RSS CNIL

Consultation illégale de fichiers par les banques dans le cadre du recrutement : des pratiques qui ont cessé

Thu, 01 Dec 2011 09:41:00 +0100

La CNIL a reçu, au cours de ces dernières années, des plaintes concernant les méthodes de sélection de candidats par certains établissements bancaires. Dans le cadre de l'instruction de ces plaintes, la CNIL avait réalisé des contrôles. Elle avait alors constaté que trois établissements bancaires interrogeaient, pour leurs opérations de recrutement, le Fichier des Incidents de remboursement des Crédits aux Particuliers et le Fichier Central des Chèques, tous deux gérés par la Banque de France. En interrogeant ces fichiers, les banques vérifiaient si les candidats étaient en situation de surendettement ou d'interdiction bancaire. Si tel était le cas, les personnes concernées pouvaient voir leur candidature rejetée ou "mise sous surveillance", si elles étaient embauchées. La CNIL a immédiatement exigé la fin de ces pratiques. En effet, ces consultations, opérées dans le cadre d'opérations de recrutement, sont susceptibles de constituer un détournement de finalité : l'interrogation des fichiers gérés par la Banque de France ne peut être effectuée qu'afin d'apprécier la solvabilité des personnes, par exemple lorsqu'elles sollicitent l'octroi d'un crédit, ou éviter l'émission de chèques sans provision. Les établissements bancaires concernés ont alors indiqué avoir mis fin à ces pratiques. La CNIL a décidé d'effectuer de nouveaux contrôles en septembre 2011 pour vérifier la mise en œuvre des engagements pris. Ces contrôles ont permis de confirmer la fin de ces pratiques. La CNIL a également constaté qu'un code des bonnes pratiques avait été formalisé et mis en œuvre par les établissements bancaires afin de respecter les dispositions de la loi "informatique et libertés" dans le cadre de leurs opérations de recrutement.

Biométrie : la CNIL refuse l'utilisation du réseau veineux dans une cantine scolaire

Wed, 30 Nov 2011 09:31:00 +0100

La Commission rappelle que les données biométriques ne sont pas des données à caractère personnel "comme les autres". Elles présentent, en effet, la particularité de permettre à tout moment l'identification de la personne concernée sur la base d'une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s'affranchir. À la différence de toute autre donnée à caractère personnel, la donnée biométrique n'est donc pas attribuée par un tiers ou choisie par la personne : elle est produite par le corps lui-même et le désigne ou le représente, lui et nul autre, de façon immuable. Elle appartient donc à la personne qui l'a générée et qui ne peut en changer. Dès lors, tout détournement ou mauvais usage de cette donnée fait alors peser un risque majeur sur l'identité de celle-ci. Cette spécificité des données biométriques a d'ailleurs conduit le législateur à leur conférer une protection et un encadrement particuliers. Parce qu'ils sont considérés comme présentant des risques particuliers au regard de la vie privée et des libertés individuelles, les traitements biométriques sont soumis à autorisation préalable de la CNIL, Deux principes fondateurs du droit à la protection des données à caractère personnel doivent être impérativement respectés :

le principe de finalité : les traitements de données doivent poursuivre des finalités " déterminées, explicites et légitimes" (article 6-2° de la loi Informatique et Libertés) et les données concernées ne doivent pas être utilisées à d'autres fins que celles qui ont été définies;
le principe de proportionnalité : les dispositifs envisagés doivent être strictement proportionnés au regard des objectifs poursuivis par traitement.

