Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Université AFCDP des Correspondants Informatique & Libertés : rôle du CIL, le spectre s’élargit

février 2008 par Marc Jacob Bruno Rasle

L’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel www.afcdp.org) vient de tenir la deuxième édition de son Université. RSSI, Correspondants Informatique & Libertés, déontologues, Risk Manager, juristes NTIC et spécialistes de la protection des données se sont donc donnés une nouvelle fois rendez-vous pour confronter leurs pratiques et parfaire leur veille. Le programme, préparé par Bruno Rasle (Halte au Spam – Cortina), illustre la largeur du spectre que doit maîtriser un CIL (Correspondant Informatique & Libertés) : une dizaine d’interventions couvraient les aspects technologiques, juridiques, sociaux et professionnels de ce nouveau métier.

Cette manifestation s’est déroulée à l’ISEP (Institut Supérieur d’Electronique de Paris), membre de l’AFCDP et organisateur du seul Mastère européen dans le domaine de la protection des données à caractère personnel.

En introduction, le président de l’AFCDP, Monsieur Paul-Olivier Gibert (Directeur de la Sécurité, Déontologue et CIL pour le Groupe AG2R) a fait part du dynamisme de l’association, que vient de rejoindre des entités telles que Bull, la Ville de Paris, Axa ou Legrand. Puis les présentations se sont succédées tout au long de cette journée (les supports de présentation sont disponibles sur le site Web de l’AFCDP).

« La biométrie est-elle réellement efficace ? Un point sur les techniques », par Bernadette Dorizzi, chercheur/enseignant à l’INT (désormais baptisée TELECOM & Management Sud Paris) et responsable du département Electronique et Physique, coordinatrice du projet GET bio-identité et du réseau d’excellence BioSecure.

La biométrie a pour but de vérifier l’identité d’une personne en utilisant des « modalités biométriques », propres soit aux caractéristiques corporelles soit au comportement de la personne. La biométrie n’est pas nouvelle. La police l’utilise depuis la fin du XIXe siècle. Ce qui l’est, c’est la possibilité – grâce à l’informatique –de traiter les « formes biométriques » sous leur aspect numérique, rapidement et en masse. C’est aussi un sujet d’actualité à cause du passeport biométrique : la version 2009 comprendra les empreintes digitales (en plus de la photo numérisée du détenteur).

Après avoir rapidement brossé un panorama des techniques, Bernadette Dorizzi a pointé avec rigueur scientifique les limites de la technologie – « La biométrie n’est pas parfaite, ce n’est pas une panacée ».

Ainsi, si chacun de nos doigts est unique, il existe un grand nombre de capteurs pour réaliser l’enrôlement (la prise des empreintes), et cet enregistrement peut connaître de fortes variations, ce qui peut donner au final un grand nombre d’images numériques. Cette multiplicité, ajoutée à la variabilité (issue de l’humain, des conditions de capture ou de l’environnement) explique les erreurs (fausses acceptations et faux rejets) : La réponse d’un système biométrique n’est jamais précise à 100%, car elle repose sur une mise en correspondance entre deux formes qui ne sont jamais exactement les mêmes.

D’après Bernadette Dorizzi, l’objectif des ingénieurs est donc de concevoir des systèmes qui soient les plus fiables possibles, dans un environnement donné. Mais il revient à l’opérateur du dispositif biométrique de fixer le « seuil » de décision. La multi-biométrie peut abaisser ce seuil, mais au prix d’une lourdeur additionnelle.

Le chercheur note en fin que si la biométrie est certes d’ores et déjà opérationnelle – sous certaines formes – elle est encore en phase de développement alors que le marché exige déjà des normalisations. Madame Dorizzi souligne le manque d’infrastructures d’évaluation qui permettraient, par exemple, de vérifier les dires des industriels, mais aussi l’absence d’études sur l’impact du vieillissement sur l’efficacité de chaque technologie biométrique.

