Actualités et revue de presse autour du correspondant informatique et liberté


Actualités et informations autour des données, du respect de la vie privée, de la confidentialité et des nouvelles technologies...

Interview de M. Leclerc pour le magazine "Expertises des Systèmes d'Information" n°368, avril 2012

Cliquez pour télécharger le pdf

La Cnil fait respecter le droit à l'oubli par les banques

01.net le 12/3/10 http://www.01net.com/editorial/513878/la-cnil-fait-respecter-le-droit-a-loubli-par-les-banques/

La commission impose plus de transparence concernant le fichage des personnes soumises au retrait de leur carte bancaire.

En cas de problème de paiement, c'est connu, les banques peuvent vous retirer l'usage de votre carte bancaire. Dans ce cas, votre nom est inscrit dans une rubrique spéciale d'un fichier de la Banque de France, le fichier central des chèques (FCC), c'est connu aussi. Ce qui l'est moins, c'est ce qu'il advient de ce fichage une fois que vous avez réglé votre problème.

C'est pour cela que la Commission nationale de l'informatique et des libertés (Cnil) demande depuis plusieurs années aux banques plus de transparence. Et elle a récemment obtenu d'elles qu'elles se conforment à des règles en la matière et soient plus rigoureuses dans la gestion des informations, au nom du droit à l'oubli.

« La durée d'inscription au FCC était laissée au bon vouloir de l'établissement, note-t-on à la Cnil. Des gens qui avaient régularisé leur situation bancaire pouvaient continuer d'y figurer. Et puis les gens étaient mal informés, ils ne savaient même pas forcément qu'ils étaient fichés. » La Cnil a donc voulu faire un peu de ménage (voir le détail sur son site).

Désormais, les banques ont l'obligation de demander à la Banque de France, dans un délai de deux jours ouvrés, de retirer le nom des personnes qui ont régularisé leur situation. Celles-ci doivent être informées de la procédure, immédiatement et par écrit.
Des « défichages tardifs » déjà dénoncés en 2005

La Cnil impose également l'envoi d'un courrier d'information au client sur le point de se faire retirer sa carte bancaire. Il faudra que la banque y indique précisément le montant des sommes qui ont conduit à cette procédure et les frais bancaires associés.

Le courrier doit aussi mentionner la possibilité de régler le problème pour éviter ce retrait et la date à laquelle ce dernier sera signalé à la Banque de France si le client ne régularise pas son cas à temps.

A présent que ces règles sont clairement définies, la Cnil est habilitée à infliger des sanctions si elles ne sont pas respectées et qu'un client lui adresse une plainte. Et, en la matière, les recours ne sont pas rares. En avril 2005, la Cnil dénonçait déjà des inscriptions non justifiées dans les fichiers de la Banque de France et des « défichages tardifs ».

Cette initiative de la Cnil correspond à sa préoccupation de voir respecter le droit à l'oubli, un principe qui a fait l'objet, en novembre 2009, d'un colloque organisé par le secrétariat d'Etat au Développement de l'économie numérique et que des sénateurs proposent de garantir par une loi.

Il reste que ces nouvelles obligations pour les banques ne concernent que le retrait de carte bancaire, pas les situations d'interdit bancaire ni les inscriptions au fichier national des incidents de remboursement des crédits aux particuliers (FICP).

Le décret sur le traitement automatisé de données à caractère personnel prévu par l'Hadopi a été publié au Journal Officiel. 

Maxisciences.com - 8 mars 2010

Ce décret relatif au "système de gestion des mesures pour la protection des oeuvres sur Internet" précise la nature des données personnelles qui seront collectées par les ayants droit et les fournisseurs d'accès Internet (FAI) avant d'être conservées par la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi). Ces données seront utilisées pour identifier les internautes suspectés de téléchargement illégal et seront archivées pendant deux mois au minimum, et vingt mois au maximum.Les ayants droit engageront des sociétés spécialisées pour recueillir les données suivantes : la date et l'heure des faits, l'adresse IP des abonnés concernés, le Protocole P2P utilisé, le pseudonyme de l'abonné, des informations relatives aux oeuvres ou objets concernés par les faits, le nom du fichier tel que présent sur le poste de l'abonné (le cas échéant), le FAI auprès duquel l'accès a été souscrit.De leur côté, les FAI devront fournir à l'Hadopi : les noms et prénoms des internautes suspectés, leurs adresses postales et électroniques, leurs coordonnées téléphoniques et l'adresse de leur installation téléphonique. La Haute autorité utilisera ces données pour envoyer les avertissements prévus dans le cadre de la loi de lutte contre le téléchargement illégal. Elle devra également gérer la conservation des informations personnelles qui durera au minimum deux mois, même dans le cas où aucun mail d'avertissement n'aura été envoyé à l'internaute. Si un premier mail est bien envoyé, le délai de conservation passera à 14 mois, puis à 20 mois si une lettre recommandée est envoyée, cette dernière représentant la dernière étape de la riposte graduée avant la coupure de la connexion Internet.

L'Allemagne censure la surveillance du Net et du téléphone

La conservation des données de connexion (”logs“) a été jugée anticonstitutionnelle, ce mardi 2 mars, par la cour constitutionnelle allemande.

La loi, adoptée en 2008, obligeait les fournisseurs d'accès à l'internet, et les prestataires de téléphonie, à conserver les traces de ce que font leurs abonnés sur les réseaux de télécommunication (y compris leur géolocalisation), pendant 6 mois.

Elle visait à transposer la directive européenne sur la conservation des données, adoptée en 2006, afin de :

    * pouvoir tracer et identifier la source d'une communication;
    * pouvoir tracer et identifier la destination d'une communication;
    * pouvoir identifier la date, l'heure et la durée d'une communication;
    * pouvoir identifier le type de communication;
    * pouvoir identifier la machine utilisée pour communiquer;
    * pouvoir identifier la location des équipements de communication mobile.

A l'époque, le Comité des libertés civiles, Justice et Affaires intérieures du Parlement européen avait recommandé de ne l'autoriser qu'en cas de mandat judiciaire et de la limiter aux seuls crimes graves, de ne transférer les données aux autorités nationales que sur demande expresse, et au cas par cas, recommandations qui n'avaient pas été prises en compte par la Commission européenne.

La cour constitutionnelle allemande a pour sa part estimé que la loi n'était pas suffisamment transparente, qu'elle violait le secret des correspondances et n'encadrait pas suffisamment l'utilisation qui serait faite de ces données, que les mesures de sécurité censées les protéger étaient insuffisantes, que les motifs invoqués (la lutte contre la criminalité, le terrorisme et les menaces en terme de sécurité) n'étaient pas suffisamment clairs, ni proportionnés en terme de protection de la vie privée, et appelle donc à une destruction “sans délai” des données d'ores et déjà archivées.

Elle a également estimé qu'il s'agissait là d'une “intrusion particulièrement sévère (dans la vie privée, ndlr), d'une ampleur que notre système légal n'avait jamais connu jusqu'à ce jour“.

L'agence AP souligne que la cour constitutionnelle allemande n'a pas contesté la nécessité de la directive européenne mais précisé que le problème tenait davantage à son interprétation par le parlement allemand.

Près de 35 000 personnes, dont plusieurs personnalités politiques, journalistes, avocats, médecins, avaient saisi la cour constitutionnelle à ce propos, dans ce qui constitue le plus important recours collectif (”class action“) de l'histoire allemande.
Trois pays considèrent la cybersurveillance comme contraire à leurs constitutions

Les cours constitutionnelles de Bulgarie et de Roumanie avaient elles aussi considéré comme anticonstitutionnelles la législation sur la conservation des données de connexion, l'Irlande ayant, quant à elle, déposé plainte contre la directive de 2006 devant la Cour européenne de justice.

En décembre dernier, deux organisations de défense des libertés, l'association européenne EDRI (European Digital Rights) et le groupe de travail allemand sur la rétention de données (AK Vorrat) appelaient l'Union européenne à abroger la directive de 2006 sur la rétention des données de communication (2006/24/EC).

    « EDRI et ses membres mènent des campagnes depuis plusieurs années contre cette directive, sur la base du fait qu'une telle rétention de données est nécessairement un acte arbitrairement intrusif.

    Les données de communication sont bien plus que de simples journaux de communication comme dans le cas de la téléphonie fixe, révélant à qui et quand nous avons téléphoné.

    Les données de trafic permettent maintenant de produire de véritables cartes des relations interpersonnelles, des activités et des intentions des personnes », rappelle au nom d'EDRI la présidente d'IRIS, Meryem Marzouki.

    « Avec la mise en place croissante de bases de données massives au niveau national, et les projets actuels tendant à leur interopérabilité au niveau de l'Union européenne et à leur plein accès pour des objectifs de police, la directive sur la rétention des données ouvre la voie à de futures extensions de finalités, où des données auparavant collectées pour les besoins de la fourniture d'un service deviennent utilisées pour la surveillance des citoyens et leur contrôle social, quand il ne s'agit pas d'objectifs de renseignement. Cela n'est pas acceptable dans une société démocratique, et il faut y mettre fin immédiatement ».

En France, les particuliers peuvent eux aussi désormais saisir le Conseil constitutionnel

Ce jugement de la Cour constitutionnel allemande intervient alors que, depuis le 1er mars, tout justiciable peut désormais contester une loi et en demander l'abrogation en saisissant indirectement le Conseil constitutionnel à l'occasion d'un procès, saisine baptisée « question prioritaire de constitutionnalité » dont la procédure, cela dit, relèverait du parcours du combattant.

En décembre 2001, suite à l'adoption, en urgence, de la Loi Sécurité Quotidienne (LSQ) par le gouvernement Jospin qui, au lendemain des attentats du 11 septembre 2001, décida, bien avant la directive européenne, de placer l'internet sous cybersurveillance, des dizaines de collectifs et associations de défense des droits de l'homme avaient ainsi préparé une Saisine citoyenne du Conseil constitutionnel.

Le sénateur socialiste Michel Dreyfus-Schmidt, au moment de voter la LSQ, avait lui-même reconnu, avec un lapsus lourd de sous-entendus, le caractère anticonstitutionnel de cette loi, qui n'en a pas moins servi de socle pour une partie de la vingtaine de lois sécuritaires adoptées depuis lors : « Il y a des mesures désagréables à prendre en urgence, mais j'espère que nous pourrons revenir à la légalité républicaine avant la fin 2003 » (date à laquelle un rapport devait être fait pour estimer la pertinence, ou non, de la LSQ).

L'eurodéputée Alima Boumediene-Thiéry et le sociologue Fabien Jobard, de leur côté, dénonçaient la façon cavalière qu'avait eu le Parlement d'adopter cette LSQ :

    Plutôt que de prendre les quelques jours nécessaires au débat parlementaire et au contrôle par le juge, le gouvernement a préféré marchander avec les parlementaires la non saisie du Conseil constitutionnel, et clore par une manigance d'alcôve des manoeuvres procédurales indignes des textes qu'il a fait adopter. La sécurité est-elle élevée, comme on le voulait, au rang de bien public ? Non : le gouvernement préfère en faire sa petite chose, camouflée par des procédures iniques, couvertes d'un voile de honte.