La Commission rappelle qu'elle examine ces principes au regard des évolutions technologiques et sociologiques qui sont portées à sa connaissance. Ainsi, si la CNIL a autorisé, en 2006, l'utilisation du contour de la main dans les cantines, c'est parce qu'à la différence du réseau veineux du doigt, le contour de la main présente certaines garanties :

il s'agit d'une biométrie peu identifiante : sur une large population, plusieurs personnes peuvent avoir même le contour de la main. Par conséquent, si cette technologie permet d'identifier individuellement les élèves dans une école de 100 élèves, il ne serait pas possible d'identifier cette même personne avec certitude à l'échelle de la population d'un pays ;
il s'agit d'une biométrie qui évolue dans le temps : en effet, la main grandit, a fortiori celle des enfants. Même chez les adultes, la géométrie de la main peut évoluer (maladie, grossesse, perte ou prise de poids, etc.).

Le réseau veineux du doigt constitue une technique biométrique plus précise et plus fiable qui n'évolue pas dans le temps et qui permet d'identifier a priori la personne concernée tout au long de sa vie. Par conséquent, si la base de données de réseau veineux était détournée, elle pourrait faire peser un risque sérieux sur l'intégrité et la protection des données biométriques des élèves. La Commission a estimé, au regard des risques existants et de la nature de la population concernée (élèves mineurs), que le dispositif biométrique envisagé était disproportionné par rapport au but recherché (améliorer la gestion de la cantine scolaire). Elle a, en outre, souligné que la gestion des accès à la cantine pouvait être réalisée par d'autres moyens comme un badge remis à chaque utilisateur ou le recours à la biométrie du contour de la main. Les dispositifs biométriques qui ne répondent pas exactement aux critères d'une autorisation unique doivent faire l'objet d'une demande d'autorisation spécifique soumise à l'appréciation de la Commission réunie en séance plénière

Séance plénière du 24 novembre 2011

Mon, 28 Nov 2011 14:52:00 +0100

Les membres de la CNIL se sont réunis en formation plénière le jeudi 24 novembre 2011 et ont notamment examiné les points suivants :

Audition de Monsieur Dominique BAUDIS, Défenseur des droits, relative à la réalisation d’un guide méthodologique commun à destination des entreprises intitulé "Mesurer pour progresser vers l’égalité des chances".
Autorisation accordée à la SNCF pour mettre en œuvre un traitement de gestion des réclamations et des relances suite à un constat d’infraction à la police des chemins de fer.
Communication relative à la réutilisation d’informations publiques comportant des données personnelles.
Autorisation accordée à la société Notrefamille.com pour transférer des documents d’archives publiques contenant des données à caractère personnel vers Madagascar et l’île Maurice, et diffuser ces documents sur son site internet.

Vers une coopération internationale renforcée des autorités de protection des données

Mon, 28 Nov 2011 14:21:00 +0100

La 33ème Conférence internationale s'est tenue à Mexico du 1er au 3 novembre 2011 et a réuni plus de 700 participantes dont 80 autorités de protection des données, des ONG et des représentants de l'industrie. Chaque année, cette conférence s'articule en deux volets :

la conférence "fermée", destinée exclusivement aux autorités de protection qui adoptent ainsi des résolutions présentant leurs grandes orientations pour l'année à venir ;
la conférence "ouverte", au cours de laquelle l'ensemble des parties prenantes peuvent se rencontrer. Il s'agit donc d'un moment fort pour la protection des données et de la vie privée.

Alors que la session fermée de la Conférence de 2010 de Jérusalem avait encouragé les pouvoirs publics nationaux à se mobiliser pour adopter une convention internationale, celle de 2011 a mis en avant la nécessité d'une coopération internationale accrue entre les autorités. Les autorités de protection des données personnelles souhaitent être à même d'agir plus efficacement dans le cadre d'opération de coopération en matière de contrôles a posteriori et pouvoir ainsi sanctionner de façon plus efficace. Le constat de la globalisation rend nécessaire le partage des connaissances entre autorités et avec les autres acteurs de l'internet. Il s'agit notamment de déterminer la façon dont les autorités publiques et les entreprises pourraient établir leurs priorités et ainsi mieux utiliser leurs ressources afin d'assurer une plus grande transparence vis-à-vis des individus. Afin de réaffirmer le rôle de la Conférence fermée, de nouvelles règles de procédures ont été adoptées instituant notamment la création d'un Comité exécutif. Celui-ci permettra d'assurer la continuité des travaux menés par la Conférence internationale. Enfin, deux résolutions ont également été adoptées :

l'une sur la gestion des données personnelles dans le cadre des catastrophes naturelles,
l'autre sur le recours à un identifiant unique dans le déploiement du protocole internet V6.