« CIL en Allemagne ou en France, même combat ? Témoignage d’un » Externer Datenschutzbeauftragter » - Richard Bertrand - CIL et Datenschutzbeauftragter (Actecil)

Savez-vous que le Land de Hesse, en Allemagne, a créé la fonction de Délégué à la Sécurisation des Données (Datenschutzbeauftragte) dès 1970, soit plus de trente ans avant que la France ne créé la fonction de CIL (Correspondant Informatique & Libertés) ?

D’autres länder ont suivi, avant que la fonction ne soit officialisée au niveau fédéral en 1990 par le Bundstadenschutzgesetz (Loi fédérale pour la sécurisation des données). La même année, à l’initiative du délégué à la protection des données de l’hôpital de la ville d’Ulm, un groupe de« Datenschutzbeauftragte » dépose une demande pour se constituer en corporation professionnelle. La demande est rejetée, au titre que la fonction n’est pas reconnue comme un métier. A l’issue d’une action en justice, ils obtiennent gain de cause. Une véritable profession est née, suivant « l’Ulmer model », qui oblige par exemple ces spécialistes à être formés préalablement à leur prise de fonction et à suivre des mises à niveau au fil de leur carrière.

Si on retrouve de nombreux points communs entre le Correspondant français et le délégué allemand (dont il s’inspire), on note plusieurs différences de taille outre-Rhin : la désignation d’un Datenschutzbeauftragte est obligatoire pour toute entreprise comptant plus de neuf salariés (et opérant des traitements informatiques), cette personne bénéficie du statut de salarié protégé et il détermine lui-même son budget de fonctionnement. C’est lui aussi qui fait signer à certains collaborateurs (ceux qui manipulent les données à caractère personnel) des engagements formels de confidentialité, engagements qui restent valables même après le départ de ces salariés.

Monsieur Bertrand note que la fonction allemande est très axée sur la sécurisation des données. Ainsi, au titre de l’article 6c de la loi fédérale de protection des données personnelle (Bundesdatenschutzgesetz), toute entreprise doit formaliser une procédure précise en cas de transfert de ce type d’informations sur tout support amovible, et notamment préciser les moyens prévus pour se prémunir d’une fuite de données lors de la perte du support.

« LCEN : Comment éviter les collectes abusives ? » - Nathalie Phan Place, SNCD (Syndicat national de la communication directe)

Le Correspondant Informatique & Libertés a pour mission de réduire l’exposition aux risques juridiques que court son Responsable de traitement et s’assurer de la conformité de l’entité au regard des lois. Outre le texte « Informatique & Libertés », le cadre issu de la LCEN (Loi pour la Confiance dans l’Economie numérique » doit également être strictement respecté, notamment lors de la collecte des données personnelles.

Madame Nathalie Phan Place, secrétaire générale du SNCD, a montré l’importance d’une démarche légitime dans le domaine de la collecte auprès d’internautes, en illustrant son propos de multiples exemples. Les professionnels du marketing direct, regroupés au sein du Syndicat national de la communication directe, ont formalisé les bonnes pratiques dans un code de déontologie qui a été validé par la CNIL.

« Signal Spam : un nouveau canal de plaintes pour la CNIL ? » - Francis Bouvier, Chef de projet (Signal Spam)

Créé en 2003 à la suite d’une initiative de la DDM (Développement des Média, services du Premier ministre), sur base d’un partenariat privé-public, l’association Signal Spam a pour vocation le recueil des signalements de spams de la part des internautes, pour analyse et routage de certains d’entre eux vers les autorités compétences (BEFTI, OCLCTIC, CNIL, DGCCRF, Douanes, etc.). La plate forme a été inaugurée en 2007 et compte aujourd’hui plus de 30.000 participants. Les signalisations peuvent s’effectuer soit sur le site Web de l’association (www.signal-spam.fr), soit en téléchargeant un plug-in à installer sur son client de messagerie (qui prend soin d’adresser également les en-têtes des messages).