En France, précise la CNIL, les opérateurs de communications électroniques sont tenus de conserver les données relatives au trafic pendant un an, et les opérateurs ne doivent conserver que “les seules données techniques” :

    * informations permettant d'identifier l'utilisateur [par exemple : adresse IP, numéro de téléphone, adresse de courrier électronique] ;
    * données relatives aux équipements terminaux de communication utilisés ;
    * caractéristiques techniques ainsi que de la date, de l'horaire et de la durée de chaque communication ;
    * données relatives aux services complémentaires demandés ou utilisés et à leurs fournisseurs ;
    * données permettant d'identifier le ou les destinataires de la communication.
    * ils n'ont aucune obligation de constitution de fichiers nominatifs des utilisateurs : les organismes fournissant une connexion Wi-Fi peuvent choisir d'offrir cette prestation sans procéder à l'identification des personnes. Ils ne sont alors tenus que de détenir les données techniques créées par l'utilisation de leurs services ;
    * ils ne peuvent conserver les informations relatives au contenu des communications : le texte d'un SMS, l'objet d'un e-mail…

Lu sur http://bugbrother.blog.lemonde.fr/2010/03/02/la-cybersurveillance-est-anticonstitutionnelle-en-allemagne/ - 02/03/10

Sentinelles de l'informatique

Lemonde.fr 5/01/10 Franck Johanes

Il a sorti son costume du dimanche qui le serre un peu et il sue à grosses gouttes. Richard S. sait qu'il joue sa chemise dans l'histoire. Les voilà. Les trois jeunes gens, parfaitement courtois et sérieux comme des papes, se présentent d'une voix douce et lui tendent leur lettre de mission : ce sont les contrôleurs de la Commission nationale de l'informatique et des libertés (CNIL).
Ils viennent vérifier le système bluetooth installé par la mairie de Rennes : sept bornes, disséminées dans la ville, envoient un message sur les portables lorsqu'on passe devant. Moins de 5 % des gens acceptent, et subissent pour leur peine un long monologue sur le dernier conseil municipal.
Richard S. a décroché le marché, mais sa petite entreprise peine à décoller et il n'en peut plus de négocier toutes les semaines avec les banques. Il a déjà eu un contrôle de la direction centrale du renseignement intérieur (DCRI, l'ex-DST), et l'a trouvé "moins pénible que celui de la CNIL". C'est que la commission a minutieusement exploré les interfaces du site, multiplié les copies d'écran, vérifié la durée de conservation des données.
La mairie et son prestataire vont recevoir une mise en demeure, comme dans 90 % des contrôles, avec des recommandations classiques : le fichier doit être déclaré, puisqu'il s'agit du traitement d'informations personnelles ; les bornes doivent signaler aux passants qu'ils peuvent accéder à leurs données personnelles et la sécurité informatique doit être renforcée. Richard S. s'éponge le front. Rien de bien méchant. L'équipe de la CNIL s'en retourne à Paris, rue Vivienne, dans l'hôtel particulier de la commission.
L'immense majorité des contrôles de la CNIL - plus de 200 par an, presque tous inopinés - se passe paisiblement. Judicaël Phan, auditeur de ce service, se souvient avoir dû, un jour, appeler la police parce que le responsable d'une société de spams menaçait de se jeter par la fenêtre. L'informaticien de l'équipe, lui, s'est vu claquer la porte au nez un matin. L'après-midi, "il n'y avait plus de lumières. Il a fallu travailler dans le noir, pour ne pas que les salariés voient le contrôle, rigole Julien Drochon. Avec un huissier pour nous surveiller..."
C'est que la CNIL, née en 1978, n'est plus toujours en retard d'une avancée technologique. La loi du 6 août 2004 lui a donné un pouvoir de contrôle et de sanction, la possibilité d'autoriser la création de fichiers sensibles. Mais 90 % de ses délibérations et décisions concernent aujourd'hui le privé.
La moyenne d'âge de ses 120 agents tourne autour de 35 ans, exception faite des 17 commissaires, membres du Parlement ou chenus représentants de grands corps de l'Etat. Les petits jeunes ont un enthousiasme intact. "On a une vraie vocation à travailler ici, résume Xavier Delporte, le représentant syndical. On n'est pas d'accord sur tout, mais on est passionné. Qui a la chance aujourd'hui de faire un métier comme ça ?" Les juristes comme les informaticiens gagneraient plus ailleurs, mais ont le vif sentiment de "défendre les libertés".

"Nous avons profondément changé, se réjouit Yann Padova, le secrétaire général de la commission. Depuis la loi de 2004, nos délibérations ont augmenté de 765 %, nos contrôles sur place de 1 534 %." Les effectifs ont augmenté de 65 % et la CNIL, avec un budget de 13 millions d'euros, se hisse peu à peu au niveau de ses homologues européens. En bataillant contre le Parlement qui, chaque année, entend réduire les crédits des autorités administratives indépendantes, et elle vient encore d'éviter une disparition pure et simple.
La visite commence à "la salle des machines", le service d'orientation et de renseignement du public (SORP). On explique au téléphone comment déclarer des fichiers, et résoudre mille problèmes du quotidien. "Beaucoup se plaignent de la publicité, des spams, ou du fichage des banques, explique Emilie Passemard, chef du service. La surveillance des salariés, surtout, est devenue un gros pôle de préoccupation." En 2008, les 15 personnes du SORP ont absorbé 25 000 courriers et 78 000 appels. Les affaires plus épineuses vont jusqu'à la direction des affaires juridiques.
La CNIL reçoit 4 500 plaintes par an. Un courrier suffit souvent à régler le problème, "quand on sent qu'il y a risque de destruction de preuves, on envoie le service des contrôles", explique Florence Fourets, directrice des relations avec les usagers. Et si les mises en demeure restent sans effet, l'affaire arrive devant la formation restreinte de la commission, devenue de facto une juridiction. L'entreprise, accompagnée de ses avocats, vient plaider son dossier, elle peut se voire infliger jusqu'à 150 000 euros d'amende. Trois entreprises ont ainsi écopé de 30 000 euros en 2008.
Pour ne pas se laisser promener, la CNIL s'est dotée d'un service expertise dirigé par un ingénieur en télécommunications, docteur en informatique, qui répond au noble patronyme de Gwendal Le Grand. "Le succès pour nous, c'est lorsque les industriels viennent nous consulter en amont sur la sécurité de leurs systèmes, explique le jeune cadre (34 ans). Ça leur permet de développer des projets, dont on vérifie qu'ils protègent effectivement les libertés." Il a rassemblé une équipe de haut niveau qui se passionne - et s'inquiète - du développement des nanotechnologies, a tourné un petit film amusant pour montrer comment contourner les accès par identification d'empreinte digitale. L'équipe se targue d'avoir fait avancer un mastodonte comme Google sur la durée de conservation des données. Et propose des solutions techniques aux commissaires, qui prennent encore souvent une souris pour un mulot. "Notre métier, c'est de comprendre techniquement et d'expliquer simplement", sourit M. Le Grand.
C'est avec les fichiers de police que la mission de la CNIL est la plus éprouvante. D'abord parce qu'ils se multiplient (une soixantaine à ce jour) dans une indifférence parlementaire quasi totale, ensuite parce qu'on ne demande pas à la CNIL si les textes du gouvernement sont opportuns mais s'ils sont conformes à la loi. Difficile exercice, où les rugueuses négociations avec les ministères régaliens n'apparaissent guère, et la commission donne parfois l'impression d'avaler son lot annuel de couleuvres. Ainsi pour la loi Hadopi, vertement critiquée par la CNIL, qui a fini par être votée par son président Alex Türk, sénateur du Nord : il a considéré qu'une partie suffisante des réserves de la commission avait été levée.

"Il ne nous appartient pas de dire si c'est bien ou mal, explique Alex Türk. Nous rendons des avis motivés et circonstanciés pour souligner tel ou tel problème, ce qui exclut tout manichéisme. C'est un travail d'orfèvre : on peut admettre qu'il est nécessaire, avec la biométrie, de restreindre les libertés dans un aéroport, mais pas dans une cantine scolaire. Nous ne sommes pas pour ou contre la biométrie, ça n'a pas de sens. Et ça n'est pas facile à faire passer."
La loi informatique et libertés accorde aux citoyens un "droit d'accès indirect" aux fichiers de police, mais il faut s'armer de patience. "C'est ingrat, reconnaît Bérangère Monegier du Sorbier, la chef de service. Les "demandeurs" reçoivent un accusé de réception dans les dix jours et n'entendent plus parler de nous pendant deux ans. La durée de la procédure est insupportable." 2 500 demandes arrivent chaque année et donnent lieu à 7 000 investigations : il faut rassembler les procédures, éparpillées dans toute la France pour les Renseignements généraux, interroger les fichiers centralisés, puis les parquets pour connaître les suites judiciaires, et ils (elles) ne sont que quatre pour abattre le boulot.
La CNIL répète que le principal fichier de police, le gigantesque Système de traitement des informations constatées (STIC, 28,3 millions de victimes, 5,5 millions d'auteurs) est truffé d'erreurs. En 2008, la commission a rectifié 66 % des dossiers, en a fait supprimer 17 % ; seuls 17 % d'entre eux étaient exacts, soit un taux d'erreur de 83 %. Des erreurs qui restent gravées dans le marbre. "Un million de personnes ont besoin d'un agrément pour travailler, explique Mme du Sorbier. Il suffit qu'ils soient fichés au STIC pour ne pas obtenir leur emploi."
Emmanuel de Givry, conseiller à la Cour de cassation, est l'un des magistrats chargé d'exercer ce "droit d'accès indirect". Il est bavard, charmant et enthousiaste. "C'est une chance inestimable d'être là, sourit le juriste, les matières traitées par la CNIL me rajeunissent." Il a rendez-vous ce jour-là rue des Saussaies avec deux discrètes policières ; on épluche quelques dossiers, que le magistrat fait rectifier. "Ils nous montrent ce qu'ils veulent, évidemment, convient M. de Givry, mais on a contrôlé le fichier et été agréablement surpris qu'ils aient si bien joué le jeu."
Le magistrat décide de ce qui est communicable à l'intéressé. Pour les fameuses fiches RG, c'est toujours décevant. Tel élu, approché par la DST parce qu'il était souvent allé en Chine, se croyait "un peu dans la ligne de mire ". Dans son dossier RG, il y avait le nom de ses parents et une erreur sur le prénom de sa mère. Amère déception, il n'était même pas fait mention de sa couleur politique.
Un journaliste retraité, auteur angoissé d'un papier qu'il pensait au vitriol sur un ministre, a découvert dans son dossier trois notes de 1972 et la photocopie d'un entrefilet qu'il avait commis vers 2003. "On taperait mon nom sur Google, il y en aurait mille fois plus, se désole le vieux monsieur. Il n'y a même pas de quoi faire une "nécro" là-dedans." Que fait la police ?

Un salarié peut-il stocker des photos pornos ?


Un employeur découvre un stock de photos pornos sur l'ordi d'un salarié et le licencie. La Cour de cassation (8 décembre 2009, N° 08-42097) déclare ce licenciement abusif.
C'est l'histoire d'un technicien d'études et méthodes, embauché par Peugeot Citroën le 2 novembre 1994. Une relation de travail à laquelle il a été brutalement mis fin le 12 juillet 2002, par licenciement. Motif : « Le 26 juin 2002, lors d'un contrôle des postes informatiques en votre présence et celle d'un huissier de justice, nous avons découvert qu'à l'occasion de votre travail, vous aviez conservé sur le disque dur de votre poste informatique un fichier dénommé « enculade43.zip » contenant 60 images à caractère pornographique et constaté la présence de deux fichiers à caractère zoophile. » Le salarié conteste le licenciement. Il réclame 32.000 euros au titre du préjudice matériel et 3.000 euros au titre du préjudice moral.
Deux points font consensus.
D'abord, l'employeur garde un droit de regard sur l'utilisation de l'ordinateur affecté à l'usage du salarié. Il peut vérifier que les documents enregistrés dans des fichiers dits « personnels » sont ou non étrangers à l'activité professionnelle. La vérification du contenu de l'ordinateur avait été faite en présence du salarié et avec son consentement : rien à dire.
Ensuite,  le pot aux photos roses avait été découvert car un petit malin avait fait atterrir les images en cause sur l'ordi d'un autre salarié. Alors, détournement de données personnelles ? Pas du tout. Les fichiers seraient considérés personnels si le salarié les avait planqués derrière un code confidentiel, ce qui n'était pas le cas.
La Cour d'appel valide le licenciement
La  Cour d'appel, qui s'est prononcé par un arrêt du 11 mars 2008, avait justifié le licenciement par la conjugaison de plusieurs fautes.
Le salarié, engagé en 1994, ne pouvait ignorer les nombreuses notes de service dont le PV du Comité Central d'Entreprise du 25 avril 2002 et la note de service du 24 juin 2002 rappelant aux utilisateurs de poste informatique qu'elle devait être la conduite à tenir pour éviter des « atteintes à la dignité des personnes et aux bonnes mœurs. »

Le nombre important de  photos pornos, constituant  une atteinte à la dignité de la femme, enregistrées et conservées dans l'ordinateur dans un fichier immédiatement et très facilement accessible par tout utilisateur, établissait le détournement du matériel affecté au travail.

