top of page
LIMITATIONS

LIMITATIONS

cnil

        Ce qui donne la force aux objets connectés c’est leur proximité avec les gens qui les possèdent, en effet ils se font de plus en plus indispensables. Et ceci est possible car ces objets ont accès à nos données personnelles. Mais cette force est l'origine d'un grand nombre de méfiance. Encore récemment, 500.000 patients français ont vu leurs données médicales se faire pirater  [1] : cela pouvait aller jusqu'à des commentaires sur l'état de santé de ces personnes (s'ils étaient séropositifs etc...). Les risques que représentent les données personnelles sont sources de nombreuses controverses comme on peut s'en rendre compte avec les affaires des compteurs Linky qui font polémiques. Dans cette partie nous allons vous partager les mesures qui sont prisent pour protéger nos données personnelles. Mais tout d'abord qu'est-ce qu'une "donnée personnelle" ?

Je définis les données personnelles comme étant toutes les informations relatives à une personne physique ou susceptible d’être identifiée, directement ou non.

Voici un exemple de donnée personnelle sur le schéma ci-contre. [2]

Illustration 5 : Exemple de donnée à caractère personnel ou DCP

D’après la revue française de droit constitutionnel [3] :

"D’ici 2021, la totalité des foyers français sera pourvue de compteurs électriques et gaziers « intelligents » et en 2025, on estime que chaque individu interagira en moyenne avec un objet connecté toutes les dix-huit secondes. Chacune de ces opérations laisse des« traces », des informations relatives à la personne concernée et à ses activités."

Voici ci-dessous une illustration qui propose un exemple du flux de donnée personnelle que l'on retrouve actuellement sur Internet d'apres la meme source :

 

Illustration 6 : Flux de données à caractère personnel, réalisée sur paint.net

I - Loi informatique et liberté

I - Loi informatique et liberté

        Je suis une loi française qui gère les libertés des données personnelles. Je définis des droits sur l'activité informatique et des sanctions si ces droits ne sont pas respectés. Je suis appliquée dans les affaires qui traitent les données personnelle sur le territoire français. [4]

  • Droit d’information 

Un organisme qui collecte des informations sur vous doit vous fournir une information claire sur l’utilisation de vos données et sur l’exercice de vos droits ! 

  • Droit d’accès 

Complémentaire du droit d'information, puisqu'il permet en justifiant de son identité la consultation de ses données personnelles.

  • Droit de rectification et de radiation 

Complément essentiel du droit d'accès, il permet à toute personne de rectifier, compléter, actualiser, verrouiller ou faire effacer des données erronées la concernant.

  • Droit d’opposition 

Autorise toute personne à s'opposer, pour un motif légitime, à ce qu'elle figure dans un fichier.

  • Droit d’accès indirect (=DAI)

 Elle permet à tout citoyen de demander à la CNIL la vérification du contenu d’un fichier dont la loi n’autorise pas la consultation directe. [5]

Illustration 7 : Droits de la loi informatique et liberté, réalisée sur paint.net

De même, il est important de noter que pour l'exercice de ces droits, les entités sollicitées doivent :

  1. Vérifier au préalable l'identité du demandeur. À défaut, elles risqueraient de communiquer des données personnelles à un tiers non-autorisé

  2. Répondre sous un délai maximal de deux mois

Selon l'index 2011 de l’Association Française des Correspondants à la protection des Données à caractère Personnel 12, moins de 18% des organismes sollicités ont fait une réponse conforme au droit.

Voici les sanctions qui sont encourues pour les personnes qui ne respectent pas la loi :

Illustration 8 :Exemple de sanction de la loi informatique et liberté ,réalisée sur paint.net

II - La CNIL

II - La Commission nationale informatique et liberté

     La loi que nous venons de voir représente le fondement de la protection des données sur le territoire français. Mon rôle va être de faire respecter ces règles [6]. Mes missions sont donc les suivantes : 

 

Illustration 9 : Objectifs CNIL , réalisée sur paint.net

        Comme la CNIL doit faire appliquer les règles selon la loi informatique et liberté, il arrive qu'elle met en place des sanctions à des entreprises. Comme par exemple en 2020, la loi a sanctionné Google LLC de 60 millions d'euros pour avoir déposé des cookies publicitaires sur "google.fr" sans contentement [7].

