Par la rédaction le 01/02/2009
Le 21 janvier dernier, à l´ISEP (Institut Supérieur d´Electronique de Paris), s´est tenue l´Université des CIL, organisée par l´AFCDP (Association Française des Correspondants aux Données Personnelles). Une assemblé de CIL motivés ont écouté des intervenants de haut niveau.
A tout seigneur tout honneur. C´est d´abord Pierre-Yves Baumann, Préposé Fédéral à la Protection des Données et à la transparence de la PFDP Suisse, qu´a échu l´honneur de la première intervention. Pierre-Yves Baumann a travaillé sur le thème suivant : « comment assurer la protection/sécurité des données personnelles – la labellisation de protection des données sur le modèle ISO 27001 ». Se lancer dans un démarche de certification de protection des données personnelles pour une organisation de protection des données personnelles n´a rien d´évident : « C´est une mission relativement difficile, les normes sont complexes, lourdes et chères », présente-t-il. Mais l´avantage de la certification est de donner un niveau exemplaire de qualité de protection des données à caractère personnel pour la Suisse. Peut-être aura-t-elle valeur d´exemple pour d´autres organismes analogues ?
Une évolution de la cybersurveillance
Son intervention a été suivie de celle de Maître Olivier Itéanu, qui a dressé un panorama de la jurisprudence sur la cybersurveillance. En résumé, celle-ci a beaucoup évolué depuis l´arrêt Nikon (2001), qui donnait raison à une salarié dont l´employeur avait été lire les mails. La responsablité de l´employeur peut être engagée « s´il y a eu mise à disposition par l´employeur des moyens du délit ». C´est arrivé à Lucent Technologies, où un salarié s´était servi des outils de Lucent Technologies pour faire de la contrefaçon d´un autre site Web.
Par contre, concernant la cybersurveillance, il semblerait que des éléments évoluent, s´il y a eu une information préalable du salarié, une charte de l´outil informatique, et une information des instances représentatives du personnel.
Deux arrêts de Cassation, dont celui du 18 octobre 2008, stipule que les correspondances privées sont présumées appartenir à l´entreprise, sauf si le salarié l´a identifié comme un fichier personnel. « Il y a une constante évolution vers plus de cybersurveillance », constate Maître Olivier Itéanu « le législateur accepte maintenant la cybersurveillance Doit-on s´attendre à un retour de bâton ?», se demande-il en conclusion.
Un profiling est possible en quelques minutes
Laurent Pennou, responsable des réseaux informatiques de la communauté des Gadzarts, s´est ensuite interrogé sur la dangerosité des réseaux sociaux. « Dans les dix dernières années », explique-t-il, le mail a remplacé le courrier, les réseaux ont commencé à devenir numériques, et les gens se sont exprimés en groupes de discussion. Pessimiste, il n´hésite pas à affirmer : « Tout ce que vous publiez sera un jour utilisé contre vous. Pour un chasseur de tête ou quelqu´un de moins bien intentionné, avec la puissance des moteurs de recherche actuels, vous retrouver sur la Toile ne prend que quelques minutes pour un profiling, là où il fallait des mois et des semaines avant ». Il rajoute : « un mail qui n´est pas crypté est lisible comme une carte postale ».
Dans le début de l´après-midi, l´AFCDP a fait intervenir Daniel Ventre, chercheur au CNRS et auteur du livre « la guerre de l´information », pour savoir jusqu´à quel point les sociétés étaient démunies en face de la guerre de l´information, qui, pour lui, est réelle. Il cite plusieurs exemples marquants de perte ou de vol de données qui arrivent tous les jours à des grandes institutions, que ce soit les banques, l´armée ou la police. Le plus marquant qu´il a cité est celui où l´armée américaine s´est fait voler des ordinateurs en Afghanistan, ordinateurs sur lesquels se trouvait des noms d´espions afghans. On ne connaît pas leur sort depuis…
« Les objectifs sont toujours les mêmes », déclare Daniel Ventre. « Il s´agit de faire de l´argent, d´exploiter un concurrent, de modifier la psychologie d´un groupe ou d´obtenir des renseignements ». Il finit en donnant quelques conseils au CIL confronté à un problème. « Il faut savoir quelles données il y avait sur l´ordinateur, depuis combien de temps, et combien d´intrusions ont eu lieu. Pour les instrusions qui ont eu lieu, il s´agit de savoir, pour une intrusion décelée, combien ne le sont pas », conclut-il.
Daniel Pradelles, EMEA Privacy Officer pour HP, s´est demandé, si, dans le contexte actuel, le CIL pouvait vraiment rester à un niveau de fonctionnement local. Les entreprises comme HP ont depuis longtemps intégré la dimension Privacy (Protection de la Vie Privée) dans leurs organigrammes. La Privacy devient aussi un élément concurrentiel qui joue en faveur de la société qui adopte une politique de Privacy.
Enfin, deux étudiants de l´ISEP, diplômés de la formation sur le mastère spécialisé en management et protection des données à caractère personnel ont réalisé une enquête fort intéressante sur l´exercice du droit d´accès auprès d´entreprises de tout secteur (grande distribution, santé, transports…). L´enquête a été réalisée auprès de 52 entreprises, avec 11 réponses satisfaisantes. Leur conclusion est la suivante : plus les données sont sensibles, moins elles sont communiquées, les informations ne sont pas complètes, voire incompréhensibles. Ils donnent conseil aux CIL de s´assurer de la cohérence de l´information préalable des personnes, de définir une procédures pour permettre aux personnes concernées par les traitements à caractère personnel d´exercer leurs droits, de diffuser largement les bonnes pratiques au sein de l´entreprise, de faire valider par le CIL les réponses avant envoi.
Cette journée a été clôturée par la remise des diplômes de mastère spécialisé en management et protection des données à caractère personnel, organisé par l´ISEP (cf. Mag Securs n° 22), aux étudiants de la promotion par le Secrétaire Général de la CNIL.