L'accès libre à cette banque de photos pornographiques qui permettait à quiconque d'en prendre connaissance, de les enregistrer et de les transmettre à d'autres personnes par voie informatique, constituait un véritable risque de favoriser un commerce illicite et portait manifestement atteinte à l'image de marque de l'employeur.

La Cour de cassation dit le licenciement abusif

La  Cour de cassation a balayé ces arguments : « La seule conservation sur son poste informatique de trois fichiers contenant des photos à caractère pornographique sans caractère délictueux ne constituait pas, en l'absence de constatation d'un usage abusif affectant son travail, un manquement du salarié aux obligations résultant de son contrat susceptible de justifier son licenciement ».

Pour comprendre, il faut revenir à ce qu'est la faute d'un salarié, à savoir une violation des obligations découlant du contrat de travail, ayant un impact réel sur ce contrat de travail. La sanction du licenciement est possible si cet impact atteint un degré tel qu'il justifie la rupture du contrat. D'ailleurs, un fait relevant de la vie privée peut  être sanctionné si l'employeur prouve la répercussion sur l'exécution du contrat de travail. Le régime est donc extensif, mais il faut prouver.

Dans cette affaire, il y avait un stock important de photos pornos, certes. Mais la Cour de cassation a retenu deux éléments.

Les photos étaient « à caractère pornographique sans caractère délictueux ». Le message est clair : le stockage de photos délictueuses, par exemple des images pornos de gosses prostitués à Bangkok, constituerait une faute. Le trouble justifiant le licenciement serait établi par le caractère infractionnel des photos. Donc, le stockage de photos seulement pornos n'établit pas le détournement du matériel mis à sa disposition.

L'utilisation de l'outil informatique à des fins personnelles de façon limitée, sans aucune répercussion sur la bonne exécution de la prestation de travail, n'est pas fautif. Pour retenir la faute, il faudrait prouver dans quelle mesure cette utilisation personnelle de l'ordinateur professionnel a nui à la bonne qualité de la prestation de travail.

http://lesactualitesdudroit.20minutes-blogs.fr/ 08/01/2010

Proposition pour modifier la loi « Informatique et Libertés » et rendre le CIL obligatoire


Les Sénateurs Yves Détraigne et Anne-Marie Escoffier viennent de déposer une proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique. Elle reprend plusieurs propositions de leur rapport de juin : L'article 3 rend obligatoires les correspondants « informatique et libertés ». L'article 6 renforce les obligations d'information du responsable du traitement, l'article 7 précise l'obligation de sécurisation des données incombant au responsable du traitement. L'article 8 facilite l'exercice du droit d'opposition. L'article 10 rend publiques les audiences de la formation restreinte de la CNIL tandis que l'article 11 rend plus aisée la publicité des sanctions les plus graves prononcées par la CNIL et que l'article 12 renforce les pouvoirs de sanction de la CNIL.

http://www.senat.fr/leg/ppl09-093.html

CIL : les garants des fichiers de données personnelles


Article de la revue Culture Droit

Sûreté aéroportuaire : les passagers pourront refuser de se soumettre aux scanners corporels


Les scanners corporels seront bien expérimentés en France. Deux semaines après l'attentat manqué contre le vol Amsterdam-Detroit , cette décision a été confirmée vendredi matin par le secrétaire d'État aux transports, Dominique Bussereau, qui a indiqué sur Europe 1 que "six ou sept" appareils seraient déployés, "certainement, pour commencer, sur les vols vers les États-Unis". L'arbitrage a été pris au plus haut sommet de l'État français, selon Jacques Le Guillou, sous-directeur de la sûreté et de la défense à la DGAC, qui a détaillé au point.fr la mise en oeuvre de ce système controversé.
Dispositif
Échaudées par le précédent de Nice, en 2008, lorsque le gouvernement avait tenté d'expérimenter les scanners corporels avant de devoir faire marche arrière, les autorités ont cette fois anticipé la polémique. "Le dispositif sera optionnel, les passagers pourront refuser de se soumettre au scanner corporel", explique Jacques Le Guillou. Il y a deux ans, ce sont en effet les accusations de voyeurisme de parlementaires européens et d'associations de respect des libertés individuelles qui avaient eu raison du projet porté alors par la ministre de l'Intérieur de l'époque, Michèle Alliot-Marie. La DGAC affirme qu'en Finlande, en Hollande et en Grande-Bretagne, où les scanners individuels sont déjà en test, 98 % des passagers s'y soumettent volontairement. "Les autres seront soumis à une fouille corporelle approfondie", précise Jacques Le Guillou.
Cadre légal
"La sûreté aérienne relève de compétences exclusivement européennes", rappelle Jacques Le Guillou. Le règlement 300/2008 , décidé après les attentats du 11-Septembre et plusieurs fois réactualisé depuis, ne fait pas mention des scanners corporels. Mais les autorités françaises entendent s'appuyer sur son article 6, qui prévoit que les États membres "peuvent appliquer des mesures plus strictes que les normes de base communes (...) sur la base d'une évaluation des risques". C'est donc à titre expérimental que seront installés les scanners corporels. Aucune durée limite n'est mentionnée dans le texte, Jacques Le Guillou évoquant, lui, une période d'essai de "six mois".
Fonctionnement
Alors que les portiques de sécurité actuels ne permettent que la détection d'objets métalliques portés par une personne, le scanner corporel met littéralement le voyageur "à nu". Les ondes millimétriques émises à l'intérieur d'une petite cabine sont en effet capables de traverser les vêtements. Sur l'écran de contrôle, les personnels de sûreté peuvent ainsi observer les contours de l'intégralité du corps de l'individu ainsi scanné en trois dimensions. "Le scanner corporel détecte toutes les matières", se réjouit Jacques Le Guillou. Une précision qui fait mouche en matière de sécurité, mais qui relève, selon ses détracteurs, du viol de l'intimité.

Coût

Le prix de ce scanner corporel est également très élevé : plus d'un million de dollars, soit environ 700.000 euros, contre 35.000 euros pour un portique traditionnel, une somme qui n'est pas confirmée par la DGAC. En tout état de cause, tous les frais liés à la sûreté aéroportuaire sont à la charge des passagers, via la fameuse taxe d'aéroport. Selon Jacques Le Guillou, cette taxe a ainsi rapporté 700 millions d'euros en 2009. Cette somme est "intégralement reversée par la DGAC aux aéroports pour leur permettre d'améliorer leurs infrastructures", explique Jacques Le Guillou. Dans un premier temps, seuls les aéroports parisiens d'Orly et de Roissy sont concernés par la mesure, qui devrait entrer en vigueur d'ici la fin du mois de janvier.

Chloé Durand-Parenti et Cyriel Martin lepoint.fr  29/12/09

FaceBook et les cambrioleurs...

Sur Pcinpact.com le 28/08/09

À trop en dévoiler de sa vie privée sur Facebook, Twitter ou autres réseaux sociaux, on pourrait attirer des cambrioleurs potentiels, prévient aujourd'hui une étude réalisée pour un cabinet d'assurance. Legal & General, firme anglaise a en effet opéré un sondage auprès de 2092 personnes, et 38 % d'entre elles se servent de réseaux sociaux pour raconter leur départ prochain en vacances ou les détails de leur week-end à venir.

Un constat d'autant plus alarmant, estime le cabinet d'assurance que la plupart des "amis" que l'on peut avoir sur Facebook sont des gens que l'on ne connaît que peu voire pas du tout. Cela présenterait un risque largement aggravé pour son domicile, en donnant une excellente raison à des visiteurs de venir nous passer un coucou en embarquant la télé écran plat par la même occasion.

Le rapport rendu, nommé The Digital Criminal, on constate donc que l'inconscience de ces révélations, outre qu'elle peut coûter un job si votre employeur est un peu trop attentif à ce que vous faites, pousse aussi les utilisateurs à accepter des personnes qu'elles ne connaissent pas. Au-delà des 100 contacts, on tomberait même dans les inconnus les plus stricts.

Et 64 % des 16-24 partagent allégrement leurs projets avec ces amis virtuels, livrant des informations qui peuvent conduire à un cambriolage assurément plus facile, puisque les criminels sont assurés que personne n'est à la maison.

Petit point inquiétant, encore que, les hommes semblent moins stressés à l'idée de donner des informations trop personnelles sur leur avenir ou même leurs coordonnées, puisque 13 % des sondés laissent leur numéro de téléphone sur leur profil, contre 7 % des femmes. Un comportement qui en apprend bien trop, estime le cabinet d'assurance, sur les habitudes et pourrait mener à des situations particulièrement inconfortables.

Imaginons une seconde le cas d'un assureur refusant de rembourser suite à un cambriolage, sous prétexte que votre statut Facebook mentionne explicitement que vous serez en vadrouille dans le Vercors tout le week-end... Pour certains monte-en-l'air, cette désinvolture permet de faire son choix plus facilement sur les futures maisons à visiter, avec l'esprit complètement serein.

Belgique : Location et vie privée

«Un locataire a droit à sa vie privée !»

04/08/09, Lesoir.be

Une dizaine de plaintes de locataires ont été déposées en 2009 à la Commission vie privée de Belgique. Une série de recommandations ont été adressées aux propriétaires-bailleurs et aux agents immobiliers. L'avis balise les données qui peuvent être collectées et traitées. Les propriétaires ne peuvent pas tout savoir sur leur(s) locataires(s). La Commission de la protection de la vie privée (CVPV) vient de le rappeler en émettant une recommandation de 18 pages à l'attention des bailleurs et des agents immobiliers. Son objectif ? Baliser ce qui est permis et ce qui ne l'est pas en terme de traitement de données des candidats locataires.

Le propriétaire peut certes jouir de son bien comme il l'entend et choisir librement ses locataires. Mais pas à n'importe quel prix…

Ni le propriétaire, ni l'agent immobilier ne sont en droit de réclamer à un locataire son numéro de Registre national ou de sécurité sociale. De même, la Commission juge que c'est le montant des revenus du locataire, et non sa nature, qui importe.

Jouez-vous d'un instrument ?, demandent certains propriétaires. Cette question doit pouvoir se justifier objectivement, par exemple pour prévoir des travaux d'isolation acoustique.

