Comment déterminer la notion d’interconnexion ?

Dans la mesure où certaines interconnexions nécessitent une autorisation préalable de la CNIL, il est utile de rappeler les critères qui permettent de déterminer ce qui constitue une interconnexion. On peut définir l’interconnexion comme la mise en relation automatisée d’informations provenant de fichiers ou de traitements qui étaient au préalable distincts.

La CNIL identifie 3 critères cumulatifs permettant de qualifier l’existence d’une interconnexion entre des fichiers :

Critère 1 - L’objet de l’interconnexion doit être la mise en relation de fichiers ou de traitements de données à caractère personnel :

• Les moteurs de recherche généraux sur Internet permettent de mettre en relation des pages web, indépendamment du fait qu’il s’agisse, ou non, de fichiers de données à caractère personnel. Les moteurs de recherche généraux (comme Google ou Bing) ne constituent donc pas des interconnexions.

Critère 2 - Cette mise en relation concerne au moins deux fichiers ou traitements distincts :

• L’ajout d’informations dans un fichier existant ou la modification des finalités d’un traitement ne constituent pas à eux seuls des formes d’interconnexion, quand bien même ces ajouts nécessitent des moyens techniques nouveaux.
• La notion d’interconnexion peut s’appliquer aux fichiers d’un même responsable de traitement.

Critère 3 - Il s’agit d’un processus automatisé ayant pour objet de mettre en relation des informations issues de ces fichiers ou de ces traitements :

• Si deux fichiers distincts ont des destinataires communs, le fait pour ces destinataires de consulter simultanément ces deux fichiers ne constitue pas, à lui seul une interconnexion.
• L’ajout de nouveaux destinataires à un traitement existant ne constitue pas, à lui seul, une interconnexion.
• La comparaison visuelle du contenu de deux fichiers ne constitue pas une interconnexion mais un rapprochement.

Interconnexion ou rapprochement ?

Le rapprochement, tout comme l’interconnexion, constitue une mise en relation d’informations. Cependant, le rapprochement se distingue de l’interconnexion sur deux points :

• A la différence d’une interconnexion, un rapprochement ne suppose pas nécessairement la mise en œuvre de moyens automatisés. Ainsi, la comparaison visuelle d’informations issues de deux fichiers ou encore l’enrichissement d’un fichier existant par saisie manuelle d’informations issues d’un autre fichier ne constituent pas une interconnexion, mais de simples rapprochements.
• Un rapprochement peut être réalisé au sein d’un même traitement ou fichier, alors qu’une interconnexion implique deux fichiers distincts.

Exemple de rapprochement

Les mairies ont l’obligation de recenser les élèves de leur commune soumis à l’obligation scolaire et utilisent un fichier à cette fin. Ces mairies alimentent également le fichier « base élève » destiné à l’inscription scolaire des élèves du premier degré. Il est donc fréquent que certaines informations saisies dans le premier fichier soient recopiées dans le deuxième par la mairie. Ceci constitue donc bien un rapprochement mais pas une interconnexion car cette opération se fait manuellement et non pas par un processus automatisé. Ainsi le critère numéro 3 précédemment décrit n’est pas satisfait (comme l’a d’ailleurs souligné le Conseil d’État dans sa décision du 19 juillet 2010 relative au fichier « base élève du 1er degré »).

Certaines interconnexions sont soumises à l’autorisation préalable de la CNIL (article 25 de la loi « informatique et libertés »).

Critère 4 - Les fichiers interconnectés sont issus de traitements ayant des finalités différentes.

Ces interconnexions sont soumises à un régime d’autorisation.
Les fichiers peuvent correspondre à des intérêts publics différents (traitements relevant d’une ou de plusieurs personnes morales gérant un service public) ou avoir des finalités principales différentes.

Exemples d’interconnexions soumises à autorisation de la CNIL

Pur permettre l’application du tarif social de l’électricité, la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAMTS) transmet à EDF des informations relatives aux personnes dont le foyer dispose de ressources annuelles inférieures à un plafond déterminé (comme prévu par loi n° 2000-108, précisée dans le décret 2004-325).
Cette transmission est mensuelle et à sens unique. Les 4 critères précédemment cités sont tous satisfaits : cette transmission a été soumise à autorisation de la CNIL car il s’agit bien en effet d’une interconnexion de fichiers relevant d’une ou de plusieurs personnes morales gérant un service public et dont les finalités correspondent à des intérêts publics différents.

Tout opérateur de jeux en ligne a l’obligation légale d’empêcher ses salariés d’engager des mises sur des jeux ou des paris qu’il propose. Pour ce faire, il a la possibilité d’extraire de son fichier de ressources humaines le nom, prénom et la date de naissance de chacun de ses salariés et extraire de son fichier clients le nom, le prénom et la date de naissance de chaque joueur ayant ouvert un compte sur son site. Il peut ensuite croiser ces deux extractions à l’aide d’un logiciel pour éditer la liste des salariés disposant d’un compte sur son site. Le croisement de ces extractions est une interconnexion soumise à autorisation de la CNIL.

Les 4 critères précédemment définis sont en effet satisfaits.

Caractéristiques d’une interconnexion

Une interconnexion peut prendre des formes diverses :

• Elle peut être à sens unique : un fichier peut servir à enrichir les informations contenues dans un deuxième fichier. On parle alors « d’alimentation ».
• Elle peut être bidirectionnelle : des échanges peuvent s’effectuer dans les deux sens, lorsque des informations issues d’un traitement sont envoyées vers un deuxième traitement, pour obtenir en retour une information nouvelle ou sa confirmation. On parle généralement de « fichier d’appel » et de « fichier réponse » pour décrire ces échanges.
• Elle peut aboutir à la création de nouveaux flux : Des fichiers issus de deux traitements distincts peuvent être rapprochés ou comparés pour obtenir une information nouvelle ou la consolidation d’informations existantes.
• Elle peut être ponctuelle : Une interconnexion peut être effectuée de manière automatisée mais ponctuelle, pour un besoin particulier : une fois lors de la création du traitement, ou de manière périodique (par exemple 1 fois par mois).
• Elle peut être permanente : L’interconnexion peut nécessiter la mise en œuvre de moyens de communication permanents entre les différents fichiers qui la composent, par exemple pour réaliser des traitements en temps réel.

