[PDF] COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTÉS

View - Download COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTÉS

Previous PDF

Next PDF

22
e rapport d'activité 2001

COMMISSION

NATIONALE DE

L'INFORMATIQUE

ET DES

LIBERTÉS

Édition 2002

CNIL 22

e rapport d'activité 2001 CNIL

COMMISSION

NATIONALE

DE L'INFORMATIQUE

ET DES LIBERTÉS

22e rapport

d'activité 2001 prévu par l'article 23 de la loi du 6 janvier 1978

En application de la loi du 11 mars 1957 (article 41) et du Code de la propriété intellectuelle du

1 er

juillet 1992, toute reproduction partielle ou totale à usage collectif de la présente publication

est strictement interdite sans autorisation expresse de l'éditeur.

Il est rappelé à cet égard que l'usage abusif et collectif de la photocopie met en danger l'équi-

libre économique des circuits du livre.

© La Documentation française - Paris, 2002

ISBN 2-11-005163-9

CNIL 22

e rapport d'activité 2001 3

Sommaire

Avant-propos 5

Chapitre 1

L'ANNÉE 2001 ET LA PROTECTION DES DONNÉES 7

Chapitre 2

LES INTERVENTIONS DE LA CNIL 39

Chapitre 3

LES DÉBATS EN COURS 97

Chapitre 4

LA PROTECTION DES DONNÉES EN EUROPE ET DANS LE MONDE 173

ANNEXES 185

Table des matières 355

CNIL 22

e rapport d'activité 2001 5

Avant-propos

Les premières années de l'Internet commercial et " grand public » ont été

marquées par de vifs débats. Le réseau international était-il " hors-loi » ? Fallait-il lé-

giférer ou s'en remettre à l'autorégulation. S'agissant tout particulièrement de la col- lecte et du traitement des données personnelles et des traces invisibles attachées à nos connexions, nos droits et principes pouvaient-ils s'appliquer avec quelque effecti- vité aux multiples usages de l'Internet ? En un mot, fallait-il, à l'heure de la " mondia- lisation numérique », remettre en cause le fondement de législations forgées en

Europe il y a plus de vingt ans ?

Le temps paraît venu de la maturité.

En témoigne d'abord l'universalisation des principes de protection des don- nées personnelles, tels que nous les connaissons en Europe. Avant de conclure les accords dits du safe harbor avec la Commission européenne, garantissant ainsi un niveau de protection adéquat aux données personnelles communiquées aux entrepri- ses adhérentes américaines, les États-Unis avaient adopté une loi destinée à protéger les mineurs à l'égard de la collecte et du traitement de leurs données personnelles (la loi COPPA). Dans le même temps diverses décisions de justice américaines ont consacré une place, jusqu'alors inédite, à la préoccupation des données personnelles. Le présent rapport annuel de la CNIL en rend compte, comme des initiatives prises par le Canada ou l'Australie pour étendre le champ de leur loi " informatique et libertés » aux fichiers des entreprises privées tandis que neuf pays

d'Europe centrale et orientale se sont dotés, en la matière, de législations comparables à

celles des États membres de l'Union européenne. Le temps de la maturité, c'est aussi, pour la CNIL, le temps de l'action. Qu'il s'agisse du sort du fichier des abonnés de Canal+ lors de la fusion Vivendi Universal, de la cybersurveillance sur les lieux de travail, de la diffusion sur Internet de déci- sions de justice sous leur forme nominative, de la constitution d'un système national d'informations sur les dépenses de santé rassemblant des données particulièrement sensibles, de la crainte d'un risque discriminatoire lié au traitement de l'information relative aux demandeurs de logements sociaux, de l'attention particulière qu'appelle la collecte de données auprès des mineurs, la Commission s'est efforcée, au travers de recommandations particulières ou de rapports d'ensemble rendus publics, de tracer des lignes et d'inviter à de nouvelles pratiques. Le chapitre de ce rapport consacré aux interventions de la CNIL sur ces sujets devrait contribuer à une meilleure connaissance des éléments de doctrine de la Commission et des orientations ainsi dégagées. Le temps de la maturité doit être également celui des débats dans lesquels, au-delà de l'attrait de la nouveauté technologique, sinon de l'exaltation des concepts, les enjeux soient posés aussi clairement qu'il est possible, et le soient pour le plus grand nombre. La Commission s'y est efforcée en abordant dans un chapitre

