Conférence de Sophie Vulliet-Tavernier, directeur des études et de la prospective de la CNIL au Club IES (IAE de Paris Alumni) le 3 Février 2011 sur le thème "Internet et la protection des données personnelles".
Internet et la protection des données personnelles
1. Internet et la protection des
données personnelles
Sophie Vulliet-Tavernier
directeur des études et de la prospective
CLUB IES
3 Février 2011
2. La protection des données personnelles:
qu’est-ce que c’est?
• Reconnaitre à toute personne des droits sur ses
données
• Encadrer l’usage des technologies de
l’information
• En Europe: une régulation par la loi et par une
autorité de contrôle
• Dans le monde, une disparité de situations…
3. La protection des données
personnelles: les 4 piliers
• Des principes fondamentaux pour encadrer
les traitements de données personnelles
• Des droits pour les personnes
• Un régime de sanctions en cas de non
respect des principes
• Une autorité de contrôle indépendante
4. La protection des données
personnelles
La directive européenne du 24 octobre 1995 :
en voie de révision
La loi informatique et libertés du 6 janvier 1978
modifiée en 2004:une éthique de l’informatique
appliquée aux données personnelles
5. Les 5 règles d’or de la protection des
données
1. Respect de la finalité
2. Pertinence des données traitées
3. Conservation limitée des données
4. Sécurité et confidentialité
5. Respect des droits des intéressés
(droit à l’information, droit d’opposition, droit
d’accès et de rectification)
6. Statut et composition de la CNIL
• Une Autorité Administrative Indépendante
composée d’un collège pluraliste de 17 membres
(hauts magistrats, parlementaires, conseillers
économiques et sociaux, personnalités qualifiées)
• Un Président élu par ses pairs: Alex Türk, sénateur
du Nord
• Les membres de la CNIL ne reçoivent d’instruction
d’aucune autorité
• Budget de l’ordre de 15 millions d’euros
• Effectif : 140 personnes
7. Missions de la CNIL
Protéger la vie privée et les libertés
1. Informer et conseiller les autorités, les
professionnels et le grand public
2. Contrôler les fichiers
• La déclaration des fichiers
• Les contrôles sur place
3. Sanctionner en cas de non-respect de
la loi
8. Perspectives et enjeux : les 4 défis
• Le défi technologique
• Le défi « sécuritaire »
• Le défi « globalisation »
• Le défi de l’opinion publique
9. Le défi technologique
• Internet, web 2.0 et 3.0, reseaux sociaux,wi-fi,
biométrie, RFID, géolocalisation…les règles de
protection des données sont-elles adaptées à
ces évolutions et à ces nouveaux usages
souvent peu prévisibles?
• La problématique des traces (des déplacements
des comportements, des habitudes de vie, des
trajectoires de vie…)
• Le facteur « irréversibilité »
11. Géolocalisation de véhicules
• Applications grand public
– Suivi de son véhicule
– Vol
– Personnalisation de primes
d’assurance
– E-call
– Etc.
• Applications professionnelles
– Personnalisation d’assurance
– Géolocalisation de salariés
– Géolocalisation de flottes de
véhicules
– Géo-pointage
– Etc. 11
12. Google Latitude
• Service de google maps
• Géolocalisation par
– GSM
– Wifi
– GPS
• Paramétrage privacy
• Risque d’utilisation
à l’insu de la personne
CNIL 12
13. Publicité ciblée « classique »
1. Définir la cible (age, sexe, localisation,…)
2. Rechercher la cible dans la base « client »
3. Envoyer la publicité vers les personnes sélectionnées
14. Publicité ciblée « contextuelle »
1. Définir la cible (mots clés)
2. Analyser les contenus à la recherche de la cible
3. Enrichir les contenus avec de la publicité
15. Publicité ciblée « comportementale »
1. Définir la cible (âge, sexe, localisation, catégorie,…)
2. Constituer un profil de l’internaute en analysant sa navigation.
3. Envoyer la publicité vers les internautes correspondants à la cible.
Visite Intérêt: sport
paris-saint-germain.fr Probablement un homme
A cliqué sur la Intérêt: technophile
publicité « iPhone » Moins de 40 ans
Profil
Moteur de recherche
« Tokio Hotel » Age: 10 à 15 ans 21903
Adresse IP Habite à Lyon
80.12.18.201
16. Tendances
• Evolutions technologiques
– Publicité géolocalisée
– Analyse comportementale au niveau de l’opérateur de
télécommunication.
• Phorm au UK et NebuAd aux USA
– Convergence des supports: Internet, télévision et voix
• Evolutions et pressions économiques
– Concentration des acteurs de la publicité
• Exemples: Google/DoubleClick, Microsoft/Aquantive, AOL/Tacoda, …
• Conséquence : Augmentation des capacités de traçage
– Convergence des rôles « fournisseur de services » et
« fournisseur de publicité ».
• Conséquence: Concentration des données personnelles
CNIL 16
17. Quel choix pour l’internaute ?
• La possibilité de s’opposer au traitement de collecte de données pour
la publicité ciblée est:
– Essentiellement sur le modèle de « l’opt-out ».
– Essentiellement par le contrôle des cookies.
• Contrôle des cookies:
– Par refus de tous les cookies: rend inutilisable beaucoup de services.
