par Sophie Vulliet-Tarvernier, Directeur des affaires juridiques à la Commission Nationale de l´Informatique et des Libertés
Diplômée d´études supérieures de l´université de droit et des sciences sociales de Paris II et de l´Institut Français de Presse : maîtrises en Droit Public et sciences de l´information, DEA de sciences politiques, DESS de droit de la Défense. Elle est entrée en 1983 au service juridique de la CNIL. Elle participe activement aux différents travaux conduits dans le cadre de l´élaboration, en 1994, des lois françaises de bioéthique et tout particulièrement à la loi sur les fichiers de recherche médicale. Elle assure pendant plusieurs années la responsabilité de la division des affaires publiques et sociales. A ce titre, elle participe aux différents travaux de réflexion menés par le Gouvernement et par l´ADAE et prépare la position de la CNIL sur le programme gouvernemental de développement de l´administration électronique. Nommée Directeur des affaires juridiques de la CNIL en 2004, elle suit activement les travaux parlementaires concernant la modification de la loi informatique et libertés, contribue à l´élaboration du décret d´application de cette loi et des modalités pratiques de mise en oeuvre des nouvelles procédures de formalités préalables auprès de la CNIL. Elle publie dans des revues juridiques spécialisées plusieurs articles sur le thème de la protection des données personnelles et participe à la rédaction du Dictionnaire Permanent de Bioéthique.


Les grands principes

Les éléments clés pour appréhender les notions d´informatique et de liberté sont :

- le principe de finalité : par exemple des informations utilisées pour un traitement administratif ne peuvent être utilisées à des fins commerciales ou politiques ;
- le principe de pertinence des données : sont particulièrement sensibles les données portant sur la race, la politique, les syndicats, la religion, la vie sexuelle, la santé. Des dérogations peuvent être accordées en cas de consentement des personnes concernées ou d´utilisation à des fins de statistiques si des mécanismes de hachage sont mis en place.
- le principe de droit à l´oubli : les archives doivent finir par être détruites.
- le principe d´obligation de sécurité : il existe de lourdes sanctions pénales si les moyens adéquats ne sont pas mis en oeuvre pour empêcher la divulgation et préserver l´intégrité des données.
- le principe de collecte loyale des données : le recueil ne peut se faire à l´insu des intéressés.
- le principe de droit de rectification.

Sophie Vulliet-Tarvernier rappelle également le principe d´indépendance de la CNIL, disposant d´un budget de 9 millions d´euros par an pour une équipe de 85 personnes.

Les dernières nouveautés
Sophie Vulliet-Tarvernier précise les dernières évolutions. Les procédures de déclaration pour création de fichiers sont allégées, mais le pouvoir de contrôle est renforcé avec possibilité d´intervention sur place, demande de pièces, pouvoir de sanction administratives et pécuniaires. La CNIL obtient de même un pouvoir de labellisation de produits et procédures de protection et traitement de données. Par exemple, pour des solutions de hachage et d´anonymisation de données pour traitement statistiques.

Certains fichiers sont exonérés de contrôle : ceux des partis politiques, des églises, des syndicats, les fichiers de paie, fichiers fournisseurs, marchés publics, ou encore les blogs. La désignation de CIL est fortement encouragée.

La biométrie
La CNIL préfère l´usage des technologies "sans trace" telle que la reconnaissance du contour de la main, plutôt que l´empreinte digitale. Elle préfère de même l´absence de stockage centralisé et favorise la conservation d´une empreinte sur une carte à puce détenue par l´utilisateur à tout système de stockage centralisé.

Pouvoirs de contrôle et de sanction
La CNIL dispose désormais de pouvoir de contrôle, avec accès aux locaux en informant le procureur sur tout système d´information hormis ceux concernant la sûreté de l´Etat, notamment ceux des services de la DGSE.

Les pouvoirs de sanction permettent d´infliger des amendes de 150k? (300k? en cas de récidive) ou 5% du chiffre d´affaires de la société contrevenante. A ce jour, une douzaine de mises en demeure ont été adressées. A ce jour, aucune sanction n´a encore été prononcée, mais il existe certaines affaires qui pourraient y conduire d´ici fin 2006.

L´année 2005 a été marquée par 21 refus d´autorisation en 2005, 3.900 plaintes reçues ce qui traduit une progression de 6 %. Les plaintes concernent notamment la banque, le crédit, les fichiers d´impayés, Internet et la prospection commerciale. 3 dénonciations ont été transmises au parquet.

Le Correspondant Informatique et Libertés : CIL

Il existe déjà en Allemagne et en Suède. Il dispense désormais l´entreprise de la déclaration de certains traitements. Pour 40% d´entre eux, ce sont des RSSI.

On décompte aujourd´hui 175 désignations et 75 correspondants notifiés à la CNIL.

et le contrôle des fichiers des RG ?
Interrogée par l´assistance sur le contrôle des fichiers informatiques des renseignements généraux, Sophie Vulliet-Tarvernier répond que cette procédure existe et que elle même a participé à l´audit de ces fichiers il y a quelques années. La procédure est définie par un décret du 14 octobre 1991. Sophie Vulliet-Tarvernier précise qu´il est possible de demander à la CNIL l´accès aux données personnelles des fiches RG, avec accord du Ministère de l´Intérieur, la fiche est communiquée par la Préfecture ou la CNIL. Il existe une mission générale de contrôle tous les 5 ans et le prochain contrôle est prévu pour mi-2006.



Autres News Vie privée

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143255
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI