Internet et la protection des données personnelles

7 633 vues

Publié le

Conférence de Sophie Vulliet-Tavernier, directeur des études et de la prospective de la CNIL au Club IES (IAE de Paris Alumni) le 3 Février 2011 sur le thème "Internet et la protection des données personnelles".

Publié dans : Technologie, Business

Internet et la protection des données personnelles

  1. 1. Internet et la protection des données personnelles Sophie Vulliet-Tavernier directeur des études et de la prospective CLUB IES 3 Février 2011
  2. 2. La protection des données personnelles: qu’est-ce que c’est?• Reconnaitre à toute personne des droits sur ses données• Encadrer l’usage des technologies de l’information• En Europe: une régulation par la loi et par une autorité de contrôle• Dans le monde, une disparité de situations…
  3. 3. La protection des données personnelles: les 4 piliers• Des principes fondamentaux pour encadrer les traitements de données personnelles• Des droits pour les personnes• Un régime de sanctions en cas de non respect des principes• Une autorité de contrôle indépendante
  4. 4. La protection des données personnelles La directive européenne du 24 octobre 1995 : en voie de révision La loi informatique et libertés du 6 janvier 1978 modifiée en 2004:une éthique de l’informatique appliquée aux données personnelles
  5. 5. Les 5 règles d’or de la protection des données 1. Respect de la finalité 2. Pertinence des données traitées 3. Conservation limitée des données 4. Sécurité et confidentialité 5. Respect des droits des intéressés (droit à l’information, droit d’opposition, droit d’accès et de rectification)
  6. 6. Statut et composition de la CNIL• Une Autorité Administrative Indépendante composée d’un collège pluraliste de 17 membres (hauts magistrats, parlementaires, conseillers économiques et sociaux, personnalités qualifiées)• Un Président élu par ses pairs: Alex Türk, sénateur du Nord• Les membres de la CNIL ne reçoivent d’instruction d’aucune autorité• Budget de l’ordre de 15 millions d’euros• Effectif : 140 personnes
  7. 7. Missions de la CNILProtéger la vie privée et les libertés 1. Informer et conseiller les autorités, les professionnels et le grand public 2. Contrôler les fichiers • La déclaration des fichiers • Les contrôles sur place 3. Sanctionner en cas de non-respect de la loi
  8. 8. Perspectives et enjeux : les 4 défis• Le défi technologique• Le défi « sécuritaire »• Le défi « globalisation »• Le défi de l’opinion publique
  9. 9. Le défi technologique• Internet, web 2.0 et 3.0, reseaux sociaux,wi-fi, biométrie, RFID, géolocalisation…les règles de protection des données sont-elles adaptées à ces évolutions et à ces nouveaux usages souvent peu prévisibles?• La problématique des traces (des déplacements des comportements, des habitudes de vie, des trajectoires de vie…)• Le facteur « irréversibilité »
  10. 10. 10
  11. 11. Géolocalisation de véhicules• Applications grand public – Suivi de son véhicule – Vol – Personnalisation de primes d’assurance – E-call – Etc.• Applications professionnelles – Personnalisation d’assurance – Géolocalisation de salariés – Géolocalisation de flottes de véhicules – Géo-pointage – Etc. 11
  12. 12. Google Latitude• Service de google maps• Géolocalisation par – GSM – Wifi – GPS• Paramétrage privacy• Risque d’utilisation à l’insu de la personne CNIL 12
  13. 13. Publicité ciblée « classique »1. Définir la cible (age, sexe, localisation,…)2. Rechercher la cible dans la base « client »3. Envoyer la publicité vers les personnes sélectionnées
  14. 14. Publicité ciblée « contextuelle »1. Définir la cible (mots clés)2. Analyser les contenus à la recherche de la cible3. Enrichir les contenus avec de la publicité
  15. 15. Publicité ciblée « comportementale » 1. Définir la cible (âge, sexe, localisation, catégorie,…) 2. Constituer un profil de l’internaute en analysant sa navigation. 3. Envoyer la publicité vers les internautes correspondants à la cible. Visite Intérêt: sportparis-saint-germain.fr Probablement un homme A cliqué sur la Intérêt: technophilepublicité « iPhone » Moins de 40 ans ProfilMoteur de recherche « Tokio Hotel » Age: 10 à 15 ans 21903 Adresse IP Habite à Lyon 80.12.18.201
  16. 16. Tendances• Evolutions technologiques – Publicité géolocalisée – Analyse comportementale au niveau de l’opérateur de télécommunication. • Phorm au UK et NebuAd aux USA – Convergence des supports: Internet, télévision et voix• Evolutions et pressions économiques – Concentration des acteurs de la publicité • Exemples: Google/DoubleClick, Microsoft/Aquantive, AOL/Tacoda, … • Conséquence : Augmentation des capacités de traçage – Convergence des rôles « fournisseur de services » et « fournisseur de publicité ». • Conséquence: Concentration des données personnelles CNIL 16
  17. 17. Quel choix pour l’internaute ?• La possibilité de s’opposer au traitement de collecte de données pour la publicité ciblée est: – Essentiellement sur le modèle de « l’opt-out ». – Essentiellement par le contrôle des cookies.• Contrôle des cookies: – Par refus de tous les cookies: rend inutilisable beaucoup de services. – Par refus au cas par cas: irréalisable en pratique. – Par cookie « opt-out »: ne résiste pas à un effacement périodique des cookies.• Conclusion: un choix illusoire pour l’internaute.• la transposition d’ici mai 2011 de la directive e-privacy du 18 décembre 2009: vers un opt in? CNIL 17
