« sécurité numérique et vie privée sont-elles incompatibles ? »

Jeudi soir dernier s’est tenu au Cercle européen de la sécurité des systèmes d’information le dernier débat de la saison avant les célèbres et luxueuses Assises de Monaco en octobre.

Initialement, au programme était prévue une invitée de marque, la présidente de la Commission Nationale de l’informatique et des libertés (CNIL), Mme Isabelle Falque Pierrotin. Suite à un imprévu de dernière minute, elle fut remplacée au pied levé par le secrétaire général de la CNIL, M. Edouard Geffray. Sans aucune note sous les yeux, M. Geffray fut interrogé sur divers et nombreux sujets actuels pendant plus d’une heure par M. Nicolas Arpagian, modérateur de ce débat.

D’une présentation détaillée de l’action de la CNIL, à des questions sur la loi de programmation militaire de décembre 2013 [1] en passant par les caractéristiques du monde post Snowden, M. Geffray a, avec une grande aisance, dépeint la vision de la CNIL sur le thème suivant : « sécurité numérique et vie privée sont-elles incompatibles ? ».

1. La nouvelle prise de conscience de l’internaute

M.Geffray a mis en exergue le symptôme actuel de l’internaute : le « privacy paradox ».

En effet, les internautes donnent de plus en plus d’éléments relatifs à leur vie privée sur Internet notamment via les réseaux sociaux. Toutefois, dans le même temps, ils s’inquiètent de plus en plus sur le devenir de leurs données privées, distribuées « arbitrairement » auprès des géants de l’Internet.

Concrètement, ce phénomène se traduit par une hausse des demandes du droit d’accès indirect [2] et des plaintes relatives au droit à l’oubli. En l’espace de deux années, les demandes de droit d’accès indirect ont augmenté de 105% et les plaintes sont passées de 4500 à 6000.

Cette inquiétude croissante, principalement faisant suite aux révélations Snowden, s’est propagée autant du côté de l’internaute consommateur que du côté de l’internaute distributeur.

Cela est prouvé par le constat que les sociétés françaises sont de plus en plus sensibilisées à la réglementation relative à la protection des données à caractère personnel [3] en comptabilisant la désignation de 14 000 Correspondants Informatiques et Libertés [4] en 2014.

Même les géants américains de l’Internet ont décidé de mettre en avant leur conformité à cette réglementation.

L’exemple le plus notable est Google, qui après sa condamnation dans l’arrêt, devenu célèbre de la Cour de justice de l’Union européenne (CJUE) du 13 mai 2014 [5] , a mis en ligne un questionnaire à l’intention de tous les internautes qui souhaiteraient bénéficier du droit à l’oubli. Google respecte la décision du juge européen, agit en conséquence et surtout l’a bien fait savoir.

Le piratage des bases clients ayant un effet négatif sur l’image de la société, les entreprises ont désormais conscience que la sécurité est un véritable gage de compétitivité. Cela se manifeste même par le développement du concept « Privacy by design » qui intègre les principes de la protection de la vie privée dès la conception du produit ou du service. L’intégration de la fonctionnalité du « kill switch » [6] dans un smartphone en est un premier exemple.

Il s’agit là d’une progression notable en faveur de la protection des données à caractère personnel. Certes, ce sont des progrès très progressifs mais la tendance est bel et bien présente, les sociétés sont prêtes à miser sur un standard de sécurité élevé pour susciter l’adhésion du consommateur. La sécurité est donc un atout concurrentiel de valeur !

Ainsi, pour M. Geffray, la  sécurité numérique et la vie privée ne sont pas des notions incompatibles mais vont même de pair. Edouard Geffray va même plus loin en assurant, contrairement aux déclarations de M.Vint Cerf, que la vie privée ne va disparaître car il s’agit d’une notion consubstantielle de l’individu et ses données personnelles sont l’atome de la société. Il faut garder à l’esprit que chaque individu conserve son consentement, pour donner ses données, et qu’en cas de problème il peut toujours se prévaloir de ses droits. 

2. L’action de la CNIL pour la confiance dans le numérique

La CNIL rassure grâce au développement de nouveaux outils dont l’objectif principal est de conférer  la confiance dans le numérique.

A titre d’exemple, il est important de savoir que la CNIL a mis en place un système de « labels CNIL [7] » qui garantissent, d’une part, que les entreprises ayant obtenu ce label se distinguent par la qualité de leur service et, d’autre part, pour les utilisateurs que les produits ou procédures labellisés sont de confiance en matière de protection des données personnelles.

De plus, vous pouvez trouver sur le site internet de la CNIL une riche documentation telle une fiche qui énonce les clauses contractuelles types à insérer dans un contrat relatif au recours d’une infrastructure Cloud (Recommandations pour les entreprises pour souscrire à des services Cloud)ou encore télécharger le programme « Cookieviz » qui est un outil de visualisation identifiant en temps réel les cookies qui transmettent des informations vous concernant à d'autres sites.

Enfin, par son appartenance au G29 [8], la CNIL inscrit son action dans un cadre juridique européen cohérent. Le bandeau avertissant de l’existence de  cookies lors de votre navigation sur Internet ou encore les poursuites répétées à l’encontre de la politique de confidentialité de Google sont des illustrations de cette action commune.

D’ailleurs, à quand le G29 des ANSSI européennes qui, en dehors des questions de cyber-souveraineté, pourrait agir sur la sensibilisation des internautes à la sécurité informatique ?

Ainsi, dans son domaine, la CNIL, par son action pragmatique et proactive, est au cœur de la réglementation de l’univers numérique. Celle-ci doit être renforcée en liaison avec les autres acteurs institutionnels tels l’ANSSI, l’ARCEP, l’ARJEL pour mettre en place une bonne coordination faire du monde numérique un monde de confiance.

Pour continuer votre lecture, sur le même débat : l' article de Jérôme Saiz ou le compte-rendu officiel du Cercle.

---

[1] Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale

[2] Le droit d’accès indirect est une procédure spécifique qui concerne :

-          les fichiers intéressant la sûreté de l’Etat, la défense et la sécurité publique (fichiers de police judiciaire, fichiers des services de l’information générale - « ex renseignements généraux » -, fichiers de renseignement de la direction générale de la sécurité extérieure, fichier Schengen) ;

-          certains fichiers du ministère de la Justice (fichier des détenus dans les prisons) ;

-          le fichier des comptes bancaires FICOBA détenu par l'administration fiscale.

[3] Même si l’étude suivante démontre que les sociétés françaises ne sont pas au courant du projet de règlement européen en cours de préparation sur la protection des données à caractère personnel : http://blog.trendmicro.fr/reglementation-protection-donnees-les-entreprises-francaises-pas-vraiment-pretes/?utm_content=buffere9af0&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

[4] La désignation d’un correspondant Informatique et Libertés est prévu par l’article 22 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[5] Lire à ce sujet l’article « Le « kill switch » est l’arbre qui cache la forêt (des données) »  du 2 juin 2014 sur ce blog

[6] Idem

[7] L’article 11 de la loi de 1978 permet à la CNIL de  délivrer des labels "à des produits ou des procédures"

[8] Groupe des 28 CNIL européennes et de la CNIL des institutions européennes qui permet de garantir un cadre juridique cohérent relatif à la protection des données à caractère personnel.