Mot-clé - CNIL

Fil des billets

lundi 27 juillet 2009

La CNIL s'inquiète (enfin) des logiciels-espions dans le projet de loi Loppsi 2

Cet automne promet d'être mouvementé, au vu de certains projets de lois que le gouvernement compte finaliser à ce moment-là. C'est ce que je me disais en voyant le projet de loi Loppsi 2, dont je parlais dans ce billet. D'autant plus chaud que la CNIL en rajoute une couche, avec son avis, rendu public ce 24 juillet, à propos de la Loppsi 2. Et le moins que l'on puisse dire est qu'elle est réservée quant à l'usage des logiciels-espions par la police, tels qu'ils sont esquissés dans le texte actuel.

Premier point, donc, à propos des logiciels-espions, que le projet de loi encadre - et légitime en leur donnant une reconnaissance légale. Comme je le décrivais dans mon billet précédent, le texte autoriserait, "sans le consentement des intéressés, d'accéder à des données informatiques, de les observer, les collecter, les enregistrer, les conserver et les transmettre". Ce qui inclut les lieux publics, comme... les cybercafés. Et ce dans le cadre d'une information judiciaire (pour des affaires de criminalité organisée), sous le contrôle d'un juge.

En clair, il instaurerait une surveillance des points publics d'accès à Internet (cybercafés et bornes d'accès publiques). Et ce en permettant d'enregistrer, durant au maximum 8 mois, "tous les caractères saisis au clavier et de toutes les images affichées sur l'écran de tous les ordinateurs d'un point d'accès public à Internet, et ce à l'insu des utilisateurs".

Problème : cela induirait "une forte exception" à la loi Informatiques et libertés du 6 janvier 1978, pointe la CNIL. Le problème étant que ces outils (particulièrement avec le projet Periclès) récolteraient des informations de tous ordres, sans trier "ce qui est utile ou non à la manifestation de la vérité"

Autre point inquiétant, ce projet ouvre la voie à des collectes de données sur des lieux "habituellement" protégés, comme les cabinets d'avocat,s ou les locaux d'un média : il "permettrait de collecter des données transitant sur des systèmes utilisés par des personnes protégées par la législateur" (tels les journalistes.

Aussi épinglé, le champ de l'extension des fichiers de police d'analyse sérielle, qui serait étendu à des infractions plus bénignes (peine de prison de 5 ans).

Le champ de cette collecte des données personnelles s'étendrait même aux personnes citées dans une procédure judiciaire sans y être impliquées (témoins...). Une banalisation de la fin de la confidentialité de ces fameuses données perso, en somme.

Un avis sans fard, mais hélas, purement consultatif... Qui plus est, un article du Monde du 25 juillet précise que la CNIL, saisie pour avis par le ministère de l'Intérieur le 16 avril dernier, n'a pu se pencher, dans le cadre de cette saisine, "que sur 7 articles, alors que le projet de loi en contient plus de 40". Débat parlementaire du texte, présenté en Conseil des ministres le 26 mai dernier, prévu pour cet automne.

mardi 5 mai 2009

Détecteur de mensonges pointé par les Big Brother Awards : Midot lance son plan com' en France

midot

Ils avaient été remarqués par Privacy International, et retenus dans le dernier palmarès des Big Brother Awards, dont je parlais dans cet article.

Un des projets primés fait froid dans le dos : Midot system a déployé dans près d'une trentaine de pays dans le monde... un détecteur de mensonges pour entretiens d’embauche. Ce « test d’intégrité, d’honnêteté et de fiabilité » proposé aux recruteurs, avait été dévoilé en novembre dernier par la newsletter Gestion sociale. Il s’agit de questionnaires en ligne, dont les modules s’ajustent en fonction des besoins des entreprises. Cela peut aller de l’exploration de l’histoire personnelle du salarié au détecteur de mensonges. « Cela n’est pas encore déployé en France, mais nous espérons attirer l’attention de la CNIL et de la Halde », avertissait en avril Jean-Marc Manach.

Justement, Midot est en train de déployer son plan médias pour lancer son produit en France. Les Echos publiaient aujourd'hui un article évoquant ce nouveau "marché", à partir duquel Midot pousse un peu plus loin, aux frontières du respect de la vie privée du salarié.

Bien au-delà de la simple vérification de la véracité du CV (que proposent déjà certaines sociétés, telle VerifDiploma, par des moyens parfois limites), Midot va plus loin. « Comme il n'est pas possible de passer les salariés au détecteur de mensonge (ce qui est interdit en France, NDLA), nous avons transformé la méthode, selon une formule brevetée, en un test", explique benoîtement au quotidien Amir Lapid, gérant de Midot France.

"Avez-vous déjà été considéré comme suspect dans une enquête policière, mis en examen ou condamné en justice ? Combien de fois vous êtes-vous battu, ou avez-vous pris le volant, ivre, l'année passée ? Accepteriez-vous que nous vérifions les informations que vous nous avez données auprès des autorités compétentes (police, justice, banques, précédent employeur) ?" Voilà quelques-unes des questions listées par Les Echos. Et Midot entretient l'ambiguïté, en comparant sa méthode à celle de "tests de personnalité" - sic.