La CNIL condamne directannonces à 40 000 euros d'amende

28 juillet 2009 sur legalbiznext.com

Les annonces des particuliers pour vendre ou louer leur maison ou leur appartement sur internet peuvent être collectées et revendues à des agences immobilières par des sociétés de piges. Or, les annonceurs se sont plaints de cette collecte à la CNIL, qui annonce les premières sanctions. Décryptage

« Rappelons les faits »

Les sociétés de pige immobilière ont pour activité de recueillir des annonces publiées sur différents sites spécialisés du réseau internet par des particuliers souhaitant mettre en vente ou en location un bien immobilier, puis de les communiquer à des agences immobilières dans le cadre d'abonnements périodiques. Parfois même, certaines d'entre elles contactent directement et anonymement les particuliers en se faisant passer pour un acheteur potentiel, afin d'obtenir de plus amples informations et d'enrichir leur base de données. A ce titre, elles exploitent des traitements automatisés de données à caractère personnel constituées, notamment, par des informations relatives à la localisation du bien, ainsi que le numéro de téléphone du propriétaire. En premier lieu, la CNIL a été alertée par des plaintes dénonçant la collecte sauvage par des agences immobilières de données personnelles de particuliers proposant à la vente ou à la location leurs biens immobiliers. En deuxième lieu, elle a procédé à des contrôles afin de déterminer dans quelles conditions ces particuliers avaient été sollicités par des agences immobilières avec lesquelles ils n'avaient jamais eu de contact. En troisième lieu, elle a qualifié ce type de collecte de déloyale. En conséquence, la CNIL a mis en demeure les sociétés identifiées de cesser ces pratiques et a rappelé aux réseaux d'agences immobilières leurs obligations en matière de protection des données personnelles. Soulignons que ces contrôles, à la suite de plaintes, font désormais partie de l'activité normale de la CNIL, et deviennent un instrument pour veiller au respect des droits des personnes.

« L'action de la CNIL enserrée dans le tryptique Plaintes, contrôles, sanctions. »

La société Directannonces spécialisée dans la compilation d'annonces immobilières de particuliers sur internet pour les revendre à des professionnels vient d'être condamnée à 40 000 euros d'amende. Cette sanction a été prononcée par la formation contentieuse de la CNIL, le 26 février 2009, qui a jugé déloyal les modes opératoires de la société.

En l'espèce, des personnes qui ont passé des annonces sur des sites spécialisés de particuliers ont été surprises d'être démarchées par des « partenaires » de la société Directannonces puis de figurer dans son fichier sans pouvoir s'y opposer. Un contrôle a été diligenté en avril 2008. Il a permis de constater que la société Directannonces « aspirait » des annonces immobilières sur des sites internet dédiés à des particuliers, en vue de les compiler dans des « piges » et de les vendre. Ces opérations de collecte et de vente à des agences immobilières, à des banques et à d'autres professionnels du secteur immobilier étaient effectuées à l'insu des personnes.

Remarquons, que la mise en demeure du 12 juin 2008 de la CNIL adressée à la société Directannonces a fait l'objet d'un référé devant le Conseil d'Etat. Directannonces réclamait la suspension de la délibération n°2008-164 du 12 juin 2008 par laquelle la CNIL l'avait mise en demeure de cesser, dans un délai de dix jours à compter de la notification de cette délibération, toute collecte et de conformer, dans un délai de trois mois, aux dispositions des articles 32 et 38 de la loi du 6 janvier 1978, en assurant, dans les conditions prévues par cet article 32, l'information des personnes auprès desquelles sont recueillies des données à caractère personnel les concernant, ainsi qu'en permettant comme le prévoit l'article 3, de s'opposer à ce que de telles données soient transmises à des tiers.

Directannonces contestait la légalité de la décision la CNIL dans laquelle lui demandait de faire cesser cette collecte déloyale et de mettre en place une collecte conforme aux principes de la loi « informatique et libertés » notamment en veillant à ce que les personnes concernées soient correctement informées de cette pratique et aient la possibilité de s'y opposer.

Le Conseil d'Etat a rejeté la requête considérant que la société Directannonces ne saurait être regardée comme ayant rempli l'obligation qui lui est faite par le 1° de l'article 6 de la loi de collecter de « manière loyale » les données à caractère personnel sur lesquelles porte son traitement ; le Conseil d'Etat a aussi considéré que l'information des personnes n'exigeait pas a priori des efforts disproportionnés. La société Directannonces s'est désistée de sa requête au fond à la suite de cette ordonnance de rejet. La loi du 6 août 2004 prévoit que la commission peut désormais, à l'issue d'une procédure contradictoire, décider de prononcer diverses mesures : un avertissement, une mise en demeure, une sanction pécuniaire, une injonction de cesser le traitement. Compte tenu des faits constatés, la CNIL a prononcé, le 26 février 2009, une sanction pécuniaire d'un montant de 40 000 euros à l'égard de la société Directannonces.

« Vers la mise en place d'une Charte de la pige immobilière ? »
Depuis, la CNIL a obtenu la prise en compte de ces préconisations et Directannonces s'est engagée à ce que les particuliers soient mieux informés de l'aspiration de leur annonce à des fins de vente à des tiers. Ainsi, avant l'envoi des piges aux professionnels du secteur, cette dernière adresse aux particuliers une information par SMS, automate d'appels ou courrier électronique, afin que ceux-ci soient informés de leurs droits et puissent s'opposer à la diffusion de leurs données dans un délai raisonnable.

L'activité immobilière en ligne est donc particulièrement surveillée par la CNIL, car après entreparticulier.com - qui reçu un avertissement public- voici Directannonces qui vient d'être sanctionnée.

En d'autres termes, les sociétés de pige immobilière ne peuvent pas collecter sur internet à l'insu des annonceurs particuliers leurs annonces afin de les revendre à des agences immobilières, car cette collecte est considérée déloyale, illicite et contraire à la loi informatique et libertés.

La Commission considéra que cette pratique était déloyale vis-à-vis des particuliers annonceurs, puisqu'ils n'étaient informés ni de la collecte ni de la vente de leur annonce ni ne pouvaient s'y opposer.

L'avenir de cette profession doit tirer les leçons de l'intervention de la CNIL afin de rétablir une situation conforme sur le plan juridique. Cela passe nécessairement par une redéfinition des pratiques de collecte. C'est pourquoi, l'organisation d'une collecte transparente des données , permettant aux personnes d'être informées, dès qu'elles s'inscrivent sur un site internet d'annonces pour y mettre leurs coordonnées et le descriptif du bien, et de pouvoir s'opposer, le cas échéant, à de telles captations de leurs données, s'impose aux sociétés de pige immobilière. Il est temps que les professionnels du secteur mettent en place la Charte de la pige immobilière. Alors, qu'attendent-ils ?...

« Nous ne savons pas résister à la tentation technologique »

PROPOS RECUEILLIS PAR MARIE BELLAN ET EMMANUEL PAQUETTE, Les Echos 07/04/2009

Nicolas Sarkozy a annoncé la création d'un nouveau fichier sur les bandes violentes. Les fichiers de police sont-ils trop nombreux en France ?

Aujourd'hui, on a près de 40 fichiers de police en France, sans compter ceux que l'on ne connaît pas, et il y en a forcément. Quand les pouvoirs publics veulent réagir à un événement, ils recourent à la technique du fichier. Clémenceau disait : « Quand un sujet emmerde le gouvernement, on crée une commission. » Aujourd'hui, on crée des fichiers. Or, une fois créés, on cherche à les élargir. C'est ce qui s'est passé pour le fichier Fnaeg (1). Il était initialement prévu pour lutter contre la grave criminalité sexuelle, puis il a été proposé de l'élargir à la délinquance sexuelle, puis à la barbarie. Personne ne peut être contre sur le principe. Ensuite, on propose de ne pas se limiter aux personnes condamnées mais aussi aux mises en cause, puis à celles qui seraient susceptibles de... et ainsi de suite. Si l'on s'en tient aux deux principes qui règlent notre jugement à la CNIL, celui de la finalité et celui de la proportionnalité, le fichier en question ne pose pas de problème au départ. Mais, en l'élargissant sans cesse, le principe de proportionnalité n'est plus respecté.

L'autre problème, c'est que les fichiers créés peuvent ne jamais fonctionner, faute de budget ou de texte d'application. On ne sait plus très bien alors quel est leur statut.

Vos recommandations sont-elles suivies d'effets ?


Pas toujours autant que nous le souhaiterions. Sur le fichier STIC (2), par exemple, contre lequel nous avions émis il y a trois mois une alerte sévère portant sur sa gestion et les défauts de mise à jour, nous n'avons eu aucune contestation de la part des ministères concernés, l'Intérieur et la Justice. Mais si l'Intérieur nous a répondu et semble prêt à bouger, la chancellerie, elle, n'a pas donné de nouvelles. Cela m'irrite, mais ne me décourage pas. D'autant que le fichier STIC représente un enjeu majeur du fait du nombre de personnes concernées et de ses conséquences sur leur vie quotidienne. Le fichier Edwige, même s'il a fait l'objet d'une polémique cet été, représente des enjeux moins importants : 10 % des personnes qui y figurent sont vraiment concernées dans leur liberté. Il ne faut pas que l'arbre cache la forêt. Il y a des choses qui m'inquiètent beaucoup plus qu'Edwige, comme la biométrie ou la vidéosurveillance.


La vidéosurveillance est justement un axe de sécurité que le gouvernement entend développer. Est-ce efficace et bien contrôlé ?


Certaines études parlent d'un abaissement de la délinquance de 30 % à 40 % dans les zones placées sous surveillance vidéo, mais personne ne nous dit s'il s'agit d'un abaissement ou d'un déplacement de la délinquance. La question de l'efficacité doit donc être posée. A la CNIL, nous ne sommes pas contre la vidéosurveillance, mais il faut résoudre deux questions : le flou juridique qui règne sur le régime applicable et la question du contrôle. Qui peut contrôler ? Comment sont formés les utilisateurs ? Qui sont les destinataires des images ? Quelle est la durée de conservation ? Il y a trois scénarios possibles : le statu quo, la création d'une nouvelle autorité indépendante spécialisée dans la vidéosurveillance ou le fait de confier la totalité du sujet à la CNIL en lui donnant davantage de moyens. Un rapport du Sénat a repris intégralement notre position, qui penche naturellement pour la troisième option, mais le ministère de l'Intérieur ne s'est pas prononcé pour l'instant.

Face à la multiplication de ces problèmes, le manque de moyens de la CNIL est souvent pointé du doigt. Vous tentez de changer votre mode de financement. Pourquoi ?


En cinq ans, nous sommes passés de 75 à plus de 130 salariés. On a une augmentation très sensible de notre budget. Mais on reste très loin des Allemands, des Canadiens, des Anglais, etc. On recolle à la queue du peloton. On veut donc modifier notre mode de financement en s'inspirant de ce que font les Anglais. Faire en sorte que l'on ne dépende plus du budget de l'Etat, mais des acteurs de l'informatique, collectivités locales et entreprises, qui financeraient la CNIL. Il est assez légitime que ce soient les acteurs de l'informatique qui financent la protection des données informatiques. Nous avons des discussions là-dessus avec le gouvernement. Il ne s'agit pas d'une nouvelle taxe puisqu'elle remplacerait l'impôt qui nous finance.

Le développement des outils technologiques n'est-il pas finalement inquiétant ?


C'est une véritable angoisse pour l'avenir et je n'ai pas envie de vivre dans la société dans laquelle vivront mes petits-enfants. Pour y remédier, il faudrait d'abord sortir du débat politicien gauche-droite. Tant qu'on politisera le débat sur les libertés publiques, on n'avancera pas. C'est infiniment plus grave que ça. Notre société est fascinée par la technologie et nous ne sommes pas capables de résister à cette tentation. Prenons l'exemple des nano technologies : dans une dizaine d'années, on disposera de systèmes d'information si petits qu'ils ne seront plus visibles, même avec un microscope classique. Le risque, c'est que nous n'aurons jamais plus la garantie d'être seul. L'intimité, ce sera terminé. Or, pour moi, une société dans laquelle on n'a plus la garantie d'être seul est une société dictatoriale. Ces mêmes nano technologies permettront certes des progrès phénoménaux en matière de santé, et il ne s'agit pas de s'en priver, mais pourquoi ne déciderait-on pas d'interdire leur usage dans le domaine de l'information ?

