Données personnelles : La CNIL publie son 33e rapport

La CNIL vient de publier son 33e rapport annuel, l’occasion de faire un point sur la protection des données personnelles en France.

Par Roseline Letteron.
Le 33e rapport de la Commission nationale de l’informatique et des libertés vient d’être publié et sa lecture permet d’abord de percevoir la vitalité de la plus ancienne de ces autorités, celle qui est à l’origine de la notion d’autorité administrative indépendante.

Depuis la loi du 6 janvier 1978 sur l’informatique, les fichiers et les libertés, les choses ont bien changé. Les ordinateurs se sont miniaturisés et banalisés, ils ont pénétré les télécommunications. Internet et les réseaux sociaux ont bouleversé les modes de communication. Toutes ces évolutions n’étaient pas prévues à la naissance de la CNIL. Elles témoignent de sa capacité d’adaptation, par une certaine forme de pragmatisme qui vise à protéger les données personnelles là où elles sont conservées, quel que soit le support du fichage.

Croissance des recours

L’élément le plus notable du 33e rapport réside sans doute dans la progression des plaintes adressées à la Commission. Celle-ci en a reçu 6017 en 2012, soit une augmentation de 4,9% par rapport à l’année précédente. La Commission interprète ces chiffres comme le témoignage d’un intérêt croissant de citoyens toujours plus soucieux de protéger leurs données personnelles. Elle insiste aussi sur la facilité désormais offerte aux personnes fichées de déposer une plainte en ligne, selon une procédure très simple. Cette formule connaît une croissance considérable, puisque 44% des intéressés l’ont utilisée, contre seulement 26% en 2011. La facilité du recours constitue, à l’évidence, un élément attractif pour les personnes fichées.

Il convient cependant de nuancer quelque peu cette perspective optimiste. Rien n’interdit de penser que l’augmentation des plaintes est aussi la conséquence logique, pour ne pas dire arithmétique, de l’accroissement du nombre de données personnelles collectées sur les individus, notamment dans le domaine du commerce électronique. Autrement dit, plus il y a de données stockées, plus il y a de recours. L’observation ne doit cependant pas cacher l’indéniable succès de la CNIL, qui a su informer les personnes fichées sur leurs droits d’accès et de rectification, et leur offrir des procédures faciles à mettre en œuvre.
 
Droit d’accès indirect

Le 33e rapport fait état d’une progression a priori surprenante des demandes d’accès indirect. Elles furent en effet 3682 en 2012, soit un accroissement de 75% par rapport à 2011. Rappelons que le « droit d’accès indirect »… n’est pas un droit d’accès. Il concerne les fichiers intéressant la sûreté de l’État, la défense et la sécurité publique, la recherche ou la constatation des infractions, ou enfin le recouvrement des impôts. Dans ce cas, la personne qui pense être fichée peut solliciter la CNIL, afin qu’un de ses membres vérifie la réalité de ce fichage et sa pertinence. Le terme « droit d’accès », même s’il est désormais en usage, est donc excessif, dans la mesure où la personne fichée n’a finalement pas accès à ses données personnelles, même indirectement. À l’issue de la procédure, elle est seulement informée que les vérifications ont été effectuées, sans pouvoir savoir si elle faisait effectivement l’objet d’un fichage et a fortiori sans avoir connaissance du contenu des informations conservées sur son compte.

Parmi ces demandes de droit d’accès indirect, 4% concernent les fichiers STIC et JUDEX qui collectent des données sur les auteurs d’infraction (ces deux traitements seront remplacés, fin 2013, par le Traitement des antécédents judiciaires, commun aux forces de police et de gendarmerie). Mais l’essentiel des demandes porte sur le Fichier des comptes bancaires et assimilés (FICOBA), géré par l’administration fiscale. Cette croissance est purement conjoncturelle, car le Conseil d’État a rendu, le 29 juin 2011, un arrêt autorisant l’accès des héritiers aux données bancaires d’une personne décédée, dans le but de liquider la succession. Par voie de conséquence, de nombreuses requêtes ont été introduites à cette fin durant l’année 2012, afin de profiter de cette voie de droit désormais ouverte. On peut donc penser que ces demandes devraient décroître rapidement dans un avenir proche.

Le poids du droit à l’oubli

Si certaines tendances sont conjoncturelles, d’autres sont plus profondes. Tel est le cas du droit à l’oubli, dont le rapport montre qu’il devient peu à peu un élément contextuel du droit de la protection des données. 31% des plaintes reçues par la Commission concernent internet et les télécommunications, et 1050 demandent la suppression de données personnelles en ligne. Ce droit à l’oubli, qui ne figure pas expressément dans les textes, est cependant analysé comme la conséquence du principe de finalité. La durée de conservation d’une information doit, en effet, être conforme à la finalité du fichier. Le droit à l’oubli permet alors à la personne fichée de demander la suppression des données personnelles qui ne sont plus pertinentes par rapport à cette finalité.

D’une façon générale, la CNIL se déclare en faveur de l’intégration du droit à l’oubli dans l’ordre juridique. Le 33è rapport est ainsi le support idéal pour l’autorité indépendante qui se prononce en faveur du projet de règlement européen actuellement en cours de négociation, et qui devrait consacrer, cette fois formellement, le droit à l’oubli. La CNIL affirme ainsi que ce droit à l’oubli comporte deux facettes bien distinctes. D’une part, le droit dont serait détentrice chaque personne fichée de fixer une date de péremption pour le stockage de ses données, dates au-delà de laquelle elles seraient effacées. D’autre part, l’obligation pour les moteurs de recherche, qui sont les principales clés d’entrée pour la recherche et la diffusion de données personnelles, de déréférencer ces informations à l’issue d’une certaine période préalablement définie.

Un standard européen de protection des données

Toutes ces pistes méritent d’être étudiées, et cette réflexion montre que la CNIL entend être présente dans le débat européen sur ces questions. Rappelons d’ailleurs que la Commission joue un rôle important au sein du « G29 » qui regroupe l’ensemble des agences des pays de l’UE compétentes en matière de protection des données. C’est en effet la CNIL qui pilote le groupe de travail du G29 chargé de s’assurer que les règles de confidentialité appliquées par Google respectent la législation européenne. Considéré sous cet angle, le rapport de la CNIL est aussi l’instrument de la construction d’un standard européen de protection des données.

À lire aussi :

• Le droit à l’oubli, un miroir aux alouettes ?, Frédéric Prost
• L’alarmante efficacité des attaques par ingénierie sociale, Jérôme Saiz

—
Sur le web