Avant-propos

6 CNIL 22

e rapport d'activité 2001

consacré aux " débats en cours », la question de " l'identité numérique », laquelle

doit d'abord être perçue comme un marché qui s'ouvre sous l'effet conjugué de la standardisation des protocoles et de la convergence, le défi de " l'administration électronique » dont un projet du ministère de l'Economie, des Finances et de l'Industrie préfigure, sous le programme " Copernic », quelques grandes tendances, mais aussi l'essor de la biométrie que les progrès technologiques et la baisse des coûts font sortir du champ policier auquel elle était jusqu'alors principalement can- tonnée. Les développements consacrés aux techniques de reconnaissance des visa- ges donnent la dimension des problèmes éthiques nouveaux auxquels nous pourrions être confrontés. Dans un tout autre domaine, la multiplication des fichiers communs de lutte contre la fraude, notamment au crédit, appelle sans doute à une intervention

législative, à défaut de laquelle le développement de véritables " listes noires » pro-

pices à de nouvelles formes d'exclusion sociale serait à redouter. D'importantes modifications législatives intervenues ces derniers mois paraissent également attester ce temps de la maturité dans des domaines aussi sensi- bles que le droit d'accès des malades à leur dossier médical, la consultation des fichiers de police judiciaire dans le cadre de certaines enquêtes administratives de

moralité des candidats à l'exercice de missions de sécurité ou de défense, l'extension

du fichier des empreintes génétiques à des fins criminelles ou la délicate question de la conservation des données de connexion à Internet. Les avis de la CNIL, lorsqu'ils

ont été sollicités sur ces projets, ont quelquefois été suivis ; ils ont toujours pesé.

L'essentiel, surtout après les événements si dramatiques du 11 septembre

2001, n'est-il pas que l'Europe, et la France parmi les premières, ait donné l'exemple

en instituant une autorité indépendante chargée de veiller aux incidences multiples des nouvelles technologies sur le respect de notre vie privée mais aussi sur les libertés individuelles ou publiques, comme le proclame l'article premier de la loi du 6 janvier

1978 ? Non pas qu'il s'agisse pour les États de déléguer le pouvoir de décision que

leur confère la légitimité démocratique. Pas davantage qu'il convienne de préférer l'expertise au débat public. Mais bien parce qu'il s'agit, dans des champs de plus en

plus divers, de positionner le curseur au plus juste de l'équilibre entre " sécurité » et

" liberté ». À cet égard nous devons nous réjouir que des États, de plus en plus nom-

breux, s'imposent de recueillir l'avis ou le sentiment d'une autorité moins directement soumise aux contingences du temps ou de l'opinion avant d'arrêter des décisions qu'il leur appartient de prendre. Tels étaient en tout cas les enseignements de la 23 e conférence internatio- nale des commissaires à la protection des données que la CNIL a accueilli à Paris du

24 au 26 septembre 2001 et qui, au moment où résonnait l'écho du monde, a témoi-

gné de cette commune conviction. Il reste à souhaiter que ce temps de la maturité permette, maintenant sans

tarder, que soit définitivement adoptée une loi " informatique et libertés » actualisée

et rénovée, transposant la directive européenne du 24 octobre 1995 et permettant à la Commission d'exercer les missions qui lui sont confiées avec la vigueur nouvelle qu'appellent les enjeux de notre temps.

Michel GENTOT

CNIL 22

e rapport d'activité 2001 7

Chapitre 1

L'ANNÉE 2001

ET LA PROTECTION

DES DONNÉES

I. LA CNIL EN CHIFFRES

A. Les saisines

Les articles 6, 21,22 et 39 de la loi du 6 janvier 1978 confient à la CNIL la mission d'informer les personnes de leurs droits et obligations, de tenir à leur disposi-

tion le registre des traitements déclarés (" fichier des fichiers »), de recevoir les récla-

mations, pétitions et plaintes, ainsi que d'exercer, à la demande des requérants, le

droit d'accès aux fichiers intéressant la sécurité publique et la sûreté de l'État.

