La Cnil s’alarme publiquement des conséquences de deux arrêts rendus en avril et mai 2007 par la Cour d’Appel de Paris selon lesquels l’adresse IP ne constitue pas une donnée à caractère personnel. Tout en insistant sur le fait que l’ensemble de ses homologues européens a rappelé en juin 2007 que l’adresse IP était bien une donnée à caractère personnel, la Cnil sollicite de la part du garde des sceaux un pourvoi dans l’intérêt de la loi.
Titre de la page
Dans une décision du 23 mai 2007, le Conseil d’Etat a annulé les délibérations de la Cnil du 18 octobre 2005 relatives à la surveillance automatique des échanges de fichiers P2P. Le Conseil d’Etat a estimé que la Cnil avait commis une erreur d’appréciation en jugeant disproportionnée le dispositif envisagé par quatre sociétés de gestion de droit (dont la Sacem). Ces dernières devront de nouveau demander l’autorisation de la Cnil, mais elles disposeront cette fois ci d’un solide argument.
A l’occasion d’un différent entre une société multinationale et certains de ses cadres, la Cnil a rappelé que les salariés ont le droit de connaître leur classement annuel (ranking) et leur potentiel dans la mesure où ces éléments ont été pris en compte pour décider une augmentation de salaire, une promotion ou une affectation. En se fondant sur l’article 39 de la loi informatique et libertés, les salariés peuvent également se faire communiquer une copie de ces documents.
Pour la Cnil, le numéro de sécurité social (ou NIR) ne devrait pas être l’identifiant patient permettant l’accès au DMP (Dossier Médical Personnel). Une prise de position qui n’est pas une surprise compte tenu de la position traditionnelle de la Cnil en la matière. La Cnil reproche classiquement au NIR d’être un identifiant signifiant (il permet de déduire le sexe, l’age ou le département de naissance de la personne) et elle estime que son usage dans le contexte du DMP serait de nature à entamer la confiance des patients, donc à remettre en cause l’intérêt même du projet. Elle préconise l’usage d’un identifiant spécifique issu du NIR mais non signifiant et ne permettant pas de remonter au NIR de la personne. Si le ministre de la santé suit l’avis de la Cnil cela devrait avoir un impact sur le calendrier de mise en œuvre du DMP qui serait alors reporté en 2008.
Statistiques ethnique, mesure de la diversité, comptage racial, recensement des minorités visibles : quels que soient les termes employés, la Cnil est souvent fustigée pour rendre impossible la collecte des informations nécessaires pour mener une véritable politique de lutte contre les discriminations. Dans un interview à Libération, Alex Türk, Président de la Cnil, rappelle que son institution ne fait qu’appliquer la loi qui interdit la collecte d’informations nominatives faisant apparaître les origines ethniques et qu’elle ne reste pas inactive en organisant des auditions sur le sujet.
Dans une communication du 5 janvier 2007, la Cnil rappelle que tous les traitements comportant des données biométriques doivent faire l’objet d’une autorisation préalable. Cette mise au point est visiblement un moyen de couper court aux discours au minimum ambigus de certains prestataires qui prétendraient disposer d’un agrément ou d’un label. Depuis l’actualisation de la loi informatique et libertés en août 2004, la Cnil dispose bien du nouveau pouvoir d’attribuer des labels mais cette disposition n’a toujours pas été mise en œuvre faute de décret d’application.
