26 janvier 2019

On revient au début

La protection des données personnelles

La Commission nationale de l’informatique et des libertés (Cnil), l’autorité française de contrôle en matière de protection des données personnelles, a infligé lundi une amende de 50 millions d’euros à Google pour ne pas avoir informé de manière suffisamment claire ses utilisateurs sur l’exploitation de leurs données. La protection de ces informations est garantie par un certain nombre de textes législatifs en France. Les débats autour de la gestion des données personnelles se sont amplifiés depuis l’apparition de l’informatique, d’Internet et la multiplication des scandales de fuites.


Le concept

« Toute information identifiant directement ou indirectement une personne physique » est considérée comme une donnée personnelle, selon la Cnil. Il peut s’agir d’un nom, d’un numéro d’immatriculation, d’une adresse, d’une photographie, d’une empreinte digitale, d’un identifiant en ligne ou d’une donnée sur le physique. La protection des données personnelles est encadrée par plusieurs textes. L’article 12 de la Déclaration universelle des droits de l’homme de 1948 garantit le droit d’être protégé contre des « immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance ». L’article 8 de la Convention européenne des droits de l’homme, signée en 1950, reprend cette idée en ajoutant qu’une autorité publique ne peut y contrevenir qu’à condition que cela soit « nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et des libertés d’autrui ».


Les dates clés

1978

La loi sur l’Informatique et les libertés, adoptée en 1978, institue la Cnil, une autorité administrative indépendante chargée de veiller à l’application de ce texte. Sa création intervient alors que les inquiétudes grandissent autour de la gestion des données personnelles avec l’avènement de l’informatique, en particulier depuis la révélation en 1974 du projet Safari, un système automatisé que le gouvernement souhaitait mettre en place pour croiser toutes les données des fichiers administratifs avec un identifiant unique à chaque citoyen. Les opposants à ce système forcent l’exécutif à abandonner ce projet et à mettre en place une commission parlementaire chargée de proposer une réglementation qui aboutit à la loi de 1978. Celle-ci affirme que « l’informatique doit être au service de chaque citoyen » et qu’elle ne doit pas porter atteinte aux libertés individuelles et à la vie privée. Pour y veiller, la Cnil émet des recommandations, des autorisations, traite des plaintes et dispose également d’un pouvoir de sanction.

2008

Le gouvernement publie en juillet 2008 un décret instaurant le fichier Edvige, qui regroupe des données sur des personnes ayant « sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif », ainsi que sur des individus dès l’âge de 13 ans ou des organisations « susceptibles de porter atteinte à l’ordre public ». Dans un avis publié le lendemain, la Cnil estime que certaines de ses recommandations n’ont pas été prises en compte, dont la collecte d’informations sur des mineurs. Une pétition, qui reçoit plus de 200 000 signatures, et des protestations poussent le gouvernement à retirer son décret en novembre. Il le remplace par un nouveau fichier baptisé EDVIRSP : celui-ci ne concerne que des personnes menaçant la sécurité publique, exclut les données liées à l’origine ethnique, à la santé et à la vie sexuelle et prévoit d’effacer les données sur les mineurs à partir de leur majorité.

2013

Le 6 juin 2013, le quotidien britannique The Guardian publie un article comportant un document classé secret défense de la NSA, une agence américaine de renseignement, révélant que l’opérateur de téléphonie américain Verizon lui transmet toutes les données sur les appels de ses clients, y compris leurs conversations passées en dehors des États-Unis. C’est le premier document d’une plus longue série, transmise à plusieurs médias par le lanceur d’alerte américain et ancien consultant de la NSA Edward Snowden. Celui-ci dévoile alors un système de surveillance généralisée mis en place par les agences de renseignement américaine et britannique. « Les révélations d’Edward Snowden ont permis de lever un tabou et de comprendre que des individus sont surveillés sans aucun fondement, avec des données collectées sans qu’aucun tri ne soit fait et sans adéquation avec leur exploitation finale », explique à Brief.me Nathalie Devillier, professeure en droit du numérique à la Grenoble École de Management.

2016

Le Parlement européen et le Conseil de l’UE adoptent en 2016 le Règlement général sur la protection des données (RGPD), entré en application en mai 2018. Jusqu’ici, la protection des données au niveau européen était encadrée par une directive de 1995, mais celle-ci avait été rendue « obsolète par le développement technologique et la multiplication des failles de sécurité », précise Nathalie Devillier. Le RGPD uniformise la protection des données personnelles dans l’UE. Il permet d’adopter des sanctions contre n’importe quelle entreprise, même si son siège n’est pas situé dans l’UE, dès lors qu’elle collecte des données sur une personne physique dans l’UE sans son consentement. Il oblige également toutes les entreprises constatant une violation dans la gestion des données personnelles à alerter en moins de 72 heures les autorités de contrôle, comme la Cnil, sous peine de sanctions, et d’informer également leurs clients dans le cas de risques élevés pour eux. L’amende prononcée lundi par la Cnil contre Google est « historique », estime Nathalie Devillier, car il s’agit de la « première sanction infligée à une entreprise non européenne en se basant sur le RGPD ».


Les scandales

Sony. L’entreprise japonaise Sony annonce en 2011 avoir été la cible d’attaques informatiques sur PlayStation Network, un service qui permet aux utilisateurs de sa console de jeu PlayStation de s’affronter en ligne, ainsi que sur son service de musique et de films en ligne Qriocity. Les données de plus de 77 millions d’utilisateurs ont été dérobées. Le service est suspendu pendant 23 jours. Il s’agit alors de l’une des plus grosses fuites de données, selon des propos tenus à Reuters par Alan Paller, directeur du SANS Institute, une organisation américaine de recherche et de formation sur la sécurité de l’information.

Yahoo. L’entreprise américaine Yahoo annonce en septembre 2016 que des pirates informatiques ont dérobé en 2014 les informations personnelles d’au moins 500 millions de ses utilisateurs, ce qui en fait le nouveau plus important vol de données informatiques par le nombre de personnes touchées. Cette révélation est complétée par une autre en décembre 2016 : l’entreprise avoue avoir été victime d’un autre piratage, en 2013, qui a concerné près d’un milliard de comptes. Fin 2017, l’entreprise reconnaît finalement que ces piratages ont concerné l’ensemble de ses 3 milliards d’utilisateurs.

Facebook. Le réseau social américain Facebook admet en mars 2018 que Cambridge Analytica, une entreprise spécialisée dans l’analyse de données électorales qui a notamment travaillé pour l’équipe de campagne de Donald Trump, a aspiré en 2015 les données d’utilisateurs à leur insu, en utilisant une application présentée comme un projet de recherche universitaire. 87 millions d’utilisateurs sont concernés. Le réseau social avait supprimé l’application en 2015 et obtenu la promesse que ces données avaient été détruites, mais affirme avoir appris que cela n’avait pas été entièrement le cas.