RENCONTRE DU 1er JUIN 2006
Invités : Mme Anne Marie Husson et M. Michel Arnaud

 

Spécialistes de la protection du droit des personnes sur les applications numériques, Anne Marie Husson travaille à la CCI de Paris et Michel Arnaud à l'université de Paris X Nanterre.

INTERVENTION DE Mme. Anne-Marie Husson
et de M. Michel Arnaud

 

UNE REALITE VIRTUELLE BIEN REELLE : LE DOUBLE NUMERIQUE
(A M HUSSON)

Depuis que je suis partie de chez moi ce matin, tout ce que j'ai fait est tracé.
J'ai pris le bus et j'ai mis ma carte Navigo : on connaît ainsi les détails de mon trajet.
Arrivé au travail, la badgeuse enregistre mon heure d'arrivée.
Au bureau, j'ai écouté mon répondeur et j'ai téléphoné.
J'ai fait un appel personnel, et cela peut être suivi.
J'ai regardé mes mails, que j'ai triés, j'en ai mis à la poubelle, et j'ai fait des réponses.
Tout cela est traçable.
Je suis partie du bureau à 11h25 et badgé à la sortie.
Imaginons qu'entre temps j'ai fait un achat avec ma carte VISA, etc…

Tout ce que je peux faire aujourd'hui est traçable.
On se trouve dans une situation qui au niveau politique tant que civique est quelque peu inquiétante.
C'est l'objet de notre débat de ce jour.

La CNIL

Elle existe depuis 1978.
Elle a émis un certain nombre de règles concernant l'usage et la constitution de fichiers dans le but de protéger la liberté individuelle.
Tout fichier contenant des renseignements sur des personnes doit être déclaré à la CNIL et dans certains cas requière son autorisation.
On trouve tous les renseignements à ce sujet sur le site de la CNIL : http://www.cnil.fr/

Les règles de base concernant les fichiers :
Premier principe : la finalité
Chaque fois que l'on demande une information sur quelqu'un, il faut savoir et déclarer à quoi vont servir les données.
On n'a pas le droit de les utiliser pour autre chose. La finalité doit être respectée.

Second principe : la proportionnalité.
On l'adapte au risque et au besoin perçu.

Troisième principe : la pertinence des données
On ne doit relever que des données pertinentes (si l'on a besoin de l'adresse mail, il est inutile de demander la date de naissance…)

Quatrième principe : la durée de vie de l'information.
Ce point doit être annoncé lors de sa collecte.

Cinquième principe : sécurité et confidentialité
C'est dans l'entreprise de la responsabilité de l'employeur.

Sixième principe : la transparence.
Toute donnée doit être annoncée clairement à l'intéressé, qui doit savoir avant, à quoi elle sert, comment elle va être traitée, et si elle a fait l'objet d'une déclaration à la CNIL

Septième principe : le droit de la personne fichée, et en l'occurence l'employé
- Il doit être informé de toutes les démarches le concernant.
- De tous les traitements faits sur les éléments qui le concernent
- Il doit avoir accès aux données qui le concernent
- Il doit avoir le droit de rectification
- De supprimer les erreurs constatées
- En cas d'erreur, la preuve incombe à l'employeur.
- Il doit avoir le droit de s'opposer à la diffusion de données personnelles.

Mais l'intérêt de l'employé peut aussi être que ses données circulent. On est en position de négociation.

______________________________

Le recrutement :
On peut récupérer beaucoup de choses vous concernant sur internet.
Ce qui est interdit :
- les fausses annonces pour se constituer un fichier
- Les collectes d'informations à l'insu du candidat, sauf nécessité pour le poste.
- Le recrutement automatisé (il existe des logiciels qui sont susceptible d'être utilisés de cette manière)
Les obligations du recruteur et de l'employeur :
- informer le candidat sur tout ce qu'il recueille sur le candidat et du traitement qu'il fait des données.
- Le candidat a le droit de recevoir l'intégrité de son dossier à l'issue du recrutement.

L'usage d'Internet en entreprise
C'est du ressort de l'entreprise d'autoriser le salarier à aller sur internet pour ses besoins personnels.
Le contrôle de la navigation sur internet est interdit au niveau d'une personne, mais ne peut se faire qu'au niveau d'un service, et il faut que ce soit connu des utilisateurs. En cas d'absolue nécessité, le traçage d'une personne peut se faire à condition d'en faire la déclaration à la CNIL, et ce pendant au plus 6 mois.