Voici quelques statiques provenant de Wikipedia pour se rendre compte de l'influence de la CNIL en 2017 :

  • 341 contrôles ; 47 contrôles ont concerné la vidéoprotection ;

  • 79 mises en demeure ;

  • 14 sanctions ;

  • 8 360 plaintes reçues ;

  • 4 039 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) ;

  • 155 281 appels reçus ;

  • 18 802 organismes ont désigné un correspondant informatique et liberté.

III - La commission européenne et RGPD

III - La Commission européenne et RGPD 

        Après quatre années de négociations législatives, le RGPD été définitivement adopté par le Parlement européen le 27 avril 2016. Ses dispositions sont directement applicables dans l'ensemble des 27 États membres de l'Union européenne à compter du 25 mai 2018.

Qui cela va-t-il toucher ? Toutes les entreprises qui font parti de l’Union européenne et qui possèdent des données sur des habitants de l’UE. Et même si cette entreprise ne fait pas partie de l’Europe, elle doit appliquer les règles de la RGPD car elle possède des données de personnes faisant partie de l’UE.

[8]    Je suis l'une des principales institutions de l'Union européenne avec le conseil de l'Union européenne, le parlement européen et le conseil européen. Mon rôle va être de mettre en oeuvre des politiques communautaires. Et pour faire respecter la protection des personnes à l'égard des traitements de données à caractère personnel qui peut être en libre circulation. Moi et mon parlement nous avons créer le Règlement général sur la protection des données (RGPD, ou encore GDPR, de l'anglais General Data Protection Regulation), un règlement de l'Union Européenne qui constitue le texte de référence en matière de protection des données à caractère personnel.

Les sanctions : 

Étape 1 : Avertissement ou mise en demeure de l'entreprise accompagné d'un rappel des règles concernant la mise en conformité ;

Étape 2 : Injonction, ordre de cessation immédiate des violations constatées ;

Étape 3 : Limitation ou suspension temporaire des traitements ou des flux de données ;

Étape 4 : Sanctions administratives pour les entreprises qui n'ont pas respecté l'injonction.

Illustration 10 : Exemple de sanction RGPD, réalisée sur paint.net

IV - Collaborations, Critiques et limites 

IV - Collaboration, Critiques et limites

Dans l’ensemble, tous les acteurs que nous vous avons présentés dans la partie précédente travaillent en collaboration pour sécuriser les données personnelles des utilisateurs. Nous allons aussi vous montrer dans cette partie les points de vue opposés et présenter les personnes qui s'opposent à ces acteurs. 

En effet, les lois ne peuvent pas rentrer en conflit les unes avec les autres. Elles vont travailler main dans la main pour nous protéger, comme par exemple la loi informatique et liberté qui fait appliquer ces droits grâce aux pouvoirs exécutifs de la CNIL, aussi nous pouvons avoir par exemple des MOOC de sensibilisation à la RGPD qui sont présentés par la CNIL ou même des accompagnements des entreprises pour respecter la RGPD. Ces acteurs présentés ci-dessus ne sont pas là que pour sanctionner mais aussi pour aider et accompagner les entreprises.

 

Une autre collaboration entre la CNIL et le RGPD existe au niveau des protections qu'elles apportent : elles se complètent.

Illustration 11 : Complémentarité entre la CNIL et la RGPD, réalisée sur paint.net

 Limite de la loi informatique et liberté avec Interpol [9]

Il existe une affaire où la loi informatique et liberté n’a pas pu s’appliquer. Dans les années 70, Interpol a voulu informatiser ses bases de données. Cette informatisation fut source d'un conflit entre l'organisation et la république française. En effet, la loi informatique et liberté était applicable aux données contenues dans les locaux de l'organisation, auxquels elle avait droit d'accès. Interpol estimait que l'application de cette loi était impossible pour deux raisons : 

1 - Les informations qu'elle détient sont propriétés des pays membres, elle n'en est que le dépositaire, le fait de la soumettre à un système législatif lui donne un caractère extra-territorial.

2 - Cela risquerait de compromettre la coopération policière internationale, certains pays préférant renoncer à communiquer des informations auxquelles aurait accès librement l'État français.

 

Après plusieurs années de conflits, les deux parties se mirent d'accord par la signature d'un nouvel accord de siège le 3 novembre 1983 et un échange de lettres en 1984. Le premier texte définit non seulement le cadre général de l'organisation (propriété insaisissable, immunité diplomatique de ses hauts dignitaires, très peu de soumission à l'impôt...), mais aussi l'inviolabilité des fichiers et des archives d'Interpol ; le second prône la mise en place d'une autorité de contrôle interne des fichiers et non pas nationale. 