La Conférence "ouverte" a permis des échanges fructueux s'inscrivant dans une réflexion globale sur la protection des données et de la vie privée dans le cadre de la mondialisation. Les thèmes suivants ont été abordés : tiers certificateurs, Cloud computing, efficacité des politiques de contrôles des autorités, accountability, modification des contextes règlementaires aux Etats-Unis et en Europe, droit à l'oubli, etc. La réflexion engagée sur le développement des Big data a également constitué le fil conducteur de la Conférence. Il s'est agit d'envisager les problématiques liées au développement de larges bassins de données qui permettent de capturer, communiquer, utiliser, agréger, stocker, et analyser les données. La Présidente de la CNIL, Mme Isabelle Falque-Pierrotin, est intervenue lors du panel conclusif. Elle a affirmé qu'il était urgent de faire de la conférence internationale une véritable vitrine de la protection des données en lui permettant notamment de rendre publics des avis et des recommandations sur des sujets clefs. Rappelant la volonté de la CNIL de participer à une coopération accrue, Mme Isabelle Falque-Pierrotin a souligné la nécessité de parvenir à la détermination de principes communs à l'ensemble des parties prenantes au niveau mondial, objectif qui ne saurait être atteint sans l'implication des gouvernements.

La CNIL reçoit le Défenseur des droits

Thu, 24 Nov 2011 19:30:00 +0100

Séance plénière du 17 novembre 2011

Thu, 24 Nov 2011 14:56:00 +0100

Avis sur une expérimentation relative l'instruction dématérialisée des aides au logement (IDEAL) par la Caisse nationale des allocations familiales (CNAF).*
Autorisation accordée à la société Air France pour mettre en œuvre un traitement de détection des fraudes à la billetterie.
Communication relative au risque de détournement de finalités, par des commerçants ou des opérateurs de téléphonie mobile, du fichier national des chèques irréguliers et du fichier du GIE Cartes bancaires, pour prévenir les impayés.
Information sur la dernière réunion de l'APEC (Zone Asie-Pacifique) qui s'est tenue à San Francisco.
Adoption de 9 projets d'autorisations

Séance plénière du 10 novembre 2011

Wed, 16 Nov 2011 10:15:00 +0100

Nouvelle recommandation relative à la mise en œuvre par les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives, de fichiers dans le cadre de leurs activités politiques.
Avis sur un projet de décret en Conseil d'Etat relatif à la mise en œuvre d'un traitement par l'Agence de gestion et de recouvrement des avoirs saisis et confisqués (AGRASC).*
Deux autorisations accordées à EDF et Thalès pour mettre en œuvre des dispositifs d'alerte professionnelle.
Autorisation accordée à la société Code urgence pour mettre en œuvre un dossier médical informatisé accessible aux médecins du Samu dans le cadre de la prise en charge impliquant un porteur de casque.
Adoption de 19 projets d'autorisations

Publication du rapport annuel 2010

Wed, 16 Nov 2011 09:19:00 +0100

Ce rapport revient sur les temps forts de l’année 2010 : sensibilisation des jeunes et des enseignants pour favoriser une instruction "civico-numérique", révision de la Directive européenne sur la vie privée, nouveaux pouvoirs de contrôle de la vidéoprotection et création d’une direction dédiée à la prospective et à l’innovation.

La zone Asie-Pacifique (APEC) fait un pas décisif pour se doter de règles destinées à encadrer le transfert des données personnelles.