Quelle attitude de la CNIL et de la Halde, auxquelles le dossier a été signalé par Privacy International ? "Contactée, la CNIL qui prenait connaissance du dossier, assurait qu'il faudrait également se montrer attentif à la manière dont les informations recueillies seraient conservées", précise le quotidien. Rien de plus, donc. Une brèche s'ouvrirait-elle donc ?

jeudi 8 janvier 2009

Le (très intrusif) pass Navigo de la RATP dans le collimateur de la CNIL

Alors que la RATP se fait fort de bien faire savoir à ses usagers que la classique carte Orange avec ses coupons en carton n'a plus droit de cité, son passe Navigo à puce intégrée, qui la remplacera définitivement au 1er février, est déjà très contesté. Il était temps. Car ce pass doté d'une puce intégrée (au passage lisible "sans contact" - les informations contenues sur la puce peuvent donc être lues à distance par un agent de la RATP muni d'un lecteur ad hoc), avait déjà pour immense inconvénient de pouvoir stocker, outre les données de l'utilisateur (nom, prénom, adresse...) durant 48 heures, les date, heure et lieu de passage dans un fichier. Une ficelle assez énorme, dénoncée - en vain - par les associations et la CNIL depuis ses débuts.

Du coup, la Commission nationale informatique et libertés avait exigé que la RATP propose à ses clients un passe Navigo découverte, qui combine carte nominative de transport et carte à puce anonyme, lancé en 2007. Or, comme l'a révélé Le Parisien d'hier, la RATP n'a "jamais vraiment lancé" ce fameux Graal, le pass Navigo version anonyme. En fait, non seulement il coûte 5 € (je trouve le fait de devoir payer pour circuler de façon anonyme énorme et révoltant, mais passons...). Mais surtout, la CNIL a mené une opération inédite de testing, qui a démontré l'extrême mauvaise volonté de la RATP de proposer ce pass, entre "ruptures de stocks"et agents RATP ignorant les demandes... comme elle en fait part dans ce communiqué=416&tx_ttnewsbackPid=1&cHash=cdc6eba400].

Pire : la CNIL a reçu des plaintes récentes de bénéficiaires du RMI ou de l'ASS qui doivent obligatoirement souscrire au pass Navigo non-anonyme pour obtenir un titre de transport gratuit ou à tarif réduit auquel ils ont droit. Affolant. Bref, la possibilité de l'anonymat est déniée aux plus modestes. Voilà qui fait de la RATP une très bonne candidate à la prochaine session des Big brother awards...

lundi 19 mai 2008

La CNIL veut davantage d'autonomie

... Et à tous points de vue. Lors de la présentation de son rapport d'activités annuel, la CNIL a annoncé avoir proposé au gouvernement un nouveau mode de financement, basé sur un abonnement annuel des entreprises et collectivités recourant à ses services. Ce qui lui permettrait de ne plus dépendre des subsides publics, comme j'en parle dans cet article dans Les Echos d'aujourd'hui.

Et ce dans un contexte où, plus que jamais, elle veut être la gardienne des libertés personnelles : vidéosurveillance, biométrie, conservation des données des internautes par les réseaux sociaux figurent parmi les dossiers chauds du moment. Et ce alors que le gouvernement lui présente cette semaine son nouveau projet de carte d'identité biométrique, discuté au Parlement cet automne... Lequel gouvernement est passé outre l'avis de la CNIL (à lire ) pour lancer par décret le futur passeport biométrique, qui sera doublé d'une base de données centralisées. A suivre de très près, à mon avis.

lundi 25 février 2008

La CNIL s'inquiète des projets européens de vidéosurveillance

De quoi se sentir plus anti-vidéosurveillance que jamais... J'en parle dans Les Echos d'aujourd'hui (article , accès libre pour les non-abonnés à partir de demain), le président de la CNIL Alex Türk s’inquiète des projets européens de vidéosurveillance, pour le moins préoccupants en termes de respect de la vie privée et de conservation des données personnelles d'individus par des sociétés privées...

Avec notamment le projet OpTag, doté d’un budget de 20 millions d'euros, carrément financé par la Commission européenne : il vise à pister les passagers aériens avant leur embarquement, par la vidéosurveillance et des puces RFID insérées dans les billets. Officiellement, il s’agirait de « repérer les 5 % de flâneurs qui retardent le départ des avions en traînant dans l'aérogare » - sic. Une justification absurde, qui montre que les initiateurs d'un tel projet cherchent à peine à masquer son caractère liberticide... C'est finalement cela qui est le plus flippant : leur certitude que ce projet verra de toute manière le jour.

En France, le thème de la vidéosurveillance est pour le moins épineux, alors que le ministère de l’Intérieur veut tripler, en deux ans, le nombre de caméras sur la voie publique, pour passer de 20 000 à 60 000. Et que la Place Beauvau vient de lancer la Commission nationale de la vidéosurveillance (voilà pour la présentation officielle) - contestée par la CNIL - participent des élus, des juristes, des représentants de la police, de la gendarmerie et des transports publics... mais pas de représentants d'associations, telles que Souriez vous êtes filmés.