Nature des

saisines

1995199619971998199920002001

Variation

2000/200

1

Demandes de droit

d'accès indirect

243320385401671817836+ 2,3 %

Plaintes 1 6362 0282 3482 6713 5083 3993 574+ 5,1 % Demandes de conseil 9851 0088211 1151 0611 049973- 7,2 %

Demandes de radiation

des fichiers commerciaux

26327726320418614494- 34,7 %

Demandes d'extraits

du fichier des fichiers

122170155154133208252+ 21,1 %

Total 3 2493 8033 9724 5455 55956175 729+ 2,0 %

L'année 2001 et la protection des données

8 CNIL 22

e rapport d'activité 2001 Au cours de l'année 2001, la CNIL a enregistré une augmentation : - des demandes d'exercice du droit d'accès indirect aux fichiers de police et de sécurité de + 2,3 %, et ce malgré la très forte croissance enregistrée les deux années précédentes (+67 % en 1999 et +21 % en 2000) ; - des plaintes de + 5,1 %, alors que leur nombre annuel a plus que doublé de- puis 1995 ; - des demandes d'extrait du " fichier des fichiers » de + 21,1 %, ce qui montre la volonté croissante des citoyens de connaître le sort des données les concer- nant, notamment en exerçant leurs droits d'accès ou de rectification. Par ailleurs, la nette baisse des demandes de radiation des fichiers commerciaux (-34,7 %) est certainement, pour partie, la conséquence de nombreuses années d'actions

de sensibilisation à la loi " informatique et libertés » menées dans le secteur du marketing.

De la même façon, la baisse de 7 % constatée sur les demandes de conseil est vraisemblablement la conséquence d'une meilleure information des déclarants grâce à la diffusion de plusieurs guides pratiques (santé, collectivités locales, Inter- net...), et en particulier leur mise en ligne sur le site web de la CNIL (www.cnil.fr). À cet égard, la fréquentation du site de la CNIL depuis sa création en 1998 a connu une progression exponentielle : le nombre de pages vues en 2001 atteint 13 millions contre 3,6 millions en 1999 et le nombre de visiteurs a été de 900 000 en

2001 contre 380 000 en 1999.

À titre de rappel, la CNIL a reçu depuis 1978 plus de 11 500 demandes de conseil et plus de 36 200 plaintes (au 31 décembre 2001). En 2001, les secteurs d'activité qui ont suscité le nombre le plus important de demandes de conseil sont, par ordre décroissant : - le travail ; - la santé ; - l'immobilier ; - la fiscalité. Les demandes de conseil portent le plus fréquemment sur les formalités préa- lables à la mise en oeuvre des fichiers. Les secteurs d'activité qui ont suscité en 2001 le nombre le plus important de plaintes sont, par ordre décroissant : - la prospection commerciale ; - la banque ; - le travail ; - les télécommunications. L'objet le plus fréquent des plaintes concerne l'exercice des droits, et tout particulièrement du droit d'opposition à figurer dans un traitement ou à faire l'objet de prospection commerciale (795 plaintes), mais également l'exercice du droit d'accès aux données (206 plaintes).

L'année 2001 et la protection des données

CNIL 22

e rapport d'activité 2001 9 L'instruction des plaintes peut conduire la CNIL à délivrer un avertissement ou à

dénoncer des faits au parquet, conformément à l'article 21 alinéa 4 de la loi du 6 janvier 1978.

En 2001, la CNIL n'a délivré aucun avertissement, ce qui maintient à qua- rante-sept le nombre d'avertissements émis depuis 1978. En revanche, la CNIL a transmis à la justice une affaire de divulgation sur Internet d'informations sensibles. Cela porte à dix-huit le nombre de dénonciations au parquet effectuées depuis 1978 (cf. infra chapitre 2, délibération n° 01-042 du 10 juillet 2001).