G L O S S A I R E

Qu’est ce qu’une donnée à caractère personnel ?

Art. 2 de la loi "Informatique et libertés"
" Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ".
" La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ".

Point de vue de la CNIL
Les données sont considérées "à caractère personnel" dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement.
Une personne est identifiée lorsque par exemple son nom apparaît dans un fichier.
Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : n° d’immatriculation, adresse IP, n° de téléphone, photographie...)
En ce sens, constituent également des données à caractère personnel toutes les informations dont le recoupement permet d’identifier une personne précise. (ex. : une empreinte digitale, l’ADN, une date de naissance associée à une commune de résidence …).
Les technologies de l’information et de la communication génèrent de nombreuses données personnelles (un paiement par carte bancaire, un appel passé par un téléphone portable, une connexion à Internet) et aussi des “traces informatiques” facilement exploitables grâce aux progrès des logiciels, notamment les moteurs de recherche.

Qu’est ce qu’un traitement de données à caractère personnel ?

Art. 2 de la loi "Informatique et libertés"
" Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ".
" Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés ".

Exemple de traitements :
Fichier d’adresses ;
Application informatique ;
Base contacts ;
Autocommutateur ;
Système d’enregistrement des conversations téléphoniques sur support numérique ;
Mais également toute procédure de télétransmission de données personnelles, d’interconnexion, de consultation et ce quel que soit le moyen de télécommunication ainsi que toute application de cartes à puce.

Qu’est ce que le droit d’accès ?

Définition
Toute personne peut prendre connaissance de l’intégralité des données la concernant, collectées dans un fichier ou un traitement et en obtenir copie auprès du service chargé de leur mise en oeuvre.
En exerçant son droit d’accès, la personne peut s’informer des finalités du traitement, du type de données enregistrées, de l’origine et des destinataires des données.
L’exercice du droit d’accès permet de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou supprimer si un intérêt légitime le justifie.

Les limites au droit d’accès
Si un responsable de traitement estime qu’une demande est manifestement abusive, il peut ne pas y donner suite. En revanche si l’affaire est portée devant un juge il devra apporter la preuve du caractère manifestement abusif de la demande en cause.
Le droit d’accès ne s’exerce pas lorsque les données sont conservées sous une forme ne présentant aucun risque d’atteinte à la vie privée et pendant une durée n’excédant pas celle nécessaire à l’établissement de statistiques ou à la recherche scientifique ou historique.

Qu’est-ce que l’interconnexion de fichiers ?

Il s’agit de tout traitement automatisé mis en œuvre par un ou plusieurs responsables qui consiste à mettre en relation (à corréler) des données ayant une finalité avec d’autres données ayant une finalité identique ou différente.
Cette mise en relation (ou corrélation) peut consister à transférer un fichier pour alimenter un autre fichier ou pour réaliser la fusion de ces fichiers, à mettre ponctuellement en relation plusieurs fichiers normalement gérés séparément, par exemple en constituant un fichier d’appel à partir de l’un de ces fichiers qui servira à interroger les autres fichiers et sera enrichi par les résultats de cette interrogation. Il peut également s’agir d’assembler des informations provenant de plusieurs fichiers au sein d’une même base de données (exemple des bases dénommées « entrepôts de données » alimentés par des informations provenant de différents fichiers ) avec un éventuel recours à des techniques logicielles de mises en relations ponctuelles (outils dits de datamining) ou de créer un lien technique entre plusieurs bases de données nominatives qui permettra, par exemple, de les consulter simultanément (par exemple, des sites portails permettant par des « liens hypertextes » d’assurer une mise en relation avec d’autres bases).

Qu’est-ce que le RNIPP ou le NIR ?

Le RNIPP, répertoire national des personnes physiques, géré par l’INSEE permet l’identification de tout Français au moyen d’un numéro de 13 chiffres, créé à partir de l’état civil. Ce numéro, appelé encore NIR (numéro d’inscription au répertoire), numéro INSEE, ou tout simplement numéro de sécurité sociale, est non seulement identifiant mais aussi signifiant.
Son utilisation est toujours soumise à autorisation.

Qu’est-ce que l’anonymisation ?

Quand la donnée personnelle sort d’un système sécurisé, il faut la crypter pour éviter qu’elle soit détournée et utilisée à des fins non prévues. Le projet d’anonymisation des données consiste à définir et à construire un filtre continu, actualisé et permanent.
L’anonymisation concerne aussi bien les données directement nominatives (nom, prénom, date de naissance,..) que celles qui le sont indirectement comme un matricule, une adresse, un n° de téléphone, un élément biométrique, une adresse IP internet, les traces des données de connexion,

Quand faut-il rendre les données anonymes ?
"Quand la loi ou les textes réglementaires l’exigent explicitement comme condition de leur mise en œuvre (ex : le recensement de l’INSEE), quand, dans l’état actuel du droit, il n’y a pas d’autres moyens d’utiliser des données provenant de fichiers nominatifs protégés,
dès qu’un fichier de données nominatives doit "sortir" de son environnement naturel, quand les données personnelles réelles doivent servir à la constitution de jeux d’essai destinés aux équipes chargées du développement ou de la maintenance des applications informatiques" (Jean-Luc Bernard, CNIL).