La première convention a été établie en octobre 2007 avec la CNIL : elle permet à l’association Signal Spam de transférer auprès de la Commission certains de ses dossiers. De même, la coopération avec l’OCLCTIC a pour objectif d’identifier dans un premier temps les spammeurs français.

L’association Signal Spam se donne également pour objectif de participer à la lutte contre les PC zombies, en établissant un partenariat avec les FAI.

De même, l’association étudie une coopération avec les professionnels (légitimes) de l’email marketing, afin de faciliter les désinscriptions.

« Privacy Strategy et Nomination d’un CIL au sein d’un Groupe International » - Christian Pardieu – CIL - Real Estate Europe Compliance Officer (GE, General Electric)

Après avoir présenté le groupe GE et ses nombreux métiers, Monsieur Christian Pardieu a évoqué la difficulté pour un acteur international de mettre sur pied une stratégie de protection des données à caractère personnel qui s’adapte au « patchwork » des législations locales. Il a insisté sur la nécessité de concevoir une véritable stratégie sur ce sujet.

GE s’est imposé des règles contraignantes (« Binding rules ») internes, notamment dans le domaines des transferts des données à caractère personnel entre pays. Ces règles s’appuient sur une culture d’entreprise et une réelle volonté de la direction, relayée par l’ensemble de la hiérarchie. Les Binding Rules sont un sous-ensemble du code d’éthique, document global échappant aux spécificités locales. Ces règles vont progressivement être étendues aux fournisseurs et partenaires de GE.

En France, ces règles ont été prises en compte à leur juste valeur par la CNIL : GE ayant opté pour le Correspondant Informatique & Libertés, l’entreprise bénéficie de certaines facilités, notamment dans le cas de traitements qui nécessitent habituellement une demande d’autorisation.

Christian Pardieu a également insisté sur les aspects sécurité informatique, dont le CIL doit absolument se préoccuper, au titre de l’article 34 de la loi Informatique & Libertés, qui rend le Responsable de traitement responsable pénalement de la protection des données à caractère personnel dont il a la charge : « Nous sommes passés d’une défense périmétrique à une protection de la donnée » indique-t-il, « Nous devons protéger ces informations comme s’il s’agissait d’espèces, en les mettant dans un coffre ».

C’est ainsi que l’ensemble des PC portables de GE sont chiffrés : à l’échelle mondiale, l’entreprise perd ou se fait dérober chaque année environ 5.000 laptops !

Christian Pardieu souligne que ses exigences en termes de sécurisation s’étendent naturellement aux sous-traitants et prestataires. Il travaille étroitement avec les RSSI des différentes entités de GE pour veiller au respect de la loi.

« Le CIL et son réseau au sein d’un grand groupe » - Hélène Legras – CIL (Areva)

Hélène Legras est le Correspondant Informatique & Libertés pour l’ensemble du Groupe Areva, qui compte 61.000 salariés et plus de 400 sociétés. Dans un tel environnement, elle insiste sur le besoin, pour le CIL, de disposer de relais, afin d’inventorier tous les traitements qui manipulent des données personnelles, mais aussi pour assister les responsables opérationnels et leur rappeler l’ensemble des consignes à respecter (sécurisation des données, respects de la durée de conservation déclarée, suites données aux demandes d’accès, etc.).

Hélène Legras bénéficie ainsi que relais dans chacune des filiales de premier rang, mais aussi au sein de la Direction des Ressources humaines et de la Direction des Systèmes d’Information. Elle interagit avec son réseau à de multiples reprises (formations, études de points particuliers, préparation du rapport annuel, etc.).

« La Cybersurveillance sur les lieux de travail », Guillaume Desgens-Pasanau et Paul Hébert, de la CNIL

Dans le cadre d’une intervention sur le thème de la Cybersurveillance, les experts de la Commission nationale ont rappelé les grands principes qui doivent être impérativement respectées par le Responsable de traitement qui souhaite mettre en place un tel dispositif : transparence et proportionnalité.