Vous avez tenté d'imposer aux moteurs de recherche Google, Yahoo! et Live Search (Microsoft) de conserver les données personnelles des internautes six mois au maximum. Un an après, rien a changé...


Microsoft a annoncé qu'il était prêt à descendre à six mois si les autres le faisaient aussi. Yahoo! est descendu à trois mois. Du coup, Google se retrouve esseulé. On les a tous auditionnés au niveau européen en février dernier. La réponse de Google a été : « Nos concurrents feraient mieux de conserver les données neuf mois. » Mais Google ne peut pas expliquer concrètement les raisons pour lesquelles il a besoin de ce délai. On se demande ce qui se cache derrière cette position. On se trouve donc dans une situation de blocage, mais au moins on sait qui veut faire quoi. On maintient la pression. Mais, à côté de cela, il y a les réseaux sociaux.

Les Américains ont tendance à penser que les données personnelles sont des biens marchands, tandis que les Européens pensent plutôt que ce sont des attributs de la personnalité. Les gens se font berner en se faisant appeler utilisateur ou internaute. On est devant un troc. Je donne des informations qui nourrissent le système qui à son tour me donne la structure pour partager. Jusque-là, tout va bien. Mais si le système veut garder les informations et les utiliser, la relation devient unilatérale. Il va falloir travailler sur la notion de clientèle. Cette relation implique une certaine clarté qui n'existe pas aujourd'hui. Les personnes sont dans un échange déséquilibré.

Quelles sont les réponses à apporter ?


Soit on paie le service qui permet de profiler quelqu'un, soit on ne profile pas. Il faut poser ce problème-là clairement. Je sais que cela altère l'image libertaire d'Internet. Mais il faut réussir à convaincre les gens de sortir de cette logique dans le monde entier. Il faudrait que tous les pays du monde se tiennent la main sous l'égide d'une convention internationale à l'ONU. On y travaille. Mais Google veut une convention sous égide internationale via la Coopération économique pour l'Asie-Pacifique (Apec). Or cet organisme est sous influence américaine avec un niveau de protection nettement en dessous de celui de la directive européenne. Pour régler le problème, il faut que les pays se mettent d'accord sur le contenu de principes. Je pense que c'est possible. Mais, ensuite, il reste à faire le plus dur : trouver la valeur juridique contraignante. Cela va prendre du temps. Mais, en attendant une solution juridique, nous sommes obligés de dire aux gens de faire attention.


Même si on ne donne rien de nous-mêmes, Google connaît nos recherches sur Internet...


Là encore, il faut de la pédagogie et de l'information. Que les gens soient vigilants et fassent des choix. Beaucoup d'entre eux se disent qu'ils n'ont rien à cacher. Mais ils confondent innocence et intimité. On parle ici de protéger son intimité. L'intimité ne se cloisonne pas. Quand je parle avec mon fils, je n'ai pas envie que l'on m'entende. La CNIL se doit de dire que nous n'avons pas les moyens de régler ces problèmes en attendant que l'on trouve une solution au niveau international. C'est pour cela que je suis angoissé. Ajoutez-y les fichiers, la biométrie, le pass Navigo, le télépéage, la carte bancaire... On voit bien que la société est en train de se refermer sur nous. Ça part dans toutes les directions.

Rester dans les clous de la loi "Informatique et libertés"

Capucine Cousin | LEntreprise.com | le 06/04/2009

Le 27 mars, la Commission nationale informatique et libertés (CNIL), structure chargée de veiller à la protection des données personnelles et à la protection de la vie privée, annonçait que la société Leclerc Arcydis, dans les Yvelines, avait écopé d'une amende de 30 000 euros, pour voir enfreint la loi Informatique et libertés du 6 janvier 1978, destinée à garantir la protection de la vie privée des citoyens.

Des infractions constatées lors d'un contrôle, mené suite à plusieurs plaintes. Principaux griefs : le fichier client comportait « des dizaines de commentaires excessifs tels que ‘Attention à ne plus intervenir sur le véhicule client de mauvaise foi, problème crédit' », les clients n'étant pas même informés de l'existence de ces fichiers, la cinquantaine de caméras de vidéosurveillance n'avait pas été déclarée, ainsi que le système de contrôle des horaires de travail. Des manquements à la loi emblématique de 1978 (modifiée par la loi du 6 août 2004), qui demeurent pourtant fréquents chez les entreprises, au mieux par ignorance ou par légèreté. Rappels.

Fichiers-clients


Principe fondamental, la constitution de fichiers-clients par une entreprise doivent faire l'objet d'une déclaration à la CNIL. Ces fichiers doivent avoir une finalité commerciale, d'amélioration du service. Les principales formes de manquements au principe de protection des données : « des données par pertinentes, subjectives, collectées sans en informer les clients, et sans durée de conservation », résume Jeanne Bassi, directrice adjointe des relations avec les usagers et du contrôle à la CNIL. « Seules les données objectives doivent y figurer, comme par exemple sur le statut d'un client, ses moyens de paiements, ses préférences », précise Jeanne Bassi.

Car ces fichiers sont accessibles à une bonne partie des salariés de l'entreprise. Dans certains secteurs tels que les banques, les assurances ou les huissiers de justice, la Commission a parfois épinglé des sociétés qui cumulaient les données d'appréciation sur leurs clients.

Information des clients sur la constitution de bases de données


Trop souvent, les sociétés oublient d'informer leurs clients sur la constitution de bases de données les concernant. Alors qu'ils ont un droit d'accès et de rectification, toujours selon la loi Informatique et libertés. Elles doivent pouvoir demander à être retirées de ces données, ou leur non-transmission à des tiers, par exemple par e-mail ou en cochant les cases idoines dans un formulaire d'inscription. « Elles peuvent aussi en informer les clients par des affiches apposées dans leurs boutiques, ou par courrier ou e-mail », recommande Jeanne Bassi. Elles trouveront d'ailleurs des formules toutes faites sur le site de la Cnil.

Durée de conservation des données


En toute logique, les fichiers-clients ne peuvent légitimement être conservés au-delà de la période du contrat qui lie une entreprise au client. Par exemple, à expiration de sa carte de fidélité. Si l'entreprise tient à conserver une trace de ces données, « nous leur proposons comme alternative d'archiver ces fichiers. Ils sont alors accessibles aux salariés de l'entreprise de manière plus restrictive », précise Jeanne Bassi.

Vidéosurveillance


Leclerc Arcydis a été épinglé pour une cinquantaine de caméras de vidéosurveillance non-déclarées à la CNIL. Trop souvent, les entreprises qui se dotent d'un système de vidéosurveillance omettent de le déclarer. Les caméras installées dans des lieux publics doivent faire l'objet d'une autorisation de la Préfecture, depuis la loi de 1995. Ainsi qu'à la CNIL dès lors que les films sont numérisés (et donc conservés), puisque cela donne lieu à la constitution de fichiers. Quant aux caméras de vidéosurveillance présentes dans les lieux privés (salle de repos du personnel, salle de réunion..), elles doivent être déclarées à la CNIL.

Les entreprises devront peut-être payer une redevance Cnil 

01netpro ; 07/04/2009 ; Gilbert Kallenborn.
La tutelle de l'Etat commence à peser à la Cnil. La Commission a engagé depuis quelques temps des négociations avec le gouvernement pour obtenir une plus grande indépendance budgétaire, en faisant contribuer directement les entreprises et les collectivités locales qui gèrent des fichiers.

Aujourd'hui le budget de la Cnil - environ 12 millions d'euros en 2008 pour 120 personnes - provient des impôts, donc de l'Etat. Chaque année, la Cnil doit donc négocier son bout de gras, sans être sûre d'avoir assez pour fonctionner. Surtout en ces temps de crise. «Avec une redevance, nous aurions nos propres ressources. Nous dépendrions d'une multitude d'acteurs, plutôt que d'un seul, l'Etat. Cela “sanctuariserait” notre budget et notre autonomie », explique Yann Padova, secrétaire général de la Cnil. Un tel mode de financement serait également plus juste, car seuls ceux concernés par la gestion de données personnelles seraient contributeurs. « Aujourd'hui, au travers des impôts, tout le monde contribue finalement au budget de la Cnil », souligne le secrétaire général.
Une administration débordée

S'inspirant fortement du modèle britannique, la Cnil préconise un modèle à plusieurs seuils : exonération pour les structures unipersonnelles, entre 40 et 50 euros pour les PME et jusqu'à 500 euros pour les grandes structures. Ainsi, le budget pourrait passer à 20 millions d'euros en quelques années. Car il n'y a pas que l'indépendance budgétaire qui pose problème, il y a aussi l'insuffisance budgétaire. « En termes de budget, nous sommes très en-deça de ce qu'il nous faudrait. Pour être au même niveau de fonctionnement que nos homologues européens, il nous faudrait au moins le double de ce que nous avons aujourd'hui », poursuit Yann Padova.

Cette insuffisance budgétaire ne permet plus de répondre à l'afflux des demandes des entreprises, qui veulent mettre en place des bases de données et qui ont besoin de connaître les possibilités et les modalités d'utilisation. Du coup, les projets peuvent être mis en péril. « En 2008, la Cnil était complètement débordée. Les délais de traitement de nos demandes étaient excessifs et pouvaient atteindre parfois plusieurs mois. Evidemment, nous n'arrêtons pas un projet parce que la Cnil ne répond pas à une question, mais cette absence de réponse introduit un risque », explique Anne Gorge, correspondante informatique et libertés chez Bull. En effet, si une entreprise se lance tête baissée dans un développement et que l'utilisation d'une base de données se révèle non conforme, c'est une partie du budget informatique qui part en fumée.
La crise ne joue pas en faveur de la Cnil

Mais les obstacles à l'émancipation sont encore nombreux. La Commission indique avoir obtenu un accord de principe de la part du gouvernement sur la mise en place d'une telle redevance. Elle souhaite maintenant faire voter rapidement une loi, par exemple dans le cadre de la loi de finances prévue cet automne au Parlement. Mais la conjoncture actuelle ne joue pas en faveur de la Cnil. Pas facile, en temps de crise, de justifier une taxe supplémentaire pour des entreprises qui sont déjà proches de l'agonie. Le risque est donc de voir ce projet de loi repoussé à l'année prochaine.

Par ailleurs, à supposer qu'une telle loi soit votée, son application ne serait pas non plus immédiate. « Il faudrait compter deux ou trois ans avant que ce nouveau mode de financement soit totalement opérationnel », précise Yann Padova. Pendant une période transitoire, la Cnil utiliserait sans doute les deux sources de revenus, avant de pouvoir prendre son envol.

La CNIL sanctionne Neuf-CI pour violation du droit d'accéder à ses données personnelles

CNIL.FR 15/04/2009

La formation contentieuse de la CNIL a prononcé une sanction de 7 000 euros à l'encontre de Neuf-CI qui n'avait répondu que partiellement aux demandes répétées d'une cliente souhaitant accéder à l'ensemble de ses informations personnelles détenues par la société.

Une abonnée de la société Club Internet, devenue Neuf-CI, a demandé, comme le lui permet la loi, à avoir accès à l'ensemble des données la concernant détenues par cet opérateur Internet. Après avoir essuyé un refus, elle a fini par recevoir quelques informations la concernant (nom, adresse, références bancaires…) mais sans obtenir, en particulier, les éléments enregistrés par le service client lors de ses différents appels (commentaires, réponses formulées et décisions prises…).

Cette cliente s'est alors adressée à la CNIL qui a demandé à la société de transmettre l'intégralité des données concernant l'abonnée. Ses demandes n'ayant pas reçu de réponse, la CNIL a adressé une mise en demeure, avec un délai impératif d'un mois, au fournisseur d'accès à internet afin qu'il communique à la cliente l'ensemble des données qu'il possède sur elle. La CNIL a également exigé d'être informée sur les raisons du dysfonctionnement constaté, sur les mesures prises pour y remédier ainsi que les dispositifs existants chez Club-internet pour informer les clients sur les droits offerts par la loi « informatique et libertés ».