  18. 18. Le défi « sécuritaire »• Création et extension des fichiers de police ( STIC, (fichier de police judiciaire) FNAEG (fichier national des empreintes génétiques ), fichiers d’analyse sérielle,…• Accès élargi des autorités judiciaires et services de police aux fichiers informatiques et aux données de connexion sur internet• Développement de la vidéosurveillance (+ de 100 000 systèmes), de la biométrie, des systèmes de lecture automatique des plaques minéralogiques…• Intensification des échanges de données dans le cadre de la coopération policière, nouveaux systèmes d’information (Schengen, VIS…), données passagers aériens (PNR),…• Un encadrement européen et international à renforcer
  19. 19. Le défi « globalisation »• La mondialisation des échanges de données, l’externalisation informatique , le cloud computing• Le Monde internet: Google, réseaux sociaux…• L’absence d’un encadrement international de protection des données et une disparité de situations ( modèle européen, « APEC » Pays Asie-Pacifique, standards de l’industrie…)
  20. 20. Le défi de l’opinion publique• L’ambivalence de la technologie, l’informatique de confort• L’ignorance ou la mauvaise perception de la problématique informatique et libertés• L’indifférence…
  21. 21. Quels risques pour l’individu?• Traçage et droit à l’oubli effectif• Perte de contrôle de l’utilisateur sur son patrimoine numérique• divulgation, failles de sécurité, utilisation détournée, usurpation d’identité• Le profilage commercial, marchandisation des données• Un outil d’intelligence économique, des services de renseignement• La vie privée: un espace en voie de disparition?
  22. 22. Quelles réponses?• La réponse nationale• La réponse européenne et internationale
  23. 23. La nouvelle loi informatique et libertésLa loi du 6 août 2004 : réguler les données personnelles dans l’univers numérique • Transposition de la directive européenne de 1995 • Adaptation de la loi aux évolutions technologiques et aux nouveaux enjeux (ex : internet, biométrie…) • Évolution des pouvoirs de la CNIL (contrôle, sanction) • Allègement des formalités préalables
  24. 24. Depuis la nouvelle loi de 2004 Réorientation de la CNIL• Développer de nouveaux modes de contrôle• Promouvoir la communication et le conseil• Renforcer l’expertise technique et la veille prospective• Affirmer la dimension internationale de la protection des données• Réorganiser ses services et augmenter ses moyens : budget /effectif
  25. 25. Développer de nouveaux modes de contrôle• Un allègement et une exonération de déclaration mais un contrôle renforcé sur les fichiers sensibles, y compris du secteur privé et une démarche plus normative – 1,4 millions de fichiers déclarés; 75 000 déclarations/an; 2000 demandes d’autorisation/an• Le développement des correspondants informatique et libertés (CIL) – Plus de 7000 organismes;• La multiplication des contrôles sur place – De 30 contrôles en 2003 à près de 300 en 2010 – Programme annuel de contrôles: grands fichiers (ex STIC…) secteurs de la grande distribution, fichiers RH, banques, collectivités locales, spammeurs, google street view…• La mise en œuvre du pouvoir de sanction par la formation restreinte – Plus de 4000 plaintes – Plus de 400 mises en demeure – 60 sanctions pécuniaires pour un montant de 555 400 € – partenariats
  26. 26. Promouvoir la communication et le conseil • Actions de communication et de sensibilisation ciblées (jeunes, entreprises, secteurs professionnels…), présence sur facebook, twitter, appli i-phone, conseils pratiques… • Conseils, expertises techniques, recommandations (ex rapport sur publicité ciblée en ligne) et labellisation • Publications : site web, rapport annuel, guides pratiques…
  27. 27. Renforcer l’expertise technique et la veille prospective• Renforcement de l’analyse technique (sécurité) des projets informatiques (ex vote électronique, applications biométriques, DMP,…)• Développement des relations avec les industriels et prestataires de service, Google, Microsoft….• Participation à des programmes de recherche, suivi des projets des pôles de compétitivité, auditions (ex RFID, réseaux sociaux, nanotechnologies…), démonstrations, groupes de travail (ex suivi électronique des personnes vulnérables, biométrie)• Contribution aux actions de normalisation ( AFNOR, ISO…)• Création d’une direction des études et de la prospective.
  28. 28. Affirmer la dimension internationale de la protection des données• La présidence française du groupe européen des CNIL de 2008 à 2010• création de l’association francophone des autorités de protection des données en 2007 (27 représentants d’Etats francophones)
  29. 29. Quelle réponse internationale?• 50 Etats dotés de lois de protection des données• La révision des textes européens sur la protection des données: promouvoir le modèle européen• La promotion de standards mondiaux de protection des données – Adoption d’un socle de principes fondamentaux communs à Madrid en 2009 – Vers une convention internationale de la protection des données?
  30. 30. Commission Nationale del’Informatique et des Libertés www.cnil.fr 8, rue Vivienne CS 30223 75083 Paris Cedex 02

×