B. Le droit d'accès indirect

En application des articles 39 et 45 de la loi du 6 janvier 1978, toute per- sonne a le droit de demander que des vérifications soient entreprises par la CNIL sur les renseignements la concernant pouvant figurer dans des traitements automatisés et

des fichiers intéressant la sûreté de l'Etat, la défense et la sécurité publique. Aucun fi-

chier de cette nature n'échappe à de telles vérifications. Les investigations sont effec- tuées par les membres de la Commission appartenant ou ayant appartenu au Conseil d'État, à la Cour de Cassation ou à la Cour des comptes : c'est ce dispositif qui est communément appelé " droit d'accès indirect ». Depuis 1978, la CNIL a reçu 6 259 demandes de droit d'accès indi- rect qui ont donné lieu à plus de 10 000 investigations. La progression du nombre de requêtes constatée depuis 1996 se poursuit. Ainsi, 836 demandes ont été reçues en 2001, ce qui a conduit la CNIL à entreprendre plus de 1 400 vérifications, une même requête concernant souvent plusieurs traitements ou fichiers. ÉVOLUTION DES DEMANDES DE DROIT D'ACCÈS INDIRECT

DEPUIS 1995

1995 1996 1997 1998 1999 2000 2001

Requêtes 243 320 385 401 671 817 836

Évolution + 32 % + 20 % + 4% + 67 % + 22 % + 2,3 % À titre d'exemple, les requérants saisissent la CNIL : - à la suite d'un refus d'embauche ; - à la suite d'une enquête d'habilitation défavorable ; - à l'occasion d'une candidature à un emploi du secteur public ; - à la suite d'un refus de délivrance de visa ou de titre de séjour du fait de l'inscrip tion dans le système d'information Schengen ; - à la suite d'une interpellation par les services de police ou de gendarmerie ; - à la suite d'articles de presse sur les fichiers des Renseignements généraux et de police judiciaire ou d'informations diffusées sur des sites Internet décrivant les moda lités de droit d'accès aux fichiers de police.

L'année 2001 et la protection des données

10 CNIL 22

e rapport d'activité 2001 Au cours de l'année 2001, 1 411 vérifications ont été effectuées, dont 90 % ont été opérées dans les fichiers du ministère de l'Intérieur.

Ministère de l'Intérieur

- Renseignements généraux (RG) - Police judiciaire (PJ) - Police urbaine (PU) - Direction de la surveillance du territoire (DST) - Système d'information Schengen (SIS) - Direction de la sûreté et de la protection du secret (DSPS) 1 278 576
199
180
85
232
6

Ministère de la Défense

- Gendarmerie nationale (GEND) - Direction de la protection de la sécurité de la défense (DPSD) - Direction générale de la sécurité extérieure (DGSE) 131
67
32
32

Ministère des Finances

- Fichier nat. informatisé de documentation de la Direction générale des douanes et droits indirect (FNID) - Fichier TRACFIN (action contre les circuits financiers clandestins) 2 1 1 Total 1 411 Le résultat des investigations menées en 2001, qui à l'exclusion de celles relatives aux Renseignements généraux (576) et au système d'information Schengen (232) sont au nombre de 603, est le suivant : Services PJ PU DSTDSPSGENDDPSDDGSEFNIDTRACFINTotal du total

Pas de fiche 37 121 72 4 20 23 30 1 1 309 51,2%

Fiche sans

suppression d'informations

122 56 12 2 44 9 _ 245 40,6%

Suppression

totale ou partielle d'informations

18 3 1 _ 2 _ 1 25 4,2 %

Mise à jour

de la fiche

22 _ _ _ 1 _ 1 24 4,0 %

Total 199 180 85 6 67 32 32 1 1 603 100,0%

Les investigations menées dans les fichiers de police judiciaire et en particu- lier dans le système de traitement des infractions constatées (STIC) ont conduit la CNIL à faire procéder dans 25 % des cas à des mises à jour, ou même à la suppression de signalements erronés ou manifestement non justifiés (quarante saisines sur les 162 requérants fichés à la police judiciaire).

L'année 2001 et la protection des données

CNIL 22

e rapport d'activité 2001 11 Par exemple, une personne signalée par erreur comme auteur d'un meurtre, une jeune fille dont la fugue portée à la connaissance de la police par les parents avait conduit à son inscription dans le STIC ou encore un enfant de 7 ans signalé dans le STIC pour avoir jeté des cailloux sur un véhicule...