La Commission n'a reçu que des éléments de réponse très partiels à sa mise en demeure. La société était pourtant en mesure d'apporter une réponse par simple courrier aux demandes de sa cliente, en dépit de certaines difficultés liées à l'absorption de Club Internet par Neuf. La CNIL a également constaté que les mesures prises pour remédier à ces dysfonctionnements n'étaient pas convaincantes. Elles reprenaient, en effet, à l'identique les réponses formulées par l'opérateur internet dans une précédente affaire de mars 2007 où la société avait, notamment, annoncé avoir mis en place des chartes de données personnelles. Ces textes étaient toujours à l'état de projet un an après.

A la lumière de ces éléments, la CNIL a prononcé, le 12 juin 2008, une sanction financière, rendue publique, de 7 000 euros.

Le vol d'identité sur Internet, n°1 des cybercrimes

31/03/2009 Par Laurence Neuer, lepoint.fr

Détournement d'une adresse mail, création d'un faux profil sur Facebook, utilisation de données bancaires volées, etc. : l'usurpation d'identité arrive en tête sur la liste des attaques cybercriminelles. Près de 10 millions de personnes ont été exposées au risque de vol d'identité en 2008, révèle le rapport 2008 Identity Fraud Survey de Javelin Strategy & Research. "Nous nous attendons à une croissance mensuelle de 336 % des codes malveillants visant à usurper l'identité des internautes en 2009, une hausse portée par les gains considérables que les cybercriminels génèrent avec cette activité", explique Luis Corrons, directeur technique de PandaLabs, laboratoire d'analyse de la société Panda Security, qui est un éditeur de solutions de sécurité. Sur ce sujet, lepoint.fr a interrogé Cédric Manara, professeur à l'EDHEC Business School et membre du Legal EDHEC Research Center.

Lepoint.fr : Quelles sont les techniques les plus utilisées par les usurpateurs d'identité et dans quel but ?
Cédric Manara : Une personne usurpe l'identité numérique d'une autre lorsqu'elle obtient, détient ou utilise ses informations personnelles sans autorisation et dans un but frauduleux, notamment pour détourner des fonds ou nuire à sa réputation.
Les techniques sont diverses. Certaines sont artisanales : utiliser une fausse adresse e-mail ou un nom de domaine trompeur, créer un faux profil sur Facebook... D'autres sont plus sophistiquées : spywares (logiciels malveillants s'exécutant à l'insu de l'utilisateur), spoofing (détournement d'adresse IP), phishing (combinaison d'un e-mail frauduleux et d'une fausse page Web destinée à récupérer des mots de passe)... Dans le cas de ces dernières, il faut réunir certains moyens techniques et logiciels, et elles sont souvent le fait de groupes organisés. Mais il n'est nul besoin de maîtriser les technologies pour accéder à des informations essentielles ! Pendant la dernière campagne présidentielle aux États-Unis, un étudiant avait réussi à accéder au compte de messagerie Yahoo! de Sarah Palin après avoir essayé divers mots de passe correspondant à la biographie de la candidate se trouvant sur Wikipedia...
L'usurpation touche aussi bien les entreprises que les personnes physiques, mais celles-ci sont plus vulnérables, car elles sont moins averties et se protègent moins.

Lepoint.fr : La loi punit-elle les voleurs d'identité ? Que risquent-ils ?
C. M. : Non, aucune loi ne punit directement l'usurpation d'identité sur Internet. D'ailleurs, l'OCDE a publié fin mars 2009 un rapport intitulé Online Identity Theft montrant que la plupart des pays occidentaux ne disposent pas d'une législation spécifique réprimant le vol d'identité. En France, le délit d'usurpation d'identité n'est directement sanctionné que dans un cas : le fait de prendre le nom d'un tiers. En outre, l'article 434-23 du Code pénal ne punit l'usurpation d'identité que si l'usurpateur fait courir à sa victime un risque pénal, ce qui est restrictif. C'est ainsi qu'une personne a été condamnée pour s'être fait passer pour un salarié tenant

des propos diffamatoires à l'égard de ses collègues, ce qui faisait courir à l'employé victime le risque d'être condamné pour diffamation (Cour de cassation, 29 mars 2006).
L'usurpation d'identité est sanctionnée indirectement, au travers de l'atteinte à des données personnelles, de l'escroquerie, de la contrefaçon de marque, de l'atteinte à un système automatisé de traitement de données...
Sur le plan civil, chacun peut aussi faire sanctionner l'atteinte à son nom ou à d'autres éléments de sa personnalité, ou encore obtenir le remboursement des sommes dépensées par celui qui a utilisé les données de sa carte bancaire frauduleusement. Une femme a été indemnisée de son préjudice causé par une collègue qui utilisait son identité et ses coordonnées téléphoniques sur Meetic, où elle la faisait passer pour "une femme facile, désireuse de relations sexuelles" ( tribunal correctionnel de Carcassonne, 16 juin 2006 ).

Lepoint.fr : Le nouveau délit d'usurpation d'identité est annoncé depuis plusieurs années. Quelles infractions va-t-il couvrir ?
C. M. : Les sanctions existantes sont considérées comme insuffisantes au regard du développement considérable de l'usurpation d'identité. La ministre de l'Intérieur a d'ailleurs annoncé, le 24 mars 2009, que l'usurpation d'identité sur Internet serait "mieux sanctionnée". De leur côté, les fournisseurs français d'accès à Internet souhaiteraient pouvoir agir au nom de leurs abonnés, dans les cas de phishing par exemple, mais la loi ne leur en donne pas le droit. La nouvelle incrimination, dont on ne connaît pas encore la portée, figurera dans le projet de loi de programmation et de performance pour la sécurité intérieure. Ce qui est singulier, c'est que des sénateurs avaient déjà proposé, en 2005 puis en 2008 , que soit créée une infraction pénale spécifique... sans que leur proposition soit débattue. Cela fait plusieurs années que les juristes pointent du doigt ce qui peut être vu comme une lacune de la loi.
Selon la façon dont le projet de loi définira l'identité, on saura si l'infraction peut s'appliquer à des cas aussi divers que le détournement d'un avatar sur Second Life, la capture d'un pseudo sur un forum, la création d'un blog ou d'un profil MySpace sous un faux nom, etc.

Lepoint.fr : Le détournement d'adresse IP, technique qui permet notamment de télécharger des oeuvres musicales de façon "masquée", fait beaucoup parler de lui. Y a-t-il "usurpation d'identité" dans ce cas de figure ?
C. M. : Là aussi, cela dépendra de la façon dont le texte sera rédigé. La question centrale, c'est la définition de l'identité. Il y a des choses qui s'y rattachent de façon certaine, comme le numéro de Sécurité sociale. D'autres y sont moins directement liées, mais méritent peut-être protection : c'est le cas par exemple du code PIN associé à un téléphone mobile ou à une carte de crédit. Dès lors qu'elle permet l'identification d'un internaute - et c'est le sens dans lequel se prononcent les autorités communautaires -, l'adresse IP peut à son tour être considérée comme constitutive de l'identité. Celui qui en a été "dépossédé" à son insu pourrait donc s'en plaindre... s'il s'en rend compte ! Car les fraudeurs restent toujours mieux équipés que leurs victimes...

Mails personnels au travail : une cause de licenciement

(Source : http://lesactualitesdudroit.20minutes-blogs.fr/archive/2009/02/01/mails-personnels-au-travail-une-cause-de-licenciement.html)

Une femme d'une trentaine d'années, Mme Y, embauchée par une société Y. en qualité d'assistante de gestion, a été licenciée au motif que la salariée avait adressé, depuis son poste de travail, 156 mails en deux mois. Motif : « Utilisation abusive d'internet sur son lieu de travail ».


Pour Maître Sublard, avocate de la salariée, celle-ci « était en pleine déprime », et il s'agissait d'une « conversation normale entre une fille et sa mère qui ne portait pas atteinte au bon fonctionnement de l'entreprise ». Donc, un licenciement abusif . « Ce dossier met en avant le problème grave de l'immixtion des employeurs dans la vie privée de leurs salariés ».

L'employeur a expliqué qu'il avait découvert cette correspondance en recherchant l'origine d'un virus dans le système informatique, et a soutenu qu'il avait constaté l'existence sans connaître le contenu. Or, pour lui, une dizaine de mails par jour c'est « une heure de travail négligée ».

Le Conseil de prud'hommes a été saisi par la salariée, qui demandait l'annulation du licenciement comme abusif, et la condamnation de l'employeur à verser 26.000 € de dommages et intérêts.

Question pas si évidente que cela. De fait, le conseil de prud'hommes, juridiction paritaire, s'est mis en départition : deux contre deux. D'où le recours à une seconde audience pour replanie l'affaire devant le juge départiteur, c'est-à-dire, un juge du tribunal d'instance, qui vient en renfort en préside. Et, plouf pour la salariée. Le licenciement est reconnu valable, car si un salarié peut utiliser occasionnellement la messagerie à des fins personnelles, on peut lui reprocher « la fréquence et l'importance en volume de telles communications ». Pour le conseil, « le licenciement à caractère disciplinaire est pleinement justifié ». Il ne s'agit pas d'une atteinte à la vie privée car « les messages n'ont pas été ouverts par l'employeur ».

Alors, quelles sont les règles ?


L'arrêt de référence a été rendu par la Cour de cassation le 2 octobre 2001 (N° 99-42942). La Cour rappelle le principe : « Le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée. Celle-ci implique en particulier le secret des correspondances ». Et l'applique au courrier électronique : « L'employeur ne peut prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur.

Problème : comment savoir si le mail relève de la vie privée du salarié ?

La réponse est venue avec un arrêt du 30 mai 2007 (N° 05-43102). Les juges doivent « rechercher si les fichiers ouverts sur le matériel mis à sa disposition par l'employeur avaient été identifiés comme personnels par le salarié ». L'apparence du fichier, le nom d'un dossier, l'objet d'un mail, seront autant d'indices qui devront conduire l'employeur a mettre de côté sa curiosité.

Une autre affaire, jugée le 6 juin 2007 (N° 05-43996), montre l'importance de ces limites.  Un salarié avait envoyé à son collègue un courrier électronique qualifié « d'insultant et de méprisant à l'égard de ses supérieurs hiérarchiques ». L'employeur avait procédé alors à son licenciement. Mais le licenciement qualifié d'abusif, car ce mail avait un caractère privé. Surtout, il n'avait « causé aucun trouble objectif caractérisé dans l'entreprise ». Un mail à caractère privé qui occasionne d'importants troubles sur le lieu de travail ne sera plus protégé par le dogme du secret de la correspondance.

Dans notre affaire, l'employeur n'a pas ouvert les mails, mais a estimé que, au vu du nombres de ces mails, la salariée ne se consacrait pas suffisamment au travail, ce qui constitue une faute disciplinaire. Ainsi, le débat était posé sur la terrain personnel, pour ne pas avoir à se prononcer sur le « trouble objectif » causé dans le fonctionnement de l'entreprise. Le raisonnement me parait bon. En revanche, je pense qu'on peut discuter la sévérité de la mesure – le licenciement – alors que, dans le contexte, une moindre sanction aurait tout aussi bien permis de rappeler la règle.

