de vie privée du site
  • IP tracking : l’adresse IP peut être utilisée dans un cadre marketing, MAIS pas dans le but de modifier le prix de vente. Exemple : prix d’un billet de train augmente au fil des visites = INTERDIT !

 

 

SEMAINE 6

 

Règlement européen

  • 25 janvier 2012, la Commission européenne a présenté un vaste projet de mise à jour du cadre existant avec une proposition de Règlement, qui devrait se substituer à la Directive cadre de 1995. Projet actuellement en cours au Conseil européen. Pourrait être adapté en 2015 pour mise en application en France dès 2017
  • Va réglementer notamment tous les sous-traitants informatiques qui ont peu d’obligations à ce jour
  • Principe de « minimisation » va être créé : ne pas aller trop loin dans collecte des données (proportionnalité) + collecter le minimum d’infos, ce qui est juste nécessaire

 

Sécurité informatique et failles de sécurité

  • « Faille de sécurité » : faiblesse qui va permettre des attaques soit sur le système, soit sur les infos qu’il contient
  • Cheval de Troie : virus installé sur appareil. Alors que l’internaute fait une action apparemment normale, le cheval de Troie s’active
  • Bombe logique : endommage plus lourdement les appareils, jusqu’à les rendre HS
  • Ecoute passive (« sniffing ») : écoute des données transmises par un canal de communication (ex : Wifi)
  • Faille USB : 50 % des clés contiennent des failles sur le plan matériel !
  • Attaque par déni de service : empêcher un site de fonctionner en l’inondant de requêtes
  • Méthode du point d’eau (« waterholing ») : mettre virus sur un site de sorte que tous ceux qui s’y connectent attrapent le virus
  • Usurpation d’identité :
  • Rançon logiciel : virus gelant des données sur notre ordi. On nous demande de payer une rançon pour les récupérer !

 

Moteurs de recherche

 

Réseaux sociaux