– Par refus au cas par cas: irréalisable en pratique.
– Par cookie « opt-out »: ne résiste pas à un effacement périodique des cookies.
• Conclusion: un choix illusoire pour l’internaute.
• la transposition d’ici mai 2011 de la directive e-privacy du 18
décembre 2009: vers un opt in?
CNIL 17
18. Le défi « sécuritaire »
• Création et extension des fichiers de police ( STIC, (fichier de police
judiciaire) FNAEG (fichier national des empreintes génétiques ), fichiers
d’analyse sérielle,…
• Accès élargi des autorités judiciaires et services de police aux
fichiers informatiques et aux données de connexion sur internet
• Développement de la vidéosurveillance (+ de 100 000
systèmes), de la biométrie, des systèmes de lecture
automatique des plaques minéralogiques…
• Intensification des échanges de données dans le cadre de la
coopération policière, nouveaux systèmes d’information
(Schengen, VIS…), données passagers aériens (PNR),…
• Un encadrement européen et international à renforcer
19. Le défi « globalisation »
• La mondialisation des échanges de données,
l’externalisation informatique , le cloud
computing
• Le Monde internet: Google, réseaux sociaux…
• L’absence d’un encadrement international de
protection des données et une disparité de
situations ( modèle européen, « APEC » Pays
Asie-Pacifique, standards de l’industrie…)
20. Le défi de l’opinion publique
• L’ambivalence de la technologie,
l’informatique de confort
• L’ignorance ou la mauvaise perception
de la problématique informatique et
libertés
• L’indifférence…
21. Quels risques pour l’individu?
• Traçage et droit à l’oubli effectif
• Perte de contrôle de l’utilisateur sur son patrimoine
numérique
• divulgation, failles de sécurité, utilisation détournée,
usurpation d’identité
• Le profilage commercial, marchandisation des données
• Un outil d’intelligence économique, des services de
renseignement
• La vie privée: un espace en voie de disparition?
23. La nouvelle loi informatique et
libertés
La loi du 6 août 2004 : réguler les données
personnelles dans l’univers numérique
• Transposition de la directive européenne de 1995
• Adaptation de la loi aux évolutions technologiques
et aux nouveaux enjeux (ex : internet, biométrie…)
• Évolution des pouvoirs de la CNIL (contrôle,
sanction)
• Allègement des formalités préalables
24. Depuis la nouvelle loi de 2004
Réorientation de la CNIL
• Développer de nouveaux modes de contrôle
• Promouvoir la communication et le conseil
• Renforcer l’expertise technique et la veille
prospective
• Affirmer la dimension internationale de la
protection des données
• Réorganiser ses services et augmenter ses
moyens : budget /effectif
25. Développer de nouveaux modes de
contrôle
• Un allègement et une exonération de déclaration mais un contrôle renforcé sur
les fichiers sensibles, y compris du secteur privé et une démarche plus
normative
– 1,4 millions de fichiers déclarés; 75 000 déclarations/an; 2000 demandes
d’autorisation/an
• Le développement des correspondants informatique et libertés (CIL)
– Plus de 7000 organismes;
• La multiplication des contrôles sur place
– De 30 contrôles en 2003 à près de 300 en 2010
– Programme annuel de contrôles: grands fichiers (ex STIC…) secteurs de la
grande distribution, fichiers RH, banques, collectivités locales, spammeurs,
google street view…
• La mise en œuvre du pouvoir de sanction par la formation restreinte
– Plus de 4000 plaintes
– Plus de 400 mises en demeure
– 60 sanctions pécuniaires pour un montant de 555 400 €
– partenariats
26. Promouvoir la communication et le
conseil
• Actions de communication et de sensibilisation
ciblées (jeunes, entreprises, secteurs
professionnels…), présence sur facebook, twitter,
appli i-phone, conseils pratiques…
• Conseils, expertises techniques, recommandations
(ex rapport sur publicité ciblée en ligne) et
labellisation
• Publications : site web, rapport annuel, guides
pratiques…
27. Renforcer l’expertise technique et la
veille prospective
• Renforcement de l’analyse technique (sécurité) des projets
informatiques (ex vote électronique, applications biométriques,
DMP,…)
• Développement des relations avec les industriels et
prestataires de service, Google, Microsoft….
• Participation à des programmes de recherche, suivi des projets
des pôles de compétitivité, auditions (ex RFID, réseaux
sociaux, nanotechnologies…), démonstrations, groupes de
travail (ex suivi électronique des personnes vulnérables,
biométrie)
• Contribution aux actions de normalisation ( AFNOR, ISO…)
• Création d’une direction des études et de la prospective.
28. Affirmer la dimension internationale
de la protection des données
• La présidence française du groupe européen
des CNIL de 2008 à 2010
• création de l’association francophone des
autorités de protection des données en 2007
(27 représentants d’Etats francophones)
29. Quelle réponse internationale?
• 50 Etats dotés de lois de protection des données
• La révision des textes européens sur la protection
des données: promouvoir le modèle européen
• La promotion de standards mondiaux de
protection des données
– Adoption d’un socle de principes fondamentaux
communs à Madrid en 2009
– Vers une convention internationale de la protection des
données?