La CNIL vient de publier son rapport d’activité de l’année 2013. Sans trop de surprise, l’affaire Snowden est la source de remarques et d’action de la commission. Pour ceux qui voudraient lire le rapport dans son intégralité, il est disponible ici.
source.

En propos liminaire, reconnaissons à la CNIL une ténacité certaine, un peu du même ordre que celle de la cour des comptes. Elle publie en effet à son 34° rapport, que tout le monde lit avec attention afin de mettre prestement en œuvre ses recommandations.

Trêve de persiflage, il y a du bon et du moins bon dans ce rapport. Commençons par le bon.
Dans son avant-propos, la présidente écrit Cette rupture (Prism) réside dans le fait que, sous couvert de lutte contre le terrorisme, la présomption d’innocence est inversée. Ainsi donc, tout le monde est surveillé a priori et plus seulement les « populations à risque ou suspectes » et ceci, au travers de ses usages quotidiens. La norme devient donc la surveillance généralisée par défaut des personnes, en dehors de tout cadre légal, ce qui n’est pas acceptable dans un État de droit. Certes. Il eût été cependant opportun de prolonger la remarque en évoquant un tantinet la dernière loi de programmation militaire plutôt que de la reléguer en page 40.
Encadrer les technologies et leurs usages n’est donc pas un crime de lèse-technologie mais une volonté légitime de garantir une utilisation de celles-ci respectueuse des libertés. Oui, évidemment.
Des grands acteurs économiques (GAFA) qui sont quelques uns à centraliser entre leurs mains l’architecture d’Internet, pourtant à l’origine très décentralisée. Oui, mis à part le fait que GAFA s’intéresse davantage aux services qu’à l’architecture, il y a là un véritable paradoxe de la recentralisation de l’Internet.
Dans tous les cas, il faut combattre farouchement l’argument sans cesse ressassé du « rien à se reprocher, rien à cacher ». Ce raisonnement simpliste est précisément celui qui était utilisé par les régimes totalitaires pour justifier la surveillance généralisée. Il associe le droit à l’intimité à la culpabilité plutôt que de l’associer à une liberté fondamentale non négociable. Il affirme que la vie privée est ce que l’on cache alors que la vie privée est l’expression de la volonté légitime d’autonomie de chacun d’entre nous. Cela fait du bien de le lire.

Maintenant, le moins bon.
Dès la page 4 du rapport, les chiffres clés sont fournis. 414 contrôles, 57 mises en demeure, 14 sanctions (dont 7 financières) et 5 avertissements dont 2 publics. Sans oublier 5640 plaintes et 15 notifications de violations de données personnelles. Autant dire que nous avons affaire à un porte-avions ayant la puissance de feu d’un pistolet à bouchons…
Un exemple valant mieux qu’un long discours, appuyons-nous sur cet article. Les fiches client en question renfermaient l’identité, l’adresse, les numéros de téléphone et adresses électroniques des personnes concernées, ainsi que des informations relatives à la sécurisation des accès aux logements ou à la santé des personnes. Une paille, quoi. L’avertissement a été motivé par plusieurs manquements graves de l’entreprise. D’abord, le transporteur était averti depuis la fin de l’année 2013 d’une faille affectant les accès internes à l’application de relivraison. Malgré cela, elle n’a pas mené de « démarche de vérification de la sécurité de l’ensemble de l’application qui lui aurait permis d’isoler la fuite de données », s’énerve la CNIL. Une absence de curiosité qui l’a empêché de découvrir l’autre faille, celle affectant les accès publics via Internet. Par ailleurs, la Commission relève que DHL n’avait pas défini de durée de conservation des données « adaptée à la finalité de son traitement ». Encore une paille. Bon, comme il fait chaud, c’est bien d’en avoir plusieurs pour boire me direz vous. Pour l’heure, DHL n’a pas réagi publiquement à cette mise en cause. La société ne précise pas quelles mesures elle a prise pour avertir les clients concernés. Pas plus qu’elle n’indique si les données en question ont été, à sa connaissance, récupérées par un tiers pendant le temps où elles étaient librement accessibles. Alors, imaginons la même chose avec des fichiers dits de police. Émoi, alerte, pétitions, manifestations, que sais-je encore… Or, il n’y a pas tant de scandales que cela. C’est bien la preuve que quand la protection des données par une entreprise est possible et que quand on veut contraindre, on y arrive, même en Gaule.

