Affaires Snowden, cyberattaque, Dropbox, JPMorgan, Snapchat, la question de la protection des données personnelles est au centre de l’attention médiatique et préoccupe autant les internautes et les gouvernements que les entreprises et les autorités de contrôle.
Courant 2015, le projet de régulation européenne autour des données personnelles devrait être adopté. Ce projet à l’échelle européenne fera-t-il évoluer la protection et l’exploitation des données personnelles ? L’objectif du texte est clair : poser un cadre légal clair, renforcer la coopération des autorités nationales et définir (harmoniser) les sanctions applicables.
Evidemment, de nombreux acteurs ne sont pas d’accord avec le projet et soulèvent des débats brûlants. En premier lieu, c’est l’usage des nouvelles technologies qui fait craindre que la loi soit en retard sur les nouvelles pratiques de collecte et d’échange des données personnelles.
Il y a là un vrai besoin de précision. La loi doit pouvoir s’appuyer sur des leviers évolutifs. A titre d’exemple, les dispositions prises autour du cookie doivent pouvoir s’appliquer, à l’avenir, à d’autres technologies.
Générés lors de la navigation des internautes, les cookies sont des fichiers permettant aux sites de récolter des données, sur les habitudes des utilisateurs, pour améliorer leur expérience personnalisée et pour détecter leurs préférences afin de cibler la publicité qui leur est consacrée. |
Il s’agit également de poser des bases cohérentes en matière de sanctions et de disposer d’une sévérité équitable. Le montant d’une amende n’a en effet pas le même impact sur un webmaster isolé que sur une multinationale. Le Parlement Européen a ainsi proposé des sanctions s’élevant jusqu’à 5% du chiffre d’affaires de l’éditeur.
Pour l’Union Européenne, ce projet de régulation vise davantage à apporter de la confiance aux utilisateurs qu’à sanctionner les entreprises. Ainsi le texte devrait être la priorité de la nouvelle Commission et doit aboutir en 2015. Si les désaccords et les débats repoussent l’adoption du texte, celui-ci deviendrait rapidement obsolète. En attendant, les gouvernements se mobilisent et tentent d’avancer sur le plan national.
En France, la CNIL contrôle désormais à distance
La Commission de l’Informatique et des Libertés (CNIL) intervient sur différentes missions de prévention et de sécurité des consommateurs en ligne. Parmi celles-ci, on trouve :
- les mentions d’information à destination du public,
- la sécurité des données collectées,
- le nombre et la nature des cookies déposés sur les ordinateurs des internautes,
- les modalités des recueils des consentements des internautes,
- la pertinence des données collectées…
Jusqu’en 2014, la CNIL menait ces missions en se rendant sur place, pour avoir accès aux postes et aux serveurs des sociétés gérant les sites web concernés par les contrôles, ou en les auditionnant sur convocation. Les contrevenants potentiels étaient donc prévenus. Depuis mars 2014, la loi Hamon sur la consommation permet à la CNIL d’intervenir à distance sans avoir à prévenir l’administrateur du site. C’est depuis les locaux de la CNIL que les constatations sont effectuées.
Les 8 étapes de ce contrôle à distance
- Décision d’un contrôle par la présidence de la CNIL
- Rédaction d’un ordre de mission désignant les personnes en charge de la réalisation du contrôle
- Etablissement d’un procès-verbal factuel décrivant la méthodologie à appliquer, l’environnement technique du contrôle et les éléments à vérifier
- Envoi du procès-verbal au responsable du site contrôlé
- Sous délai, observations éventuelles à apporter par le responsable du site contrôlé
- Contrôle en ligne
- Investigations supplémentaires (sur place ou via audition) si la CNIL le juge nécessaire
- Décision de la part de la CNIL quant aux suites à donner aux constatations (Demande de mise en conformité avec la loi, mise en demeure et/ou procédure de sanction).
Des failles dans les outils
La procédure de contrôle de la CNIL est très bien balisée, mais ce sont ses outils qui posent aujourd’hui problème. En effet, un hacker vient de dévoiler que le logiciel open-source utilisé par la CNIL, dans sa lutte contre l’abus du recours aux cookies par les sites Internet, serait criblé de failles.
Partant de bonnes intentions, ce logiciel, CookieViz, alerte les utilisateurs sur l’impact des cookies pendant leur navigation. Seul bémol, le code utilisé pour le logiciel est très vulnérable et n’empêcherait pas la fuite des données des fichiers des utilisateurs.
La CNIL a aussitôt réagit en supprimant le téléchargement de ce logiciel depuis son site internet et en proposant à la communauté en ligne de publier des correctifs.
Et si la solution de la sécurité des données personnelles venait justement d’un mode collaboratif ?
Et si on arrêtait de mettre en opposition « régulation » et « liberté » au profit du droit et d’un cadre légal évolutif ? Réponse en 2015.
Benoit Peigné, social media manager chez 1789.fr