Aller au contenu
United States of Security

De Informatique et Libertés au RGPD (épisode 1)

·1151 mots·6 mins·
Sécurité IT Données personnelles GDPR RGPD
Auteur
Cyril Amar
RSSI la journée, secouriste la nuit, un peu de protection des données personnelles entre les deux.
Sommaire

Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès, de rectification et de suppression des données vous concernant.

Combien de fois l’avez-vous lue, ou en tout cas survolée ? Cette petite phrase est présente partout. En quelques mots, elle présente les principaux droits que chaque individu possède sur ses données. Mais d’où vient-elle ?

Les origines

L’arrivée de l’ordinateur, et sa démocratisation, est à l’origine de nombreux progrès, qu’ils soient techniques ou technologiques, sociétaux, etc. De nouveaux usages sont apparus, profitant de l’automatisation qu’apporte ce fameux ordinateur. De tous ces usages, on en retiendra ici qu’un seul : la possibilité de collecter des données, de les stocker, et d’y faire des recherches dans des fichiers. Oh ce n’est pas nouveau en soit : le service du Casier judiciaire, apparu en 1848 en France collectait, stockait et recherchait sur des fiches cartonnées.

Non, ce qui est nouveau, c’est que désormais, le magistrat qui souhaite un extrait du Casier d’un individu n’a plus besoin d’attendre plusieurs jours qu’un opérateur recherche manuellement la fiche correspondante, avec tous les risques d’erreur. C’est beau le Progrès, non ?

Mais chaque médaille a son revers, et les avantages de l’informatisation ont rapidement donné lieu à la multiplication des fichiers. Avec le temps, les politiciens ont eu une grande idée, qu’ils ont encore aujourd’hui : croiser les fichiers.

SAFARI

En 1974, le ministre de l’Intérieur Michel PONIATOWSKI a donc eu cette grande idée de rassembler tous les fichiers des administrations françaises. Le résultat, le Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus (SAFARI), aurait centralisé toutes les informations que l’État possède sur tous les Français : numéro de Sécurité Sociale, données fiscales, permis en tout genre, casier judiciaire, diplômes publics, etc.

Lorsque l’information fuita dans la presse1, elle souleva un tollé dans l’opinion publique.

SAFARI, ou la chasse aux Français

— Le Monde, 21 mars 1974

Devant le scandale, le Premier ministre Pierre Messmer retira le projet, et dans la foulée lança les travaux d’une Commission dite Informatique et Libertés (on y arrive !). Elle sera chargée de définir un cadre à l’utilisation de l’informatique dans le traitement de ce qu’on appelait à l’époque des « informations nominatives ». Trois ans plus tard, le 17 novembre 1977 s’ouvrait au Sénat le débat sur ce le projet de loi Informatique et Libertés.

Logo CNIL
Logo CNIL
La suite appartient à l’Histoire : avec l’approbation des deux Chambres du Parlement, la Loi Informatique et Libertés entre en vigueur le 6 janvier 1978, signant ainsi l’acte de naissance de la Commission Nationale de l’Informatique et des Libertés. Avec ce texte, la France rejoint le peloton de tête des défenseurs des libertés individuelles2 (avec un canton allemand et la Suède). C’est encore sur la base de ce texte que la France fera adopter par le Conseil de l’Europe la Convention de Protection des Données en 1981. Et malgré quelques ajustements avec le temps (notamment 2004 et l’apparition de l’expression « données à caractère personnel »), c’est toujours sur ce texte que s’appuie la CNIL, garante de nos libertés et nos droits dans notre société de l’information.

Loi Informatique et Libertés

Que dit-elle ?

Son article premier en résume bien la teneur :

L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi.

Loi Informatique et Libertés, article 1er

Elle pose ensuite quelques définitions (article 2).

  • Constitue une DCP « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
  • Constitue un traitement de données « toute opération ou tout ensemble d’opération portant sur [des DCP], quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».
  • Constitue un fichier de données à caractère personnel « tout ensemble structuré et stable de donnés à caractère personnel accessible selon des critères déterminés ».