Après avoir rappelé que tout employeur est fondé dans son droit de contrôle, Guillaume Desgens Pasanau a rappelé que la Commission n’a pas vocation à se substituer aux Prud’hommes en se prononçant sur des cas d’espèce. Les productions de la CNIL concernant la cybersurveillance devraient être prochainement remises sur l’ouvrage, pour une mise à jour.

Guillaume Desgens Pasanau a également rappelé que la mise en conformité n’était pas une option, mais bien une impérieuse nécessité, le risque de voir l’entreprise condamnée aux Prud’homme se doublant du risque d’une sanction financière à l’issue d’un contrôle de la CNIL. Il a été indiqué clairement que la Commission comptait poursuivre et intensifier ses missions pour vérifier le bien fondé des dispositifs. Cette indication n’est pas une surprise : la CNIL avait clairement indiqué à l’issue de sa séance du 15 janvier que le contrôle a posteriori « était toujours une priorité en 2008 ».

Pour l’année 2007, une soixantaine de plaintes touchant de prêt ou de loin à la cybersurveillance ont été traitées par la Commission : absence de déclaration, absence d’information, absence de consultation, conservation excessive – voire illimitée – des données collectées, etc. Monsieur Desgens Pasanau a également indiqué qu’un quart des dossiers étudiés par la formation restreinte (chargée d’infliger les sanctions pécuniaires) sont liés aux ressources humaines : contrôles d’accès, géolocalisation, dispositifs biométriques, sécurité, etc.

Guillaume Desgens Pasanau a terminé son intervention en évoquant deux thèmes d’actualité : la conservation des durées de connexion et la durée de conservation. La Commission devrait prochainement faire connaître sa position quant au jugement qui avait considéré qu’une banque aurait dû conserver – au même titre qu’un opérateur – les traces de connexion de l’un de ses collaborateurs. Concernant l’archivage électronique, les échanges avec les participants de l’Université AFCDP ont fait apparaître un décalage souhaitable de la réflexion basée uniquement sur la durée de conservation, à une démarche prenant également en compte les conditions d’accès aux données conservées. Ainsi le représentant de la CNIL regrette que les outils informatiques « ne tiennent que peu compte de l’âge et de la nature des données ».

« BEFTI : quelques exemples de missions », Commissaire principal Yves Crespin, chef de la BEFTI

S’adressant aux membres de l’AFCDP, dont de nombreux CIL, le Commissaire principal Yves Crespin, chef de la BEFTI (Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information), s’est donné pour objectif de dévoiler son quotidien : « Vous serez moins surpris et déstabilisés si vous vous retrouvez un jour dans l’une des situations que je vais vous décrire – et j’espère que vous serez à même de prendre les bonnes décisions ».

Le policier ouvre son propos par un constat amer : « C’est très facile de faire du mal via Internet… et c’est très lâche ». En effet, la dématérialisation de l’infraction oblige ses services à une double enquête : technique, pour identifier la machine à partir de laquelle le délit à été commis, plus classique ensuite, pour remonter jusqu’à l’utilisateur de cet ordinateur.

La plupart des exemples, véridiques mais protégés par l’anonymat, décrits par le Commissaire illustre son analyse : « Pas de sécurité sans gestion et prise en compte des aspects humains ! ». Ainsi le cas de cette entreprise de transports maritimes, confrontée récemment à une attaque en règle de son système d’informations, avec pertes de données. Sollicitée, la BEFTI n’a pas mis très longtemps pour remonter jusqu’à un ancien administrateur technique, remercié quelques mois auparavant par l’entreprise. Il avait tout bonnement conservé ses droits ! L’informaticien n’a fait aucune difficulté pour avouer : il avait alerté à plusieurs reprises sa direction de la sécurité insuffisante du SI : son attaque n’avait d’autre but que de le prouver. De plus, il avait installé des logiciels espions, dans l’espoir de surprendre un échange entre directeurs de service, le regrettant et reconnaissant a posteriori son mérite. Pour Yves Crespin, « il aurait fallu écouter ce collaborateur avec plus d’attention… ». Dans le même registre, le policier recommande de prêter quelque attention aux stagiaires.