Exercer son droit d'accès : une requête absconse pour les entreprises…

(Source :  Emmanuelle Lamandé, Globalsecuritymag)

Quelles appréciations votre employeur ou votre banquier a-t-il fait figurer dans votre dossier ? Quelles informations figurent dans votre dossier médical ? La loi Informatique et Libertés vous donne un droit d'accès et de regard sur l'utilisation qui est faite de vos données personnelles. Le responsable du traitement a l'obligation de vous communiquer des informations complètes, claires et lisibles, dans un délai de 2 mois. A l'occasion de la 3ème Université AFCDP* des Correspondants Informatique et Libertés, Gaëlle Gissot et Christian Kopp, membres de la première promotion du Mastère Gestion et Protection des Données Personnelles (ISEP), nous ont présenté les résultats de leur étude visant à déterminer les réactions des entreprises face à une telle requête.

* Association Française des Correspondants à la protection des Données à caractère Personnel

Le droit d'accès est un droit de regard sur nos données, un droit personnel et discrétionnaire, qui s'exerce librement sans besoin de justification. Qu'il s'agisse d'une simple curiosité ou de motivations plus précises, vous avez le droit de savoir si vous figurez dans les fichiers de tel ou tel organisme, et si oui d'en connaître le contenu. Il peut également s'agir d'une vérification de la mise à jour des données. La seule limite à ce type de requête concerne les demandes abusives ou récurrentes.

Le responsable du traitement a l'obligation de vous communiquer des informations complètes, claires et lisibles, dans un délai de 2 mois

Cette requête peut s'exercer de différentes manières : sur place, par courrier postal, par email ou via le site Internet. Cependant, pour ce faire, vous devez fournir un justificatif d'identité. Seul le coût de la reproduction des copies, si demandées, sera à votre charge.

Le responsable du traitement a pour obligation de vous communiquer des informations complètes, claires et lisibles. L'organisme dispose d'un délai de 2 mois pour répondre à la demande. A défaut, l'infraction d'opposition au droit d'accès est constituée. En cas de défaut de réponse ou le refus, de réponse non conforme à la loi (réponse hors délai, incomplète ou incompréhensible), la gestion de la demande est considérée comme non conforme.

Les risques encourus en cas de non respect de la demande peuvent aller d'une simple réclamation à la saisine du service de plainte de la CNIL, qui peut s'en suivre d'un avertissement de la CNIL et, dans de rares cas, d'une amende de 1.500 euros, ce qui n'est pas très dissuasif pour les responsables de traitement.
11 réponses correctes sur 52 demandes

Dans le cadre de leur étude, Gaëlle Gissot et Christian Kopp, membres de la première promotion du Mastère Gestion et Protection des Données Personnelles (ISEP), ont émis 52 demandes auprès de divers organismes dans différents secteurs. Seules 11 d'entre elles ont correctement abouti. Près de 6 organismes ont répondu rapidement, cependant la réponse est souvent loin d'être exhaustive. Ils ont, en majeure partie, dû faire face à l'incompréhension de leurs interlocuteurs. Souvent, en effet, les organismes ne comprennent pas la demande, qu'elles confondent généralement avec le droit à l'opposition. Les premières réactions ont, le plus souvent, laissé place à la surprise, l'interrogation, l'évitement ou encore la peur liée à la méconnaissance de la loi, au caractère inhabituel de la sollicitation et à la crainte d'un litige. Les entreprises communiquent aisément les informations non sensibles issues de la collecte directe, telles que le nom, l'adresse, le téléphone, … Il est, en revanche, plus difficile d'obtenir des données créées par l'entreprise (scoring, commentaires, …). La peur des conséquences entraîne, généralement, la dissimulation d'informations secrètes.

Parmi les principaux écueils lors de leurs demandes, on retiendra quelques exemples significatifs : dans le milieu bancaire, malgré le formalisme strict de la réponse, les données personnelles de la personne concubine ont également été divulguées lors de la réception des informations, ce qui représente une violation au droit de confidentialité. Dans la grande distribution, ils n'ont pas observé de véritable transparence concernant l'utilisation des cartes clients, mais un fort barrage sécuritaire lors de la requête. Un organisme de transport voulait, quant à lui, leur faire payer une redevance forfaitaire, alors que celle-ci a été supprimée par la nouvelle loi. Dans le secteur de la santé, plus particulièrement dans un laboratoire, les données personnelles ont été transmises uniquement sur présentation de la carte vitale, sans demande de pièce d'identité, ce qui est contraire à la loi. Encore pire dans le second cas, en appelant un hôpital, l'interlocutrice à transmis les informations demandées par téléphone, y compris celles de la famille, sans preuve d'identité.

Les possibilités de contrôle des salariés par l'employeur

(Source : http://www.eurojuris.fr/fre/entreprises/rh/discipline-licenciement/articles/5630.html)

La généralisation de l'informatique et ses innombrables possibilités d'enregistrement et de recoupement d'informations sur les personnes ravive la problématique du contrôle des salariés et offre l'occasion de rappeler quelques uns des principes essentiels en la matière.


Le contrôle des salariés, un droit de l'employeur inhérent au contrat de travail…

L'existence du contrat de travail résulte du pouvoir reconnu à l'employeur de donner des instructions, de sanctionner et de contrôler l'activité de ses salariés. Ainsi, l'existence même du contrat de travail, confère à l'employeur le droit de contrôler l'activité de ses salariés.

… qui doit être combiné avec le respect des libertés individuelles et l'exécution de bonne foi du contrat de travail (art. L 1121-1 du Code du travail)


Il découle de l'articulation de ces principes que les procédés de contrôle des salaries doivent :

  • Etre justifiés par la nature des tâches à accomplir et proportionnés au but recherché


Par exemple, les fichiers informatiques identifiés comme personnels par le salarié et contenus dans le disque dur de l'ordinateur mis à sa disposition, ne peuvent être ouverts par l'employeur qu'en présence du salarié et de risques ou d'évènements particuliers.


  • Avoir fait préalablement l'objet d'une information des salariés et d'une consultation des institutions représentatives du personnel : tout enregistrement d'images ou de paroles à l'insu des salariés est irrecevable, peu important les raisons de cet enregistrement.

  • Préserver les droits de la défense du salarié : les modalités du contrôle doivent être contradictoires. Le recours à l'alcootest n'est par exemple licite que pour autant que le salarié ait pu désigner un témoin et exiger une seconde mesure.

  • Etre déclarés à la CNIL dès lors qu'ils contribuent à la collecte d'informations individuelles.

A défaut de satisfaire à ces conditions, les informations recueillies par ces procédés constituent des modes de preuve illicites.

Dans ce contexte formaliste, le règlement intérieur et/ou la charte informatique, en ce qu'ils permettent de décliner les modalités de contrôle et d'en informer le salarié, apparaissent comme des outils indispensables pour donner au pouvoir de contrôle de l'employeur sa pleine et entière portée.

Un internaute piégé par ses traces sur la Toile

(Source :LE MONDE)

Baptisons-le Jules pour cette fois. Début décembre 2008, ce jeune salarié d'un cabinet d'architecte de l'agglomération nantaise a eu la surprise de voir sa biographie publiée dans le bimensuel Le Tigre. Ce magazine alternatif a décidé de lui consacrer son "premier portrait Google", collectant mille détails de la vie de cet anonyme "grâce à toutes les traces qu'il a laissées, volontairement ou non" sur des sites de réseau social comme Facebook, Flickr ou YouTube.

L'article qui en résulte est volontairement glaçant. "Bon anniversaire Jules", lit-on en guise d'accroche, avant de découvrir la date anniversaire de l'intéressé. "Tu permets qu'on se tutoie, Jules ? Tu ne me connais pas, c'est vrai. Mais moi, je te connais très bien." S'ensuit un résumé précis des voyages et goûts musicaux de cet homme, ainsi que de ses différentes rencontres amoureuses.

Le Tigre revendique pleinement ce déballage, voulant mettre en exergue "l'idée qu'on ne fait pas vraiment attention aux informations privées disponibles sur Internet et que, une fois synthétisées, elles prennent soudain un relief inquiétant".

Alerté par un ami de la diffusion de ce portrait, Jules a d'abord pris la mésaventure à la légère. "Mais quand j'ai commencé la lecture, cela m'a fait pâlir", rapporte-t-il au quotidien nantais Presse Océan, qui a révélé l'affaire. L'internaute a aussitôt demandé la suppression de l'article mis en ligne sur le site du Tigre. Désormais, seule une version édulcorée et travestie subsiste.

"SOURCES PUBLIQUES"


Jules, qui affirme avoir désormais "verrouillé" sa vie, n'entend pas porter plainte. "Ce serait de toute façon difficilement tenable devant un juge, estime Alex Türk, président de la Commission nationale de l'informatique et des libertés (CNIL). Le magazine n'a fait qu'utiliser des sources publiques."

Cette mésaventure illustre la complexité de la galaxie Internet. "Le fait même d'entrer dans ce type de réseau, souligne M. Türk, revient à accepter de réduire son périmètre d'intimité."

"Les nouvelles technologies favorisent la confusion des espaces publics et privés, renchérit Dominique Pécaud, sociologue à l'université de Nantes. D'un côté, on glisse vers une privatisation des espaces publics, via notamment la vidéosurveillance. De l'autre, on expose sa vie privée dans des espaces qui sont presque publics. On assiste à un recentrage sur l'individu, comme s'il devenait une institution."

Se pose "une question fondamentale de nature psychologique et philosophique", selon M. Türk : "Qu'est-ce qui fait que les jeunes ont besoin d'exposer leur vie intime et d'apprendre tout de la vie d'inconnus ? Il y a là un étrange phénomène d'exhibitionnisme partagé et de narcissisme mutuel."

La CNIL, indique-t-il, a été sollicitée il y a peu par une autre victime collatérale du Net : "Lors d'un entretien d'embauche, un jeune homme s'est vu présenter une photo de ses fesses. Ses employeurs potentiels l'avaient trouvée sur Internet. Cette image était la conséquence d'une soirée arrosée. Il n'a pas eu l'emploi."

Les vingt-sept CNIL européennes souhaitent proposer "un certain nombre de garde-fous" avant la fin de l'année, afin de permettre aux adeptes du Web d'effacer leurs données dès qu'ils le souhaitent.

SMS, e-mails : ces nouvelles preuves pour les divorces

(Source : Le Figaro)

De jour, une vie tranquille. De nuit, une passion : des heures durant, s'émoustiller sur des sites pornographiques payants. Cela aurait pu durer si sa femme n'avait découvert par hasard une image choquante restée affichée sur l'écran de l'ordinateur familial. Avec ses maigres connaissances informatiques, elle a pu remonter les pérégrinations nocturnes de son époux, ses vices en ligne, qui finissaient par sérieusement entamer ses revenus. C'est avec ces preuves qu'elle a  «demandé le divorce», raconte son avocate, Me Sonia Cohen Lang, spécialiste des affaires familiales. «Nous avions d'autres éléments, mais ces déviances ont pesé sur la décision du juge : un divorce aux torts exclusifs du mari.»

À mesure que l'informatique pénètre dans les foyers, les preuves numériques envahissent les dossiers de divorce. Pis encore. Elles suscitent les ruptures. «Désormais, on découvre l'adultère en tombant sur un e-mail ou un texto», explique l'avocate Élodie Mulon. «Je la voyais accrochée à son téléphone toute la soirée», confirme un divorcé. En fouillant l'appareil, les textos enflammés ont signé le forfait. Les e-mails en disent plus long encore.

«C'est au juge d'apprécier»


En quelques années, «les courriels ont d'ailleurs révolutionné les divorces, car ils sont crus et directs et donnent une idée précise de l'ambiance familiale», assure Me Mullon . De nombreux avocats y voient une preuve idéale, écrite. Et les requêtes comportent maintenant «des kilos d'e-mails», ironise Me Poivey-Leclercq. «Comme le droit français laisse la preuve libre, chacun peut produire ce qu'il veut et c'est au juge d'apprécier», résume Franck Franchi, conseiller à la cour d'appel de Paris. Un système parfois «pervers », selon lui. Puisque même si les éléments apportés ne sont pas retenus officiellement, «ils peuvent néanmoins influencer le magistrat qui doit en prendre connaissance», reconnaît Alain Bensoussan, spécialiste du droit informatique. La plupart de ses clients le consultent après avoir mis l'ordinateur aux aveux, pour légaliser les indices obtenus.

