Synthétique et pédagogique. Dans un texte ayant pour titre « Comprendre les grands principes de la cryptologie et du chiffrement », la CNIL explique ce qu’est la cryptologie et détaille ses différentes applications : le hachage, la signature et le chiffrement. Le texte est accompagné d’une infographie où l’on retrouve, comme il se doit quand il est question de cryptographie, les sempiternels Alice et Bob.
Titre de la page
Avec sa délibération du 23 janvier 2014 portant adoption d’un référentiel pour la délivrance de labels en matière de services de coffre-fort numérique, la CNIL vient de créer son premier label relatif à une technologie. Tour d’horizon d’un dispositif qui doit garantir aux utilisateurs un haut niveau de protection de leurs données personnelles.
Le Journal Officiel a publié le 7 février 2014 la délibération CNIL n° 2014-017 du 23 janvier 2014 portant adoption d’un référentiel de labels en matière de services de coffre-fort numérique.
Cette étape marque la naissance d’un nouveau label CNIL consacré au coffre-fort numérique.
Depuis la nouvelle loi informatique et libertés d’août 2004, la Cnil dispose du nouveau pouvoir de délivrer un label à des produits. Une disposition a priori intéressante tombée, pour l’instant, dans les oubliettes. De son côté, l’autorité de protection du Schwelsig Holstein (Allemagne) est engagée depuis plusieurs années dans un programme de délivrance de privacy seals (Datenschutz-Gütesiegel).
Des sites internet proposant aux particuliers des services dans l’univers de la sécurité des données se prévalent officiellement d’un « agrément Cnil » parfois assorti d’un joli logo symbolisant un diplôme ou un cadenas. A première vue, cela pourrait être une bonne nouvelle pour la protection des données personnelles des internautes. Il y a juste un petit problème : « l’agrément Cnil » n’existe pas.
Il faut clarifier le régime juridique de la vidéosurveillance « complètement incompréhensible, flou et aléatoire pour les concitoyens et les juristes » a déclaré Alex Türk, le Président de la Cnil, lors d’une conférence de presse où a été rendue publique une note de la Commission adressée au ministère de l’intérieur. Aujourd’hui la vidéosurveillance dans les lieux publics nécessite l’autorisation de la Préfecture alors que les autres dispositifs, comme ceux qui concernent les espaces de travail, relèvent de la Cnil. Et encore, le rôle des Préfectures ne s’exerce que pour les dispositifs analogiques alors que la Cnil a une compétence complète pour les systèmes numériques de plus en plus répandus. Au moment où le gouvernement envisage de tripler le nombre de caméras, la Commission plaide pour une clarification et revendique le rôle de contrôleur unique. La Cnil insiste également sur les nouveaux risques liés aux innovations en matière de vidéosurveillance avec les logiciels de détection automatique de « comportements suspects » ou l’usage des drones de surveillance en milieu urbain.
L’avocate Merav Griguer commente pour le Journal du Net le lancement par la Cnil d’un groupe de travail consacré à la délocalisation des données à caractère personnel. Le processus d’autorisation de ces traitements par la Cnil y est décrit comme « un parcours du combattant » auquel les entreprises qui souhaitent recourir à l’offshoring doivent se soumettre. Il s’agit bien pourtant d’une tendance lourde dans la mesure où la Cnil est décrite dans l’article comme « submergée par les dossiers qui lui sont soumis ».
Le service des archives de l’Ecole des Hautes Etudes en Sciences Sociales (EHESS) propose, sur le site Internet de l’école, une page consacrée à la question « les archives et la Commission Nationale de l’Informatique et des Libertés ». On remarquera que l’un des collaborateurs du service des archives est également le Correspondant Informatique et Libertés (CIL) de l’école.
La Cnil a rendu public le 27 décembre 2007 une communication « relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données ». Dans ce dossier l’Autorité précise sa doctrine pour les traitements biométriques qu’elles considèrent comme particulièrement sensibles. Un des critères majeurs pour obtenir une autorisation de la part de la Cnil réside dans un impératif de sécurité qui dépasse l’intérêt strict de l’organisme qui met en œuvre le dispositif biométrique. Envisageables pour des sites classés secret défense ou Sevezo, ils ne pourront pas en revanche être mis en œuvre pour des salles informatiques « classiques ». En 2007, la Cnil a traité 53 demandes d’autorisation pour des traitements reposant sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données. 21 ont été refusées.
Chez les activistes défenseurs de la vie privée, l’hostilité au projet de carte d’identité électronique est une constante. Le texte mis en ligne en novembre 2007 par le MACI (Mouvement pour l’abolition de la carte d’identité) se distingue par son radicalisme. Il plaide pour une suppression de la carte d’identité classique, des registres d’état civil et même de la CNIL. Le MACI considère que « la CNIL est plus l’agence de développement du contrôle policier que l’agence de contrôle du développement policier ». Dans la foulée, ce mouvement participait le 14 décembre 2007 à une occupation de la Cnil pour demander sa « dissolution ».
