Vie privée et informatique - Définition

Législation

Depuis les années 1970, la plupart des pays industrialisés se sont dotés de lois contre la violation de la vie privée.

L’OCDE a été le principal acteur, c'est lui qui a fourni les grands principes qui devaient être suivis par tous les pays membres. Les pays anglo-saxons ont plutôt adopté des positions autorégulées par le marché, souvent organisées par branche d'activité.

• Europe
• Convention 108 du Conseil de l'Europe
  • Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000
  • Directive 95/46/CE sur la protection des données personnelles (ne concerne pas le Troisième pilier de l'Union européenne, c'est-à-dire les fichiers de police de la coopération policière et judiciaire en matière pénale)
  • Directive 2006/24/CE sur la conservation des données, etc.
• France
  • La Loi informatique et libertés de 1978, modifiée en 2004, qui prévoit, entre autres, la création de la CNIL s'inscrit dans ce cadre.
• États-Unis: Ce pays est doté d'une protection inférieure concernant les données personnelles que les États de l'UE. Un accord (Safe Harbour Principe) a été passé entre la Commission européenne et Washington afin d'autoriser le transfert de certaines données personnelles (dont les Passenger Name Record) vers les États-Unis.
  • En 1998, la loi pour la protection de la vie privée des mineurs sur Internet (Children's Online Privacy Protection Act) met en place des mesures particulières pour protéger les mineurs de moins de 13 ans.

La gestion et la protection des données personnelles collectées et stockées par les fournisseurs de service

Les fournisseurs de services, que ce soit l'administration ou des opérateurs de service sont amenés à collecter et stocker des informations personnelles dans le but de fournir le service. Toutes les bases de données ainsi collectées doivent être soumises à l'autorisation préalable de la CNIL. L'autorisation concerne :

• Le type de données gérées
• L'usage des données ainsi collectées
• La durée de conservation

Les données personnelles collectées

Deux catégories de données sont stockées et gérées dans des fichiers informatiques par les fournisseurs de service:

• Les données fournies par l'utilisateur, en général au moment de la souscription au service:
  • Données nécessaires à l'identification de l'usager ou du client (nom, prénom, date de naissance, sexe, etc).
  • Données nécessaires à la facturation du service (adresse de facturation et moyen de paiement)
  • Données nécessaires à la fourniture du service
  • Données complémentaires, optionnelles, que le fournisseur de service peut collecter pour un usage marketing à condition d'avoir obtenu l'accord express du client
  • Données complémentaires demandées en échange de la fourniture d'un service gratuit sur Internet
• Les données collectées pendant la fourniture du service. Il s'agit des données les plus sensibles en matière de vie privée. Ces données dépendent du type de service fourni :
  • Opérateurs de télécommunication - tickets de facturation et d'usage permettant de retrouver
    • l'ensemble des correspondants d'une personne (émission et réception)
    • l'ensemble des sites web visités et des pages vues
    • l'ensemble des lieux physiques (cellules) où un téléphone mobile allumé a été vu, même s'il n'a pas appelé
  • Services bancaires
    • ensemble des transactions de paiement horodatées avec les coordonnées de la contrepartie (commerçant)
    • incidents de paiement
    • crédits et incidents de remboursement
    • revenus récurrents
  • Services de santé (incluant Sécurité sociale et assurance) - information sur les maladies d'une personne et les médicaments achetés
  • Services d'éducation
  • Fournisseurs de service gratuit sur Internet : Données d'usage du service utilisées par le fournisseur de service pour se rémunération

Les services de police et les renseignements généraux collectent des données pour leurs besoins propres. Une quarantaine de fichiers différents existent ainsi en France.

L'usage des données

Les données collectées sont utilisées pour fournir le service, le facturer et gérer les réclamations. Mais les préoccupations en matière de protection de la vie privée concernent :

• La capacité du fournisseur de service à protéger les données stockées, d'un accès extérieur malveillant
• L'usage qui est fait des données collectées pour une usage non prévu par le contrat (action marketing, location de fichiers, etc.)

Les établissements financiers et les opérateurs de télécommunication possèdent des informations extrêmement sensibles sur la vie privée de leur client. La CNIL veille particulièrement à ce que ces données ne soient pas traitées pour des actions marketing.

Certaines données doivent être mises à la disposition de la police sur commission rogatoire.

Durée de conservation des données

La conservation des données administratives peut-être extrêmement longue, et durer toute la vie (Cotisations retraites, transactions immobilières par exemple).

La durée de conservation par les fournisseurs de services non administratifs est soumise en France à l'accord préalable de la CNIL. Les données ne doivent être en principe conservées que pendant la durée nécessaire à fourniture du service, ainsi que pendant une période complémentaire raisonnable. L'article L110-4 du Code de commerce français prévoit que « Les obligations nées à l'occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par cinq ans si elles ne sont pas soumises à des prescriptions spéciales plus courtes ». Ainsi les entreprises de services peuvent raisonnablement conserver certaines données personnelles de leur client pendant cinq ans après la fourniture du service.

En cas de résiliation du service, les données nécessaires à la collecte du dernier paiement peuvent être conservées tant que la dernière facture est considérée comme exigible. En cas de litige, la durée peut être de plusieurs années. Même si la résiliation est faite normalement, le fournisseur conserve des données pour relancer ses anciens clients.

Néanmoins la loi peut exiger une conservation beaucoup plus longue des données; il en est ainsi :

• De la conservation des données bancaires qui peuvent être utilisées comme preuve dans des conflits commerciaux (dix ans pour les paiements, réduit à cinq ans depuis 2008)
• Des données de télécommunication qui peuvent servir de preuve lors des procès au pénal ou pendant les enquêtes judiciaires qui peuvent avoir lieu longtemps après les faits (voir la Directive 2006/24/CE sur la conservation des données)

Protection des données

C'est un point extrêmement sensible, puisque l'on sait que malgré les moyens de protection mis en œuvre, aucun système ne peut être considéré comme inviolable.

Ainsi le fournisseur de service doit :

• S'assurer que l'accès à son système d'information est protégé des accès extérieurs. Il doit également s'assurer de l'impossibilité d'altérer les données.
• Respecter les règles en matière de stockage des données bancaires (interdiction de stocker en clair les numéros de carte par exemple)
• Éviter de stocker les mots de passe des clients, mais se contenter de stocker l'information permettant de contrôler les mots de passe.

Traces sur Internet

Ce que l'on appelle ainsi, ce sont tous les fichiers qui s'enregistrent sur l'ordinateur d'un utilisateur, le plus souvent à son insu, lorsqu'il navigue sur Internet : cookies, historique, formulaires, fichiers téléchargés, fichiers Internet temporaires... Les logiciels comme Internet Explorer en version 7, Firefox ou CCleaner ou Steganos Internet Anonym permettent d'effacer facilement ces traces. D'autres méthodes réduisent sensiblement le traçage (et la censure) des internautes soit sur l'internet normal (Tor) soit en constituant un réseau anonyme (Freenet, I2P)