Les mots de passe inchangés, même suite au départ d’un administrateur clé, sont monnaie courante : « Dans plus de la moitié des dossiers que ma brigade traite, nous mettons en évidence des problèmes de sécurité classiques » affirme Yves Crespin. L’an dernier, le compte rendu d’une réunion secrète du comité directeur d’une société cible d’une OPA s’est retrouvé dans la Presse. L’enquête a rapidement mis en évidence qu’un ancien administrateur réseau avait quitté l’entreprise sans que ses droits soient invalidés.

La BEFTI intervient également sur les défacements de sites Web. Fin 2005, la brigade a ainsi commencé à pister un hacker qui se targuait d’avoir attaqué avec succès plus de 800 sites. A l’occasion de l’épisode des « caricatures de Mahomet », le pirate passe à la vitesse supérieure. Lors de son interpellation dans l’Est de la France, les services de police ont estimé qu’il avait provoqué des perturbations graves sur environ 1500 sites Web. Il arrive également régulièrement à la brigade de prévenir les entreprises qu’elles ont été victimes d’une intrusion… qu’elles n’ont pas été capables de détecter. « Malheureusement, les entreprises n’osent pas assez souvent faire appel à nous, sans doute par crainte d’une dégradation de leur image de marque » regrette le Commissaire principal.

« Archivage électronique et protection des données à caractère personnel » - Arnaud Belleil – Directeur associé (Cecurity.com)

L’intervenant a commencé par rappeler que dans l’expression « archivage électronique », le terme le plus important est bien le premier : il ne s’agit donc ni de GEIDE ni de simple sauvegarde informatique.

Reprenant une définition issue de l’AFNOR, il définit l’archivage électronique comme l’« ensemble des actions, outils et méthodes mises en œuvre pour conserver à moyen et long terme des informations dans le but de les exploiter ». C’est un moyen de conserver une information en s’assurant de son intégrité et en identifiant de façon certaine son auteur et sa date de production (notion de document)

On distingue deux familles d’archives électroniques ; Les documents électroniques issus de la numérisation des originaux papier (en l’état actuel du droit, seule la version papier constitue une preuve) et les documents nativement électroniques produits grâce à la signature électronique (loi du 13 mars 2000 et Décrets d’application de 2002).

Arnaud Belleil a également décrit les trois finalités possibles d’un tel dispositif ; Disposer d’éléments de preuve à produire en cas de contestation ou de litige, disposer d’éléments à présenter en cas d’audit ou d’enquête, conserver le « patrimoine informationnel ».

Le spécialiste s’est enfin focalisé sur le principal point de « friction » entre une telle démarche et la loi Informatique & Libertés : la durée de conservation. La CNIL invite ainsi à ne pas conservez éternellement les informations et prône que les données personnelles ont une date de « péremption ».

En effet cette loi oblige le responsable de traitement à déterminer une durée de conservation des données à caractère personnel qui soit proportionnelle à la finalité poursuivie. A l’issue de cette durée, les données doivent être purgées ou anonymisées. De façon impropre, dette obligation est souvent désignée comme le « droit à l’oubli », bien que ce terme ne figure pas dans la loi. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende.

De nombreuses demandes d’autorisation de mise en œuvre de traitement soumis à la CNIL sont « retoquées » pour cause de durée de conservation jugée excessive. Il est rare, par exemple, que la Commission accepte des durées supérieures à six mois dans le cas de dispositifs de cybersurveillance mettant en jeu des moyens biométriques.