L'usage de la messagerie d'entreprise :
Le poste de travail est par essence professionnel.
Mais l'entreprise n'a pas le droit d'aller regarder les messages personnels si ceux-ci ont un titre affichant clairement qu'il s'agit d'un message personnel, ou s'il est classé dans un répertoire qui est manifestement personnel.
L'employeur est par définition responsable de la protection de la vie privée. Et les règles de contrôle individuel sont identiques pour internet, avec obligation d'en informer les représentants du personnel.

Les nouveaux moyens de surveillance :
Vidéosurveillance :
Un lieu de travail est par définition un lieu privé. L'entreprise zest responsable de respecter votre vie privée, er la loi la rend passible d'une amende de 45000 € en cas d'infraction. Les 7 principes précédents sont applicables. Les informations recueillies doivent avoir une durée de conservation limitée et n'être accessibles qu'au personnel habilitées au traitement des informations.

Téléphone :
Interdiction de surveillance des appels syndicaux (L'entreprise doit mettre à la disposition des sections syndicales des téléphones non connectés à l'autocommutateur de l'entreprise).
L'usage pour des besoins personnels est concevable mais " dans une limite raisonnable, et non préjudiciable pour l'employeur ".
Il est interdit de mettre sur écoute et d'enregistrer des appels, sauf cas exceptionnel.
Si votre entreprise vous offre un mobile, il est conseillé d'en conserver le financement et de se faire rembourser un forfait mensuel par l'entreprise, pour conserver la maitrise des N° de téléphone utilisés.

Badges- GPS - vidéosurveillance etc…
Ces systèmes permettent de vous tracer de manière identique à un quelconque produit de consommation.
L'usage de badges et de vidéosurveillance ne nécessite qu'une déclaration à la CNIL.

Biométrie :
Toutes les données biométriques n'ont pas le même impact.
Il est important de connaître le type de donnée utilisée, où sont stockées les données et pour quel usage.
L'usage de données biométriques nécessite une autorisation de la CNIL.

Autres :
On peut aussi parler des données recueillies au niveau des CE lorsqu'on vous demande des informations sur la famille, les feuilles d'impôt etc, divers renseignements qui pourraient être utilisés à votre insu.

Le danger est la possibilité de croiser les informations

C I L :
Depuis octobre 2005 sont mis en place des CIL (Correspondants Informatique et Liberté).
L'objectif pour la CNIL est de leur déléguer les déclarations et de pouvoir se pencher sur des points d'expertise plus importants.
Le CIL est désigné par l'employeur, qui doit informer la CNIL du profil de son poste et des compétences qui justifient son choix. La CNIL a la possibilité de ne pas l'accepter.

Le rôle du CIL est de veiller au respect de la loi Informatique et Libertés dans toute l'entreprise.
Il doit être consulté sur tous les traitements.
Il est le médiateur entre la direction informatique et les personnes concernées.
Il doit faire en sorte que l'information arrive jusqu'aux personnes concernées.
Il a accès a toutes les infos et les fichiers de l'entreprise.
Il doit enfin faire un bilan annuel auprès de la CNIL.
Les déclarations préalables sont dans ce cas remplacées par la déclaration annuelle du CIL.
Le CIL est le médiateur entre le service informatique qui sait tout sur tous et les salariés.
Il est tenu à un secret professionnel, (qui n'est hélas pas encore légiféré), et à une déontologie qui est de garantir la sécurité des données et le bon fonctionnement du système.

__________________________________

DANS L'ENTREPRISE :
(Michel ARNAUD)

La CNIL avait été créé suite à la réaction citoyenne contre le système " SAFARI " qui consistait à croiser les données informatiques des diverses administrations sur les citoyens.
On se retrouve aujourd'hui dans une situation similaire avec le projet de carte INES qui rassemblerait en une seule carte les données du passeport, de la carte bleue et de la carte vitale. (Voir pour plus de détails : http://www.zdnet.fr/actualites/telecoms/0,39040748,39168171,00.htm )
C'est l'apparition officielle du " double numérique ".

Dans l'entreprise, l'expansion de l'usage d'internet est désormais une réalité et en parallèle la multiplication des problèmes juridiques, avec un droit en pleine évolution et une jurisprudence qui se met progressivement en place.
Ces problèmes ont été amplifiés récemment avec les mesures de lutte contre le terrorisme, mais aussi avec le développement du télétravail (Accord professionnel de Juillet 2005).
Par exemple, l'employeur est désormais considéré comme " fournisseur d'accès " et de ce fait a les mêmes obligations et responsabilités…

On peut retrouver un tableau très complet des problèmes juridiques liés à l'utilisation d'internet, des contentieux et jurisprudences sur le site du forum du droit : http://www.foruminternet.org/ qui est régulièrement mis à jour.