L’avant-propos de la présidente est parfois… surprenant.
Tout d’abord, force est de constater que la généralisation du numérique a fragilisé notre capacité d’analyse, y compris au niveau de nos élites. Cette généralisation change fondamentalement notre perception des notions de temps et d’espace et met à l’épreuve nos concepts fondamentaux. Elle nous impose donc de penser des solutions dans un monde complexe et mouvant que nous appréhendons mal. Permettez-moi, madame la présidente de ne pas vous suivre. Le numérique (comme vous dites) met en évidence tout ce qui était caché jusqu’à présent. Si nous faisions l’autruche jusqu’alors, le numérique nous rappelle qu’on ne peut voir loin en ayant la tête dans le sable.
On lit un peu plus loin cette absence d’analyse critique se double d’une fascination technologique qui vire à l’apathie, mais c’était déjà la cas avec les magistrats et la preuve scientifique : aucun recul, aucune analyse, la sidération de l’ignorance et la peur de l’avouer.
En réalité, ce que leur (les grands acteurs économiques de l’Internet) demandent les autorités de protection de données, c’est simplement d’ouvrir leur « boîte noire » et de rendre leurs pratiques plus transparentes. Alors là, soit nous virons dans le politiquement correct où la contrainte est bannie, soit je ne comprends pas. La loi est-elle contraignante pour tout le monde ou pas ?
Vient le thème de la protection des données personnelles. Le deuxième écueil réside dans la mise en avant, ici ou là, d’une patrimonialisation des données. A priori séduisante, cette démarche impose en réalité une grande prudence car la privatisation de ses données, et donc leur possible cession ou vente, revêt un caractère d’irréversibilité préoccupant pour l’individu. Bien. J’en déduis alors que le poste de conseiller juridique de la CNIL (s’il existe) est un emploi fictif. Pourquoi ? Pour deux raisons :

1. on peut tout d’abord prendre aux droits d’auteur et voisins leur incessibilité et intransmissibilité ;
2. on peut aussi criminaliser l’utilisateur et considérer systématiquement le vendeur comme victime, comme c’est déjà le cas pour le travail clandestin : le patron est coupable et l’employé victime.

Si, pour contrer la surveillance massive des données, on ne propose que des mauvaises idées, où sont donc les bonnes ? Ne serait-il pas du domaine de la CNIL d’en proposer des vraies et de ne pas se noyer dans un consensus mou ou de botter en touche : dans le fond l’enjeu est de savoir collectivement ce que nous voulons et vers quel type de société nous souhaitons évoluer. Avec de telles recommandations et sa puissance de feu de pistolet à bouchons, la CNIL est-elle encore une autorité ? J’en veux pour illustration ce passage de la page 13 du rapport : Interrogée sur la question de l’utilisation du NIR (numéro de sécurité sociale) comme identifiant national de santé en 2006, la Commission avait préconisé, dans son avis du 20 février 2007, le recours à un identifiant spécifique fondé sur une anonymisation du NIR, c’est-à-dire un identifiant distinct du NIR, mais bénéficiant du processus de certification de ce dernier. La CNIL n’a toujours pas été saisie du projet de décret simple prévu par l’article L. 1111-8-1 du Code de la santé publique qui doit fixer le choix de cet identifiant, ainsi que ses modalités d’utilisation. A propos des données de santé et du big data, on pourra consulter aussi cet article
Désormais, le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockées, ne doit être mis en œuvre qu’avec le consentement préalable de l’utilisateur, sauf si ces actions visent exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques ou si elles sont strictement nécessaires au fournisseur pour la délivrance du service expressément demandé par l’abonné ou l’utilisateur. Ce principe a été transposé en droit français par l’ordonnance n° 2011-1012 du 24 août 2011, qui a modifié l’article 32-II de la loi du 6 janvier 1978. Est-ce un nouveau paragraphe du Discours sur la servitude volontaire de La Boétie ?

Pour les entreprises, l’analyse de l’application extraterritoriale des lois des Etats tiers et la protection des données personnelles (pages 23 et seq.) est intéressante. Hélas, les recommandations sont d’une inanité voire d’une naïveté confondante : Par ailleurs, la réalisation des opérations de vérification sur le territoire français, par la société (ou la filiale) elle-même aurait le mérite d’éviter tout transfert de données vers une autorité administrative (ou une société mère) située dans un pays tiers n’offrant pas un niveau de protection adéquat au regard du niveau de protection des données personnelles exigé par l’Union européenne.

Gardez-moi de mes amis, mes ennemis je m’en occupe…