Pour Arnaud Belleil, rares sont les systèmes d’information capables de gérer la durée de conservation des données, du fait principalement de la « dilution » des données archivées dans le système informatique de l’entreprise et de la culture de l’informatique décisionnelle. Joue également un réflexe propre à tout informaticien, selon lequel on conserve par défaut « tout ce qui pourrait servir un jour »…

Par souci de clarification, la CNIL a publié en octobre 2005 une recommandation sur l’archivage électronique, dans lequel elle indique les bonnes pratiques à respecter. Ainsi, des procédures de purges (ou d’anonymisation) en fonction des durées de conservation définies par la réglementation doivent être conçues et appliquées. La Commission recommande également de mettre en œuvre des mesures techniques et organisationnelles distinctes : désigner un service spécifique en charge de la question, veiller à la stricte séparation l’environnement de développement du système de production, sécuriser la gestion des droits et des habilitations donnant accès à la zone d’archivage, tracer l’ensemble des consultations.

« Procédure à appliquer en cas de contrôle sur place de la CNIL » - Bruno Rasle – Halte au Spam - Cortina

L’Association a créé début 2007 un groupe de réflexion animé par Bruno Rasle. Ce groupe s’est donné comme objectif d’aider les membres de l’AFCDP à se préparer à un éventuel contrôle sur place de la CNIL.

En effet, la CNIL peut charger ses agents de se rendre partout où est mis en œuvre un traitement de données à caractère personnel, afin de procéder à des vérifications sur place, et ceci au titre de l’article 11 de la loi du 6 août 2004. Ces missions ont pour but d’examiner la régularité des traitements, de s’assurer que le traitement mis en œuvre correspond au traitement ayant fait l’objet des formalités préalables, de vérifier que l’ensemble des dispositions de la loi sont respectées – dont la sécurisation des données personnelles, au titre de l’article 34 de la Loi.

Bruno Rasle a rappelé les sanctions financières infligées depuis l’été 2006 par la CNIL (certaines ont été doublées d’une publication dans la presse de la condamnation) et commenté les chiffres recueillis par le groupe de travail : Il est ainsi probable de le seuil des 200 contrôles sur place soit atteint cette année (contre une trentaine par an avant la refonte de la loi, courant 2004).

Il s’est également livré à une intéressante comparaison entre la France et ses voisins : Si la CNIL a infligé en 2006 un montant total en sanctions financières de 168.300 euros (réparti en onze sanctions, allant de 300 à 45.000 euros), son homologue espagnole dépasse depuis plusieurs années les vingt millions d’euros et prononce des sanctions qui peuvent aller jusqu’à 600.000 euros. Toutes les décisions sont rendues publiques : le dernier rapport de l’ Agencia Espanola de Proteccion de Datos fait ainsi mention de deux sanctions infligées en 2007 à France Telecom Espagna.

L’autorité britannique semble préférer des sanctions d’un montant plus faible, mais infligée rapidement et publiquement. Sur le site de l’autorité de contrôle polonaise, on découvre la raison sociale de filiales locales de sociétés françaises ayant fait l’objet de contrôle (Société Générale, Canal +, Axa, Cetelem, Carrefour, etc.).

Si les multiples autorités de contrôles allemandes infligent peu de sanction, l’une d’entre elles a récemment facturé sa mission à l’entreprise contrôlée, au tarif de cent euros de l’heure !

Le spécialiste a ensuite dévoilé quelques unes des recommandations étudiées par son groupe de travail, comme le soin à apporter aux courriers émanant de la CNIL, aux plaintes des clients et aux demandes de droit d’accès. Il est aussi conseillé de préparer les personnels à l’éventualité d’un contrôle sur place (l’opposition de l’entreprise constitue un délit d’entrave), les agents habilités pouvant s’entretenir avec l’ensemble du personnel. Le Correspondant Informatique & Libertés peut faire mener des exercices, semblables aux exercices incendie, afin de valider les procédures.

Le site Web de la Commission a été enrichi en début d’année d’une nouvelle rubrique, dédiée aux missions de contrôle de la CNIL. Cette page comporte un avertissement clair : « L’année 2008, avec une augmentation significative des moyens consacrés par la CNIL à sa politique de contrôle, confirmera sans nul doute ce nouveau mode d’intervention ».




Voir les articles précédents

    

Voir les articles suivants