Sans oublier le périmètre d’application : tout traitement automatisé ou non de données à caractère personnel, à l’exception de ceux mis en œuvre dans un cadre exclusivement personnel. Votre carnet d’adresse personnel est donc bien légal !

On rentre ensuite dans le vif du sujet, avec les conditions de licéité des traitements de DCP. Je ne détaille pas ici, tout est très bien écrit au chapitre II de la loi. Retenons qu’un traitement est licite s’il obtient le consentement de la personne concernée ou rentre dans certaines catégories d’exceptions. Retenons également que certaines données personnelles dites sensibles ne peuvent pas faire l’objet d’un traitement. C’est le cas de :

  • l’origine raciale ou ethnique
  • les opinions politiques, philosophiques ou religieuses,
  • l’appartenance syndicale,
  • la santé,
  • la vie sexuelle.

Il existe quelques exceptions : c’est ainsi que votre médecin peut légalement vous demander ce qui vous amène à sa consultation, que les services d’urgence hospitaliers peuvent consulter votre dossier médical même si vous êtes dans le coma, ou encore qu’un syndicat peut constituer sa liste d’adhérents.

Le chapitre XII pose l’interdiction de transfert des DCP vers un État hors Communauté européenne si cet État n’assure pas un niveau de protection suffisant. On en a déjà parlé dans les articles liés au Safe Harbor.

Enfin, les sanctions. La loi Informatique et Libertés joue sur deux tableaux : des sanctions administratives d’un côté pouvant aller jusqu’à une sanction de 3 000 000 euros, et des sanctions pénales. Les infractions à la loi I&L sont en effet prévues et réprimées par les articles 226-16 à 226-24 du code pénal. Le législateur n’a pas fait preuve d’originalité : la sanction est à chaque fois plafonnée à cinq ans d’emprisonnement et 300 000 euros d’amende.

On touche ici du doigt une limite du texte : si 300 00 euros ont un effet dissuasif sur la supérette du bas de la rue, c’est en revanche très insuffisant face à des géants comme le quintet habituel des GAFAM. Pour eux, la tentation est forte de le considérer comme le (faible) prix à payer pour pouvoir faire ce qu’ils veulent de nos données. C’est, entre autre, pour régler ce souci que l’Union Européenne a écrit le Règlement Général de Protection des Données.

Mais ce sera pour l’épisode 2 !

  1. grâce à des informaticiens du ministère de l’Intérieur, que l’on appellerait aujourd’hui des lanceurs d’alertes ↩︎

  2. vieille tradition, me souffle-t-on ↩︎

Articles connexes

De Informatique et Libertés au RGPD (épisode 2)
·1912 mots·9 mins
Sécurité IT Données personnelles GDPR RGPD

Un Fichier pour les gouverner tous, un Fichier pour les trouver, un Fichier pour les amener tous et dans les ténèbres les lier. > > — Ministre de l’Intérieur, 1974 (citation approximative)

Ainsi naquit la loi Informatique et Libertés, quatre ans plus tard.

Depuis, elle a rendu bien des services, et a été modifiée quelques fois pour la remettre au goût du jour. Mais de plus en plus, on s’aperçoit qu’elle a atteint ses limites face à l’appétit vorace des industriels de la DCP, qui en plus pour certains ont le mauvais goût de ne pas être représentés juridiquement sur le territoire national.
Décision d’adéquation pour les USA
·1908 mots·9 mins
Sécurité IT CJUE CNIL Commission européenne Données personnelles GAFAM Privacy Shield RGPD Schrems Trans-Atlantic Data Privacy Framework
On l’attendait depuis l’arrêt Schrems II, la Commission européenne a rendu une décision d’adéquation des USA au regard du RGPD. Véritable avancée ou nuage de fumée ?
De l’intérêt de la Privacy pour Madame Bismuth
·2525 mots·12 mins
Sécurité IT CNIL Données personnelles Privacy RGPD Vie privée

On a parlé du cadre législatif et réglementaire, on a abordé les impacts pour les entreprises et on a survolé les conséquences du RGPD pour un citoyen européen.
Mais dans la vraie vie, qu’est-ce que cela change, et pourquoi est-ce important ? Surtout que vous, vous n’avez rien à cacher !