LES FICHIERS DES RENSEIGNEMENTS GENERAUX

Le décret du 14 octobre 1991 a fixé les modalités particulières d'exercice du droit d'accès aux fichiers des Renseignements généraux. Les membres désignés par la CNIL pour mener ces investigations peuvent, en accord avec le ministre de l'Intérieur, constater que la communication de certaines informations ne met pas en

cause la sûreté de l'État, la défense et la sécurité publique et qu'elles peuvent dès lors

être communiquées au requérant.

En pratique, trois situations peuvent se présenter :

1) Les Renseignements généraux ne détiennent aucune information nomina

tive concernant un requérant, la CNIL en informe ce dernier, en accord avec le ministre de l'Intérieur.

2) Les Renseignements généraux détiennent des informations nominatives

concernant un requérant ; les informations qui ne mettent pas en cause la sûreté de l'Etat, la défense et la sécurité publique lui sont communiquées, en accord avec le ministre de l'Intérieur. Dans l'hypothèse d'une communication totale ou partielle d'un dossier, le requérant a la possibilité de rédiger une note d'observation que la Com

mission transmet au ministre de l'Intérieur et qui est insérée dans le dossier détenu par

les services des RG.

3) Si la communication de tout ou partie des informations peut nuire à la

sûreté de l'État, la défense et la sécurité publique, le magistrat de la CNIL procède à

l'examen du dossier et s'il'y a lieu exerce le droit de rectification ou d'effacement des données inexactes ou des données dont la collecte est interdite par la loi. Le prési dent de la CNIL adresse ensuite au requérant une lettre lui indiquant qu'il a été procé dé aux vérifications conformément aux termes de l'article 39 de la loi du 6 janvier

1978. Cette lettre mentionne que la procédure administrative est close et indique les

voies et délais de recours contentieux qui sont ouverts au requérant. Il convient de préciser que les recherches portent tout à la fois sur le fichier informatique d'indexation, sur le dossier individuel, sur lés extraits de dossiers collec- tifs contenant des données nominatives sur les demandeurs, ainsi que sur les dossiers conservés dans les sections spécialisées de la Direction centrale des Renseignements généraux. Par ailleurs, lorsqu'un document de synthèse citant des personnes physi- ques est établi par les services des Renseignements généraux, une mention de ce document est faite dans le registre d'indexation des personnes physiques et si pos- sible dans les dossiers individuels des personnes concernées.

L'année 2001 et la protection des données

12 CNIL 22

e rapport d'activité 2001

BILAN DES 576 INVESTIGATIONS MENEES EN 2001

DANS LES FICHIERS DES RENSEIGNEMENTS GÉNÉRAUX

Investigations RG 2001

% du total des vérifications effectuées aux RGquotesdbs_dbs32.pdfusesText_38

[PDF] CRÉDIT AGRICOLE ASSURANCES

[PDF] Programme de mentorat

[PDF] Evaluation des propositions sur les micro-entreprises

[PDF] COUR DE CASSATION R E P U B L I Q U E F R A N C A I S E. Audience publique du 6 octobre 2011 Cassation sans renvoi M. CHARRUAULT, président

[PDF] Le Crédit Agricole et le Financement de l Agriculture

[PDF] Protocole d Aide au Permis de Conduire

[PDF] VACATAIRE ENSEIGNANT 2015-2016

[PDF] Nous parlons de tout. Aussi de santé et de maladies psychiques. Informations et conseils pour en parler

[PDF] Communiqué de presse Paris, le 14 décembre 2011 * * *

[PDF] Les Très Petites Entreprises du secteur Construction en Rhône-Alpes

[PDF] «10 000 permis pour réussir» RAPPORT D EVALUATION QUALITATIVE ASDO ÉTUDES

[PDF] Qu est ce qu un tuteur et qu est ce qu un administrateur ad hoc?

[PDF] LA REFORME DES PRESCRIPTIONS CIVILES

[PDF] sitifs modulaires Dispositifs modula

[PDF] 7 mai 2013. Résultats du 1 er trimestre 2013