Mon, 14 Nov 2011 10:30:00 +0100

La CNIL, agissant au titre de représentant de la Conférence Internationale des Commissaires à la Protection des Données et de la Vie Privée a participé mi-septembre 2011 à San Francisco aux travaux d’un groupe de l’APEC dédié à la protection de la vie privée.

Les 21 Etats membres de l’APEC, association internationale regroupant notamment les Etats-Unis, le Canada, le Japon mais aussi la Chine, la Russie ou encore la Corée du Sud, ont adopté en 2004 des principes directeurs en matière de protection de la vie privée et des données personnelles. Le Canada, l'Australie ou la Russie, sont dotés de lois de protection des données. Ces pays sont conscients de la nécessité d’élaborer une approche commune permettant d’encadrer les flux transfrontières de donnés personnelles et développer ainsi le commerce électronique dans cette région dans un cadre sécurisé pour les consommateurs.

Des règles en voie de finalisation :

L’ensemble des documents clés nécessaires au fonctionnement de ce système de transferts a été discuté et adopté lors de la réunion à San Francisco. La CNIL a présenté le système des "règles internes d’entreprise", dit BCR pour "Binding Corporate Rules". Ce système rencontre un succès croissant auprès des multinationales, surtout depuis l’instauration du système de reconnaissance mutuelle au sein de l’Union européenne.

Un processus d’interopérabilité entre ces deux dispositifs reste à concevoir, et la réunion a permis de constater que la question de la protection des données n’est plus une question européenne mais mondiale.

Les suites des travaux de l’APEC :

Les ministres des affaires étrangères et/ou les ministres du commerce des Etats membres de l’APEC doivent approuver le système des CBPR dès novembre 2011.

2012 devrait voir la mise en œuvre opérationnelle du système des CBPR et le développement d’un site internet répertoriant les entreprises certifiées et leurs organismes certificateurs qui devrait être accessible au public.

Chacun des Etats membres de l’APEC devra également confirmer sa volonté de participer au système des CBPR et adhérer à un Accord de coopération transfrontalière entre autorités en charge du contrôle de la vie privée de l’APEC.

Un nouveau guide pratique à destination des avocats

Tue, 08 Nov 2011 10:41:00 +0100

À l'heure où les dispositifs de traçage des individus dans l'espace et le temps se multiplient et portent en eux des atteintes potentielles aux libertés fondamentales et à la vie privée, le rôle des avocats peut rejoindre celui de la CNIL. Le respect par les avocats des règles de protection de ces données est un facteur de transparence et de confiance à l'égard de la profession. C'est également un gage de sécurité juridique pour les avocats eux-mêmes qui sont responsables de leurs fichiers ou de ceux de leurs clients. Après un bref rappel du cadre général de la protection des données à caractère personnel, le guide avocat aborde, sous forme de fiches pratiques, des thèmes aussi variés que les fichiers relatifs aux clients, l'accès au dossier professionnel, le contrôle de l'activité des membres d'un cabinet ou de ses accès, les problématiques liées à l'utilisation d'internet, les transferts de données à caractère personnel en dehors de l'Union européenne. Le guide fait également le point sur le rôle que l'avocat peut jouer en cas de contrôle de la CNIL ou lors d'une procédure de sanction devant la formation contentieuse. Enfin, ce guide a été élaboré en concertation avec le Conseil National des Barreaux dans le cadre d'une convention. Celle-ci prévoit le développement de la formation du correspondant informatique et libertés (CIL) au sein de la profession d'avocat et de ses structures représentatives. L'indépendance dont le CIL doit faire preuve pour mener à bien ses missions fait de l'avocat un intervenant naturel pour assumer une telle fonction. Le règlement intérieur de la profession a d'ailleurs encadré celle-ci. Bien entendu, l'avocat, d'une part, et la CNIL, d'autre part, conservent leur totale indépendance mais ils sont côte à côte pour assurer la protection de la vie privée. C'est dans cet esprit que ce guide a été élaboré.