Ainsi la France a renoncé à faire appliquer sa loi aux fichiers de l'organisation grâce aux garanties que cette dernière a fournies, pour assurer la coopération internationale.

 Limite de la CNIL [10]

Cet article nous vient du cabinet Squire Patton Boggs et nous présente “les limites de la CNIl”, Squire Patton Boggs qui est un cabinet d'avocats mondial à service complet : ils se présentent comme conçus pour aider les entreprises à rester informées des évolutions du droit social en France. 

Comme il est noté sur leur site web, “Les opinions exprimées dans cette mise à jour sont celles des auteurs et ne reflètent pas nécessairement les vues du cabinet, de ses clients ou de l'un de ses affiliés respectifs. Cet article est à des fins d'information générale et n'est pas destiné à être et ne doit pas être considéré comme un avis juridique.“

Mais ce qui est particulier avec cet article c’est qu’il a été rédigé en 2010 et le nom de son auteur n’est pas précisé explicitement : en effet c’est le nom du cabinet qui est inscrit. 

Les arguments avancés sont : 

-La CNIL doit respecter un certain nombre d’étapes imposés par des règles de procédures légales telles qu’interprétées par la jurisprudence.

-Une sanction doit être précédée d’un avertissement ou d’une mise en demeure assortie d’un délai pour se conformer à la loi, ainsi que d’une procédure contradictoire.

Et pour illustrer leurs arguments, l'article donne comme exemple les complications comme par exemple un arrêt du 7 juillet 2010 : le Conseil d’État a annulé des sanctions prises par la CNIL jugeant que le contrôle qui les avait précédées ne respectait pas les principes légaux et a ainsi confirmé la décision qu’il avait prise dans une autre affaire en novembre 2009.

 Critique de la CNIL [11]

D'apres cet article, Gilles Babinet représentant français du programme des champions du numérique auprès de l'Union Européenne élu par  Fleur Pellerin  en 2013 qui le  décrit comme étant  "développeur  d'une véritable vision stratégique sur l'innovation et l'économie numérique".

Gilles Babinet attaque avec une rare agressivité l'action de la CNIL, qu'il estime pénalisante pour le développement du numérique : "Si on était courageux, on pourrait créer un ou deux millions d’emplois qualifiés en cinq ans. Mais pour cela, il faut arrêter de ménager les susceptibilités. A titre d'exemple, soit profondément réformer soit fermer la Cnil. Avec sa régulation excessive, c’est un ennemi de la Nation.

Il y a d’un côté les "archéo-rétrogrades" qui veulent conserver un état hypercentralisé et dont la CNIL serait le porte-drapeau. De l’autre, une société civile qui veut moderniser le pays."

"Mais dès que s’ouvre un débat sur le numérique, il y a toujours quelqu’un pour brandir des questions de préservation de la vie privée ou de sauvegarde de l’emploi !"

L'article note aussi que l'entreprise de Gilles Babinet , propose des services de "renseignement marketing", "vous permet de collecter et de fouiller dans vos données comme jamais vous ne l'avez fait auparavant". Discrète sur ses activités, elle réunit dans une seule base de données (du "Big Data") toutes les données utiles à un service marketing sur l'ensemble des clients et prospects, en les croisant avec des données extérieures susceptibles d'influencer les ventes (de la météo à l'état du trafic routier jusqu'aux cours de bourse….).

 Entretien RSSI

Nous avons également réalisé un entretien que vous pouvez retrouver dans l'onglet Entretiens. C'est dans la continuité du sujet, en effet il s'agit d'un entretien avec un RSSI qui nous parle de la RGPD que vous retrouverez directement juste ici.

V - Lien avec les acteurs

V - Un lien avec les autres acteurs ?

Architectes.png

       Les organismes de création de lois ne sont pas des acteurs isolés : les normes, les lois influencent directement les entreprises de la domotique. Ainsi il est très important pour ces acteurs que la loi soit correctement pensée pour ne pas nous pénaliser. L'entreprise Sofym donne donne un exemple : la domotique doit aussi proposer un confort de vie et cela passe aussi par un filtrage de l'air (poussières, pollen, …) et cette domotique doit pouvoir limiter les émissions nocives – on parle de standard Minergie-P-ECO [12] pour les matériaux –. En fait, ce standard est bien plus vaste et concerne l'entièreté du domaine de la construction du bâtiment mais cela justifie le fait que la domotique doit suivre des règles strictes concernant l'écologie ou la santé des habitants.

bottom of page