Si par exemple l'utilisation de la messagerie de l'entreprise est devenue d'un usage commun, il est recommandé que le règlement intérieur l'encadre.
De même, la saisie d'un matériel par un huissier ou par la police ne peut se faire sans un minimum de règles.

On peut noter cependant que le problème le plus souvent rencontré dans les contentieux est l'identification de l'auteur du délit.

En ce qui concerne les sections syndicales, la loi leur permet d'exiger une ligne téléphonique ne passant pas par l'autocommutateur de l'entreprise.

QUESTIONS DES PARTICIPANTS

Q : Les règles de la CNIL sont elles aussi valables dans la fonction publique ?
R : Oui de toute évidence.

Q : Peut-on avoir communication des déclarations de l'entreprise à la CNIL et des éléments personnels nous concernant dans les fichiers de l'entreprise ?
R : L'entreprise est responsable d'informer l'employé sur le traitement des informations qui le concerne. L'employé a normalement le droit de demander d'avoir accès à ces données. Mais dans la réalité, il y a très peu de choses faites à ce sujet. Il est aussi possible de vulgariser ce type d'information par exemple à l'occasion d'un tract, donner un exemple de lettre de demande de communication des éléments personnels et de leurs traitements contenus dans les fichiers de l'entreprise.

Q : Y a-t-il des cas de licenciements liés à l'utilisation des moyens informatiques ?
R : Pour l'instant aux prud'hommes, les cas de licenciements pour raison d'utilisation frauduleuse des moyens informatiques par les salariés sont très rares, car il est toujours très difficile de démontrer que le salarié était seul responsable de ce qui a été fait via son matériel.

Q : Quelle serait la base de la carte INES ?
R : Comme il s'agirait d'une carte unique, ce serait le code INSEE. Il est toutefois protégé par la CNIL.

Q : Quels sont les risques pour les personnes ?
R : C'est le fait de connaître de plus en plus de choses sur chacun par le croisement des multitudes de fichiers qui existent sur chacun. Il y a un immense domaine de non-droit, dans un monde où les technologies évoluent infiniment plus rapidement que la législation, malgré une loi des plus exhaustives en France, mais inapplicable dans les faits faute de possibilité de véritable contrôle. Il faut rappeler que la CNIL ne donne qu'un avis et n'a pas de véritable pouvoir. Les moyens de connaître tout de vous en croisant les fichiers vous concernant. Ce peut devenir extrêmement dangereux et on peut aboutir à un système terrifiant (imaginez les systèmes totalitaires nazis ou soviétiques avec de tels outils !...)
Au Royaume-Uni, votre voiture est filmée systématiquement chaque fois que vous vous déplacez par des caméras dissimulées dans le paysage. Toutes ces données sont conservées 5 ans. Autrement dit, même si vous n'avez commis aucun délit, vos déplacements sont enregistrés. Il suffit que votre voiture attire l'attention de la police pour une faute dont la gravité est déterminée par elle pour qu'elle ordonne une mise à jour de tous vos déplacements depuis 5 ans. Ce qui pose problème est le choix univoque du critère de sélection qui fait que vous devenez suspect, sans bien sûr que vous soyez au courant.

Notre site http://www.doublenumerique.net/ suit de près ces problèmes et est conçu non seulement pour vous tenir au courant des différents problèmes sur ce sujet, mais aussi pour recevoir toutes les informations et preuves que vous pourriez nous communiquer. On devient progressivement des prisonniers en semi-liberté. C'est la prison virtuelle.

Q : D'un coté on dit qu'il y a trop de contrôle, de l'autre on se plaint de ne jamais attraper les coupables. D'autre part, le trop plein d'informations ne va-t-il pas entrainer une impossibilité de traitement et d'utilisation de celles-ci ?
R : La règle en France est que chacun a le droit de connaître tout contenu le concernant dans tout fichier existant.

.HB

Voir aussi les présentations originales des intervenants :

PROTECTION DES DONNEES INDIVIDUELLES EN ENTREPRISE

LA CYBERSURVEILLANCE DES SALARIES

FICHE TECHNIQUE