Car la loi encadre néanmoins ces preuves. Deux décisions récentes ont forgé la jurisprudence. D'une part, il ne suffit pas d'invoquer le respect de la vie privée pour invalider les e-mails subtilisés sur une messagerie. Le divorce est forcément une affaire intime, estiment les juges, dont il faut bien établir la

cause. Les magistrats acceptent désormais des courriels destinés à des tiers ou un journal intime déniché sur le disque dur de l'ordinateur familial, s'ils ont été obtenus «sans violence et sans fraude». Ce sera cependant au conjoint de prouver la fraude, de démontrer que «sa messagerie ou ses documents étaient protégés par un mot de passe personnel et secret. Ce qui s'avère difficile avec l'ordinateur familial», reconnaît Marie-Bénédicte Maizy, juge aux affaires familiales au tribunal de Nanterre. La preuve informatique a ainsi de beaux jours devant elle. D'autant que l'ordinateur sert parfois de détonateur. Informé secrètement d'une liaison, l'époux peut alors envoyer un huissier au bon endroit pour constater l'adultère…

Une vie comme un procès-verbal


Cette nouvelle arme paraît radicale. Mais l'impact faiblit à mesure qu'elle se généralise. Les juges sont méfiants lorsque les e-mails sont manifestement rédigés pour forger des preuves, durant la procédure. «Ils n'en peuvent plus de cette intimité dévoilée», ajoute Me Cohen Lang, qui n'utilise «que les e-mails factuels qui montrent qu'il y a eu dissimulation d'argent, des virements secrets…» Ou pour démontrer l'impossibilité d'une résidence alternée, alors que les simples dates de vacances suscitent des échanges hargneux.

Juge aux affaires familiales jusqu'à l'année dernière à Toulouse, Véronique Dehors s'inquiète même «de la guerre perpétuelle que les e-mails entretiennent. Chacun a l'impression de marquer des points, de détenir une preuve», regrette-t-elle . Un genou d'enfant écorché, un carnet de santé oublié, un retour de vacances en retard… Tout est consigné, les ex-époux menant parfois leur vie comme un procès-verbal, sans jamais cicatriser. Or, «un dossier n'est pas fondé sur un seul e-mail. Au mieux, c'est un commencement de preuve». D'autant qu'il est difficile de certifier l'origine et la véracité de ces courriers électroniques.

Enfin, sur le fond,  c'est une mauvaise piste, car le législateur a voulu depuis 2004 dissuader les parties d'aller vers un divorce pour faute», rappelle Hélène Poivey-Leclercq. Les e-mails, même s'ils prouvent l'adultère, ne changeront rien à la garde des enfants ou encore à la prestation compensatoire, désormais déconnectées des torts.

28 janvier journée européenne de la protection des données déclaration d'Alex Türk, président du G29

(Source : http://www.cnil.fr)

La célébration de cette 3ème Journée de protection des données personnelles donne à l'ensemble des autorités de protection des données l'occasion de rappeler, avec force, le droit élémentaire de chacun à la protection de ses données personnelles. Il n'est en effet pas concevable que dans nos pays, où l'on inscrit le droit à la protection des données parmi les droits fondamentaux imprescriptibles tels que la liberté d'aller et venir ou la liberté de la presse, nos concitoyens n'aient pas une pleine conscience de l'importance de ce droit et pour certains, n'en connaissent pas même l'existence. Nous devons donc nous engager résolument dans un puissant effort de pédagogie en expliquant que la protection des données n'est pas, et ne doit pas être conçue comme un thème abstrait ou théorique.

De quoi s'agit-il en réalité ? Il s'agit de protéger notre droit à ne pas être fiché, surveillé, contrôlé de manière abusive, et ce, même si nous n'avons rien à nous reprocher. Il s'agit de protéger en conséquence, la dignité humaine et l'intimité de chacun.


À l'heure où nous laissons chaque jour un peu plus de nos données personnelles sur Internet, et où nous acceptons plus ou moins consciemment d'être l'objet d'un traçage quotidien (par la biométrie, les puces RFID, la vidéosurveillance, les réseaux sociaux, la géolocalisation etc…), vie privée et espace public s'interpénètrent jusqu'à ne plus former qu'un, mettant en péril notre droit à l'intimité. Il convient de lutter contre cette dérive, de refuser d'admettre l'idée d'être tracé, de ne pas en être pénalisé pour autant et de faire preuve d'auto vigilance.

La sensibilisation des citoyens à travers toute l'Europe et, en particulier, des jeunes au droit fondamental à la protection de leurs données, est donc un objectif prioritaire de nos autorités de protection des données qui ont, en 2008, engagé plusieurs actions en ce sens. Ainsi, le groupe de l'Article 29 a, au cours de cette année, adopté plusieurs avis clé pour le citoyen. Ceux-ci concernent l'utilisation des données par les moteurs de recherche et la protection des mineurs.


Dans le même esprit, lors de la dernière Conférence mondiale "informatique et libertés" qui s'est tenue à Strasbourg en octobre 2008, les représentants de 60 autorités de contrôle de tous les continents, ont voté deux résolutions relatives aux réseaux sociaux et à la protection des mineurs.


Devant la gravité des risques et dérives énoncés, les autorités de protection des données doivent, de manière urgente, être dotées des moyens nécessaires pour rendre leurs actions plus efficaces sur le plan international. La protection des données doit être rendue plus concrète et accessible au grand public, et faire appel à l'auto vigilance de chacun. C'est à cette double condition que ces autorités pourront influencer les opinions publiques, et donc être entendues par les Etats et la communauté internationale.

À cet égard, il serait particulièrement bienvenu d'instaurer, chaque année, une journée voire une semaine mondiale de la protection de la vie privée et des données personnelles, comme l'a recommandé à l'unanimité, la 30ème conférence mondiale des autorités de protection des données en octobre dernier. ( Fait à Bruxelles, le 26 Janvier 2009    Le Président du Groupe de l'Article 29 Alex Türk)

fichiers de gestion des ressources humaines d'entreprises (source Newspress.fr, juillet 2008)


La CNIL a décidé d'effectuer des contrôles sur les fichiers de gestion des ressources humaines d'entreprises. Ces contrôles ont conduit pour certains, à l'engagement de procédures de sanction. Ils ont également démontré la nécessaire vigilance qui doit accompagner le développement par les entreprises des outils informatiques concernant la gestion de leurs salariés.

Le contrôle par la CNIL des conditions de mise en oeuvre de la loi "informatique et libertés" par les entreprises dans le cadre de leurs applications «RH» constituait une activité importante de son programme annuel de contrôle adopté le 23 mai 2007. En outre, certains de ces contrôles résultaient de l'instruction de plaintes.

Les constats les plus fréquemment établis concernent la mauvaise information des salariés sur leurs droits, la faiblesse des mesures de sécurité mises en place, notamment en cas de transfert à l'étranger de données, ou l'absence de politique de purge des données.

Ces contrôles ont également permis à la CNIL d'avoir une vision précise de l'évolution des pratiques des entreprises sur des sujets nouveaux.

Les dispositifs d'alerte professionnelle sont peu utilisés par les entreprises

Les contrôles menés ont permis de constater l'absence d'utilisation, par les salariés français, des dispositifs dits «d'alerte professionnelle». Si les quelques contrôles effectués ne permettent pas d'avoir une vison globale de leur utilisation en France, la tendance qui se dégage paraît toutefois indiquer que ces dispositifs ne présentent guère d'utilité au regard des dispositions du code du travail ou de l'utilisation, classique, de la voie hiérarchique afin de signaler des dysfonctionnements.

De plus, la mauvaise appréhension, par les entreprises, des contraintes issues de la loi "informatique et libertés" lors de la mise en oeuvre de ces dispositifs, notamment quant à leur champ d'application doit être soulignée.

Cette mauvaise appréhension trouve sa forme la plus évidente par l'absence d'accomplissement de formalités préalables auprès de la CNIL. Les sociétés contrôlées ayant mis en oeuvre des dispositifs d'alerte professionnelle, ou envisageant de le faire dans un bref délai, n'ont pas effectué les formalités préalables prévues par la loi. Cette absence de formalités préalables ne résulte pas d'une ignorance des obligations issues de la loi de 1978 mais d'une sorte de «réticence» à porter à la connaissance de la Commission des traitements dont la conformité ne correspond pas aux principes dégagés par la CNIL dans ses différentes décisions.

L'ensemble de ces constats milite pour une vigilance toujours accrue en matière de respect de la loi "informatique et libertés", corollaire nécessaire au développement constant des outils informatiques dans le monde du travail et des entreprises mondialisées. 

Contrôle CNIL (source Silicon.fr, juin 2008)


Un contrôle de la CNIL c'est un peu comme la pluie. Cela arrive lorsque l'on s'y attend le moins. L'an dernier la Commission Informatique et Libertés a réalisé environ 160 contrôles, parfois à la plus grande surprise des sociétés. Résultat, un bon nombre d'entreprises apparaissent au fait de leurs obligations à propos de la sauvegarde des données personnelles.

Un sondage élaboré par Legal Suite, éditeur de solutions juridiques d'entreprises et le Village de la Justice paru ce jeudi 19 juin met à jour certains manques dans les relations entre les entreprises et la CNIL.

[…]
Lors des audits, 27 % des entreprises ne sont pas aux normes de la CNIL en matière de prospection commerciale : " les sociétés doivent connaître ce qu'elles risquent en cas de contrôle. Savoir que certaines d'entre elles n'ont pas vraiment d'expertise sur leurs données personnelles ne m'étonne pas. Il reste encore beaucoup de travail à faire ". Merav Griguer, sa consœur ajoute : "Désormais les professionnels commencent à intégrer le principe de Convenience (conformité). C'est tout de même un pas sur la bonne voie ". Un domaine parfois trop peu exploré par les sociétés et source de contentieux.

Données personnelles et vie privée (source Legalis, juin 2008)

Le respect de la vie privée n'interdit pas au juge d'ordonner l'accès aux fichiers d'un salarié


Un juge de référé peut ordonner à un huissier d'accéder aux fichiers qu'une salariée considère comme personnels mais qu'elle n'a pas spécifiés comme tels, a estimé la Cour de cassation dans un arrêt du 10 juin 2008. Une société soupçonnait une employée d'utiliser un ordinateur de l'entreprise pour commettre des actes de concurrence déloyale.

La société avait obtenu du président du tribunal de commerce une ordonnance de référé autorisant un huissier à accéder à l'ordinateur mis à sa disposition par l'employeur, en présence de la salariée ou celle-ci dûment appelée, et à procéder à la copie des messages échangés avec des personnes susceptibles d'être concernées par les faits de concurrence déloyale.

L'employée a invoqué le respect de l'intimité de la vie privée et le secret des correspondances pour faire obstacle à ce contrôle. Selon elle, les fichiers non identifiés comme personnels l'étaient par leur objet.

Pour la Cour, « le respect de la vie personnelle du salarié ne constitue pas en lui-même un obstacle à l'application de l'article 145 du code de procédure civile, dès lors que le juge constate que les mesures qu'il ordonne procèdent d'un motif légitime et sont nécessaires à la protection des droits de la partie qui les a sollicitées ». La cour suprême approuve la décision de la cour d'appel qui avait estimé qu'il existait des raisons légitimes et sérieuses de craindre des actes de concurrence déloyale. 


Copyright (C) 2008-2012 Axil Consultants. Tous droits réservés.contact@axil-consultants.fr