Allemagne : absence d’une véritable protection les données personnelles [1]

Un trafic de données confidentielles fait actuellement scandale en Allemagne. En deux jours un employé d’une organisation de défense des consommateurs a pu faire l’acquisition d’un DVD et de deux CD-Rom contenant 6 millions de données personnelles de résidents allemands, dont 4 millions de numéros de comptes bancaires. Le tout pour 850 euros. Inquiétant, lorsqu’on sait que ces données peuvent servir à débiter des comptes bancaires à l’insu de leur propriétaire.

Le gouvernement allemand veut mettre fin à ces pratiques. Première à réagir, la ministre de la justice s’est prononcée pour un durcissement de la loi. Actuellement, un tel trafic expose à des amendes allant jusqu’à 250 000 euros, une sanction « insuffisante » selon la ministre.
Le ministre de l’économie a évoqué l’option d’une interdiction totale du commerce de données personnelles « si l’on ne peut pas protéger autrement les consommateurs contre des pratiques criminelles ».
Autre proposition : inscrire dans la loi l’obligation, pour toute entreprise détenant des informations confidentielles, d’obtenir l’accord circonstancié des consommateurs concernés avant de les transmettre. Cette suggestion a reçu le soutien des spécialistes de la protection des données.

Les données bancaires d’un million de Britanniques vendues 44 euros sur eBay

D’après le Daily Mail, un ancien employé d’une société d’archivage de données a vendu sur eBay un ordinateur usagé, pour un peu plus de 35 livres (44 euros), sans en effacer les données personnelles (numéros de compte, de téléphone ainsi que les signatures) de plus d’un million de clients d’American Express, NatWest et de la Royal Bank of Scotland.
L’acheteur a retrouvé l’ensemble de ces coordonnées sur le disque dur de l’ordinateur. [2]

Cette affaire vient après toute une série de pertes de données confidentielles commises, presque toujours par négligence, par des sociétés privées auxquelles les administrations britanniques avaient sous-traité la gestion des données. Le gouvernement se contente le plus souvent de présenter ses excuses.

Est-il nécessaire de préciser que les Britanniques n’accordent plus aucun crédit aux pouvoirs publics concernant la protection de leurs données personnelles ? [3]

« En France, on est plus malin... ça doit arriver aussi, mais ça ne se sait pas ! » [4]

Qu’en est il de la France ? Sommes-nous plus à l’abri de ce type d’incidents que nos voisins ?

L’exemple de “Base élèves 1er degré” montre qu’il n’en est rien : au printemps 2007, des personnes extérieures à l’Education nationale ont pu accéder librement par Internet à des informations concernant des élèves déjà enregistrés (voir cette page).

En France, «  objectivement, il n’y a pas moins d’incidents qu’ailleurs. Mais il y a chez les anglo-saxons une tendance culturelle au “full disclosure” que nous n’avons pas » déclare un responsable d’un département de gestion de la Sécurité. «  Par ailleurs, la loi américaine oblige les entreprises victimes de pertes ou de vol de données à avertir les clients, ce qui rend la communication publique beaucoup plus fréquente. Un tel mécanisme n’existe pas en France. » [5]

La réaction d’un internaute anonyme que nous avons reprise ci-dessus montre que beaucoup de nos concitoyens ne se font aucune illusion
et n’accordent aucune confiance aux pouvoirs publics dans ce domaine.

Vos données personnelles intéressent les pouvoirs publics

En Suède : la Lex Orwell

Ce que les Suédois ont baptisé « Lex Orwell » est tout simplement le droit, pour l’Etat, de surveiller sans mandat toute l’information qui circule sur Internet ou sur les téléphones cellulaires. Du numéro d’identification de l’ordinateur jusqu’au contenu des données, tout sera filtré et pourra, le cas échéant, être stocké dans de gigantesques bases de données. Il est facile d’imaginer ce qu’un croisement de ces informations peut rendre possible, et à quel type de société totalitaire cela peut conduire. Des milliers de Suédois sont mobilisés contre cette loi.

