ayant trait à la protection de l’intégrité physique des personnes ou à celle des biens et des installations ou à celles de certaines informations.
En ce qui concerne les biens et les installations, ce qui est en jeu, c’est le dommage grave et irréversible qui peut leur être porté, indépendamment de la valeur du bien lui-même (sauf cas exceptionnels) et sous réserve que cela dépasse l’intérêt strict de l’organisme. Il s’agit par exemple du contrôle d’accès à certaines zones d’une entreprise travaillant pour la Défense nationale, ou encore au centre de contrôle et de sécurité d’une grande entreprise de messageries. En ce qui concerne les personnes, ce qui est en jeu, c’est leur intégrité physique. Il doit par exemple s’agir de protéger des installations comportant un risque élevé d’explosion ou de diffusion de matières dangereuses ou de détournement de celles-ci par des tiers non autorisés ou d’assurer la protection de personnes exposées à des risques particuliers en raison de leurs activités. Enfin, en ce qui concerne la protection des informations, il s'agit de celles devant faire l’objet d’une protection particulière en raison des conséquences que leur divulgation, leur détournement à d’autres fins ou leur destruction auraient pour les personnes concernées par l’activité de l’entreprise (secret défense, secret industriel, secret professionnel).
Communication de la CNIL du 28/12/2007 disponible sur le site de la Cnil
Paru dans la JTIL n°19/2008 p.1
La Cour de justice des communautés européennes annule une décision en matière de protection adéquate
La Cour de justice des communautés européennes (CJCE) a annulé la décision d’adéquation adoptée par la Commission européenne ainsi que l’accord international autorisant le transfert des données passager aux autorités américaines pris dans le cadre de la lutte contre le terrorisme. Les Etats-Unis ont adopté une législation prévoyant que les compagnies aériennes communiquent au service des douanes et de sécurité américaine des informations personnelles relatives à leurs passagers sous peine de contrôles renforcés, d’amendes ou même d’interdiction du droit d’atterrir. Estimant que ces dispositions pouvaient entrer en conflit avec la législation communautaire en matière de protection des données personnelles, la Commission européenne a engagé des négociations avec les autorités américaines.
A l’issue de ces négociations, la Commission européenne a adopté, le 14 mai 2004, une décision (la décision d’adéquation) reconnaissant que les données des passagers communiquées aux autorités américaines bénéficiaient d’une protection adéquate. Parallèlement, les Etats-Unis et l’Union européenne ont signé le 28 mai 2004 un accord international venant compléter la décision de la Commission européenne et permettant son entrée en vigueur. Le Parlement européen a saisi la CJCE afin qu’elle se prononce sur la légalité de la décision d’adéquation et de l’accord international autorisant le transfert des données passager aux autorités américaines.
Dans un arrêt du 30 mai 2006, la CJCE a annulé la décision d’adéquation et l’accord international. Elle a estimé que la Commission européenne en adoptant une décision constatant le niveau de protection adéquat des données passager transférées aux autorités américaines avait excédé ses compétences. En effet, les traitements ayant pour objet la sécurité publique et les activités de l’Etat relatives à des domaines du droit pénal ne relèvent pas de sa compétence. Sur l’accord international, la CJCE a souligné l’absence de bases juridiques dans l’Union européenne pour utiliser à fin de sécurité publique les données commerciales contenues dans les dossiers des passagers aériens et rappelé qu’une telle base juridique était indispensable pour modifier le but dans lequel les données ont été collectées à l’origine et permettre leur utilisation à des fins de sécurité publique. En conséquence, la CJCE a annulé la décision du conseil approuvant la conclusion de l’accord.
CJCE 30 mai 2006, Affaires jointes C-317/04 et C-318/04
L’encadrement des dispositifs biométriques
Aux termes de l’article 25 de la loi Informatique et libertés modifiée, la Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques par des organismes, collectivités locales ou entreprises. Sont en effet mis en œuvre après autorisation « les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Le 27 avril 2006, la Cnil a adopté trois autorisations uniques en matière de biométrie. En ce qui concerne la méthodologie pratique, il suffira d’un simple engagement de conformité, qui peut être effectué en ligne, pour déclarer les traitements répondant aux normes d’autorisations uniques.
Le première autorisation concerne les traitements reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d’accès et la gestion des horaires et de la restauration sur le lieu de travail (1). La seconde autorisation concerne les traitements reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès aux restaurants scolaires (2). La troisième autorisation concerne les traitements reposant sur la reconnaissance d’une empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail (3). Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements peuvent procéder à la déclaration de conformité à l’aide d’un formulaire accessible sur le site de la Cnil.
Ces normes d’utilisation unique répondent à une utilisation croissante des dispostifs biométriques. Ces autorisations permettent d’alléger considérablement les lourdeurs administratives liées aux procédures d’autorisation ; cependant, afin de garantir une protection adéquate des libertés individuelles, ces autorisations uniques ne concernent que des traitements biométriques sans dangers, puisque concernant uniquement des dispostifs sans traces.
(1)Norme AU-007, Délibération n°2006-101 du 27 avril 2006
(2)Norme AU-009, Délibération n°2006-103 du 27 avril 2006
(3)Norme AU-008, Délibération n°2006-102 du 27 avril 2006
La Cnil commente la loi « antiterrorisme »
La Commission nationale Informatique et libertés publie un échos des séances le 16 février 2006 dans lequel elle revient sur la loi du 23 janvier 2006 relative à la lutte contre le terrorisme. La Cnil constate que certaines de ses propositions ont été prises en compte lors de l’adoption de cette loi mais que d’autres sont restées lettre morte. La loi « antiterroriste » prévoit ainsi la mise en place de nouveaux traitements de données à caractère personnel permettant la vidéosurveillance et la transmission aux services de police de données sur les passagers se rendant dans des pays situés hors de l’Union européenne ou en provenance de ces pays.
Elle prévoit également la lecture des plaques minéralogiques et la photographie des occupants des véhicules, l’accès aux données de connexion internet et téléphonie conservées par les opérateurs de communications électroniques et les cybercafé et la consultation par les services antiterroristes de fichiers administratifs détenus par le Ministère de l’intérieur. Sur recommandation de la Cnil, la loi a été amendée et précise les services de police et de gendarmerie qui pourront accéder aux données collectées.
Elle limite également dans le temps certains dispositifs de surveillance et prévoit l’élaboration d’un rapport d’évaluation annuel au Parlement. Cependant la Cnil avait exprimé des réserves, non suivies d’effe,t relatives à la prise systématique de photographies des occupants de l’ensemble des véhicules empruntant certains axes de circulation, à la multiplicité des finalités attachées au dispositif de lutte contre le terrorisme et à la constitution d’un fichier central de contrôle des déplacements en provenance ou à destination d’états hors de l’Union européenne
La Cnil devrait être de nouveau saisie pour avis lors de l’élaboration des textes d’applications de la loi « antiterrorisme ». Elle devrait donc avoir l’occasion de repréciser les finalités que devrait avoir chacun des traitements de donnés, la nature des données traitées, leurs durées de connexion et la sécurité qui y est attachée.
Loi n°2006-64 du 23 janvier 2006
