Arnold Schwarzenegger, Gouverneur de Californie, a opposé son veto à un projet de loi qui visait à renforcer, au niveau de l’Etat, la protection des données à caractère personnel. Le veto est notamment motivé par le fait que la mise en conformité avec le texte proposé correspondrait à une charge financière excessive pour les petites entreprises. Le projet ayant été auparavant adopté par une large majorité de parlementaires, il n’est pas exclu que ceux-ci puissent atteindre la majorité qualifiée permettant d’outrepasser le veto.
Titre de la page
Isabelle Renard, avocate, fait le point dans le Journal du Net sur la dimension juridique de l’archivage numérique. Ce dernier est « un phénomène très particulier dans le secteur des technologies de l’information, car c’est la première fois que l’objet même du développement informatique est un objet juridique : la preuve ». Isabelle Renard invite par ailleurs faire une distinction entre les enjeux probatoires et les enjeux de conformité.
La rentrée donne l’occasion à Luc Masson et Nicolas Samarcq de faire un point précis sur la Base élèves du 1er degré (BED1). Ce traitement qui suscite controverses et interrogations a également conduit la Cnil à procéder à une mise au point en juin 2007. Une question particulièrement intéressante est soulevée dans l’article en matière d’accès aux données. Un chef d’établissement possède un accès complet au contenu de la base alors qu’un Maire n’aura qu’un accès limité à certaines informations. Le cas de figure, pas si rare, où un chef d’établissement est également membre du conseil municipal rend, selon les auteurs, immédiatement illusoire le cloisonnement de l’accès aux données.
Pour Peter Hustinx, contrôleur européen à la protection des données, il n’est pas nécessaire d’actualiser la Directive européenne de 1995 sur la protection des données à caractère personnel. A court terme, il s’agit plutôt d’obtenir une complète application de ce texte y compris par le recours à des instruments non contraignants comme les labels ou les technologies de protection des données. De nouvelles réglementations spécifiques pour des technologies comme le RFID pourraient être envisagées. Autre pistes évoquées par Peter Hustinx pour renforcer la protection de la vie privée, la possibilité de recourir aux plaintes collectives (class actions) ou l’obligation pour les responsables de traitement d’informer toutes les personnes fichées en cas de faille de sécurité.
La Cnil s’alarme publiquement des conséquences de deux arrêts rendus en avril et mai 2007 par la Cour d’Appel de Paris selon lesquels l’adresse IP ne constitue pas une donnée à caractère personnel. Tout en insistant sur le fait que l’ensemble de ses homologues européens a rappelé en juin 2007 que l’adresse IP était bien une donnée à caractère personnel, la Cnil sollicite de la part du garde des sceaux un pourvoi dans l’intérêt de la loi.
Dans un arrêt du 23 mai 2007, la Cour de Cassation a retenu comme preuve le contenu d’un SMS dans le cadre d’une affaire de harcèlement sexuel sur un lieu de travail. La Cour a considéré que l’enregistrement du texte n’était pas déloyal puisque l’émetteur ne pouvait ignorer que son message était conservé par l’appareil du destinataire. Cette décision a « le mérite de clarifier les choses à l’égard de ceux qui pensaient que l’on peut écrire n’importe quoi par SMS » indique l’avocat Eric Barbry. « Le vrai problème est de savoir comment on va s’assurer que c’est bien le propriétaire du téléphone qui est à l’origine du message », poursuit-il.
Un décret du 15 mai 2007 insère dans le code de la santé publique une nouvelle section intitulée « confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique ». L’accès sécurisé, la traçabilité des accès aux informations médicales voire, le cas échéant, le chiffrement des données font partie du dispositif prévu. Une fois les arrêtés complémentaires publiés, les professionnels de santé disposeront d’un an pour se mettre en conformité avec ces nouvelles dispositions.
Dans une décision du 23 mai 2007, le Conseil d’Etat a annulé les délibérations de la Cnil du 18 octobre 2005 relatives à la surveillance automatique des échanges de fichiers P2P. Le Conseil d’Etat a estimé que la Cnil avait commis une erreur d’appréciation en jugeant disproportionnée le dispositif envisagé par quatre sociétés de gestion de droit (dont la Sacem). Ces dernières devront de nouveau demander l’autorisation de la Cnil, mais elles disposeront cette fois ci d’un solide argument.
Le Nord-Dakota devient le deuxième Etats des Etats-Unis, après le Wisconsin l’année dernière, à adopter une loi interdisant l’implantation forcée de puces RFID dans le corps humain. L’implantation volontaire reste possible.
A l’occasion d’un différent entre une société multinationale et certains de ses cadres, la Cnil a rappelé que les salariés ont le droit de connaître leur classement annuel (ranking) et leur potentiel dans la mesure où ces éléments ont été pris en compte pour décider une augmentation de salaire, une promotion ou une affectation. En se fondant sur l’article 39 de la loi informatique et libertés, les salariés peuvent également se faire communiquer une copie de ces documents.