En France : Edvige

La sensibilité aux questions de vie privée est sans doute moins développée en France qu’en Suède, comme le suggère le rappel par Jean-Marc Manach de l’incident suivant [6] :

En 2005, deux électroniciens découvrirent, stupéfaits, que les données confidentielles contenues dans la carte Vitale n’étaient pas protégées : on pouvait les lire, mais aussi les modifier. L’affaire ne suscita que quelques articles de presse, et fut rapidement oubliée après que les responsables de la carte Vitale, tout en reconnaissant le problème, eurent déclaré qu’il serait corrigé.

Quelques mois plus tard, l’un des deux électroniciens remonta au créneau en faisant remarquer que rien n’avait été fait. Aucun journaliste, aucun syndicat, aucune association de patients ne s’en inquiéta. Et ni la Commission nationale de l’informatique et des libertés (CNIL), censée garantir la protection de la vie privée, ni la direction centrale de la sécurité des systèmes d’information (DCSSI), autorité nationale de régulation chargée de la sécurité informatique, ne se saisirent du problème.

Mais les réactions à la création du fichier Edvige montrent qu’une page est en train de se tourner : depuis le 10 juillet un appel demandant l’abandon d’Edvige a reçu plus de
89 000 signatures dont 689 provenant d’organisations, de collectifs, de partis et de syndicats.

Edvige ou Big Brother ?

par Michel Delean, Le journal du dimanche, le 25 août 2008

Plusieurs organisations - dont la Ligue des droits de l’homme, le Syndicat de la magistrature, le Syndicat des avocats de France, la CGT, FO, la CFDT et Sud - s’apprêtent à déposer un recours, cette semaine, devant le Conseil d’Etat contre le tout nouveau fichier Edvige, dont doivent bientôt disposer les policiers, au motif que celui-ci constitue une “atteinte grave aux libertés individuelles”.

Une pétition anti-Edvige a déjà rassemblé 85 000 signatures sur Internet, et un collectif se réunira jeudi pour élaborer des actions médiatiques. Le fichier Edvige (Exploitation documentaire et valorisation de l’information générale) a été créé par décret du ministère de l’Intérieur le 1er juillet, mais sa mise en oeuvre a aussitôt été gelée, le temps de faire quelques ajustements techniques et de purger le contentieux administratif. Le doux nom d’Edvige recouvre en fait un fichier informatique rassemblant des données sur deux catégories de population. D’abord les « personnalités », tous ceux et celles qui peuvent jouer un rôle public dans des domaines aussi variés que la politique, l’économie, le social, la religion, le monde associatif ou les médias.

Ensuite les « fauteurs de troubles », c’est-à-dire les individus ou groupes « susceptibles de porter atteinte à l’ordre public », y compris les mineurs et ce dès l’âge de 13 ans. Le fichier Edvige doit, enfin, servir aux enquêtes administratives demandées pour les candidats à certains métiers, notamment dans la fonction publique et dans le secteur de la sécurité. Les données personnelles contenues dans ce fichier seront nombreuses : état civil, profession, adresses, téléphone, mail, signes particuliers, photos, comportement, titres d’identité, immatriculation des véhicules, informations fiscales et patrimoniales, déplacements, antécédents judiciaires, environnement personnel...

« Ce n’est qu’un ancien fichier RG adapté aux évolutions de la société »

Concrètement, ces données seront collectées sur décision de la police, soit au niveau du département, soit au niveau national. Le fichier sera géré par la sous-direction de l’information générale (SDIG, rattachée à la Direction centrale de la sécurité publique). Les fiches elles-mêmes pourront être créées et consultées par les quelque 1600 policiers assermentés de la SDIG. Au départ, la base sera constituée des fameuses petites fiches des ex-Renseignements généraux (RG), à l’exception toutefois de celles qui concernent le terrorisme et l’espionnage : celles-ci seront versées au fichier secret Cristina, qui sera géré par la Direction centrale du renseignement intérieur (DCRI, fusion de la DST et d’une partie des RG). « En fait, Edvige n’est jamais que l’ancien fichier des RG adapté aux évolutions de la société », explique Gérard Gachet, le porte-parole de la ministre de l’Intérieur, Michèle Alliot-Marie.

L’immeuble de la DCRI à Levallois-Perret.

Ce sont précisément les nouveautés du fichier Edvige qui font l’objet de
virulentes critiques : plusieurs associations estiment que ce projet fait
craindre un « flicage » injustifié des mineurs, des militants ou des minorités sexuelles qui pourrait ouvrir la voie à toutes sortes d’excès. Quant à la notion « d’atteinte à l’ordre public », elle paraît très floue aux défenseurs des droits de l’homme qui craignent la constitution d’un méga fichier et agitent le spectre de « Big Brother ».

Le projet a, d’ailleurs, été déjà modifié après plusieurs remarques venues, notamment, de la Commission nationale informatique et liberté (Cnil). « Nous avons, par exemple, obtenu que le décret créant Edvige soit publié au Journal officiel, ce qui rend possible un débat public et citoyen et nous permettra, par ailleurs, d’exercer un contrôle effectif sur ce fichier », explique Yann Padova, le secrétaire général de la Cnil. De même, aucune interconnexion avec les autres fichiers existants (Stic, casier judiciaire, etc.) ne sera autorisée. D’autres restrictions ont été ajoutées au projet initial. Ainsi, l’enregistrement des déplacements et du comportement des personnalités publiques a été abandonné. Enfin, les données sur l’orientation sexuelle ou la santé ne seront plus enregistrées que de manière exceptionnelle.

La mobilisation n’en demeure pas moins forte. « En admettant que l’on ne fiche plus les minorités, le fait de ficher des militants politiques, syndicaux ou associatifs est de toute façon quelque chose de très inquiétant ; ça revient à intimider tous les opposants », lâche Hélène Franco, du Syndicat de la magistrature. « Il y a une disproportion entre l’objectif affiché, celui du maintien de l’ordre public, et l’atteinte à la liberté, notamment à la vie privée. » Selon nos informations, d’autres recours sont prévus, cette fois contre le fichier Cristina.

Michel Delean

Les réseaux sociaux, espace à risque pour les données personnelles

L’utilisateur des “réseaux sociaux” (Facebook, MySpace, Skyblog...) n’est pas toujours conscient qu’en dévoilant des données sur sa vie privée, ses habitudes de vie, ses loisirs, voire ses opinions politiques ou religieuses, il permet que se constituent de formidables gisements de données susceptibles de provoquer de multiples sollicitations commerciales. Comme l’écrit Vincent Dufief [7] :

« Il en effet frappant de voir à quel point les individus, notamment les plus jeunes, divulguent facilement sur Internet des pans entiers de leur vie privée, que ce soit sur les blogs, sur Facebook ou sur les autres réseaux sociaux. Et par le truchement des moteurs de recherche, dont la puissance ne cesse de croître, toutes ces informations deviennent accessibles, d’un simple clic, au monde entier.
N’importe qui aujourd’hui peut faire sa propre petite enquête sur Internet à partir d’un patronyme et découvrir une mine d’informations sur la personne ainsi “googlisée”. »

La CNIL (Commission nationale de l’informatique et des libertés) a mis en garde contre les dangers des réseaux sociaux : ils offrent des services généralement gratuits, souvent en contrepartie d’une utilisation commerciale des données personnelles de l’utilisateur [8].

Une fois en ligne, ces informations sont plus ou moins largement diffusées, indexées et analysées.
Les traitements, la gestion de toutes ces données nécessitent des quantités fantastiques de calculs ...

Internet, une industrie lourde [9]

Les deux centres de calcul en construction, en juin 2006 à The Dalles (Oregon). (Photo Melanie Conner/The New York Times)

Deux immenses hangars de la taille d’un stade de football, affublés de quatre immenses tours de refroidissement, ont été récemment construits dans la ville de The Dalles (Oregon), le long de la rivière Columbia. C’est le siège d’un centre de données de Google, adapté à l’indexation du Web et capable de fournir les réponses dans des délais remarquablement courts à des milliers d’utilisateurs simultanés. Une rivière pour le refroidissement, la proximité de sites de production d’électricité à bas coût et la connexion à très haut débit sont les conditions indispensables pour implanter une « usine à données ». Des règles proprement industrielles pour une installation servie par deux cents employés permanents et générant des centaines d’emplois indirects.