Vous avez interviewé Yann Padova, secrétaire général de la Cnil

VOS QUESTIONS - Alors que la sécurité des internautes est de plus en plus menacée, Yann Padova secrétaire général de la Commission nationale informatique et libertés (Cnil) a répondu à vos questions sur le sujet...

Google épinglé pour avoir récolté et conservé «par erreur» des informations sur des individus via ses «Google Street Cars», tous les services qui mettent en cause la vie privée des internautes sont dans la ligne de mire du dernier rapport d’activité de la Cnil rendu le 17 juin.

Le réseau social Facebook est aussi montré du doigt et doit répondre à des principes de base: laisser à l’internaute la possibilité de donner son consentement préalable avant la récolte d’informations, et lui laisser le droit à l’oubli de ses données lorsqu’il se désinscrit du réseau social américain. Les réseaux de géolocalisation comme Foursquare et Plyce sont aussi discutés.
 
Au-delà de la vie privée, la vie en entreprise est de plus en plus surveillée avec des systèmes de surveillance renforcés sous prétexte d’assurer la sécurité dans l’entreprise. Et les patrons en viennent parfois à pister leurs employés.

Jusqu’où les entreprises peuvent-elles aller dans la collecte de données personnelles ? La situation actuelle est-elle plus dangereuse pour la vie privée des internautes que par le passé? Yann Padova a répondu à vos questions sur le sujet.
 
Le chat est maintenant terminé.

A t-il été porté à votre connaissance que les fichiers factures du site Paypal aient été réquisitionnés afin de connaitre lesquels des français ont acheté un anti-radar l'année écoulée?
Vademecum
La CNIL n’a pas été officiellement saisie de cette question. Toutefois, des articles de presse ont effectivement fait état de la volonté des services de la Police et de la Gendarmerie Nationales d’accéder à ces informations. Si des perquisitions ont été menées, ce que semble relater certains média, elles l’ont été sous l’autorité et à la demande d’un juge.

Inscrite à un organisme de préparation à un concours de la fonction publique, organisme rattaché à une université, on m'a demandé mon numéro de sécurité sociale pour enregistrer (c'est ce qui était précisé) la facture de ma formation. Les explications fournies ne m'ont pas satisfaite (éviter les doublons, anonymat des informations de toute façon garanti par l'Université). Il me semble qu'il existe d'autres moyens (un numéro d'enregistrement, un 2ème ou 3ème prénom, bref...). Je me suis soumise à cette demande, mais non sans réticence. J'ai d'ailleurs écrit à la CNIL pour apporter mon témoignage. Que pensez-vous du modus operandi de l'organisme concerné ? Ne pensez-vous pas, qu'aujourd'hui, les logiciels mis en place par les organismes publics et les administrations tendent à faciliter ce genre de façon de faire (quitte à empiéter sur la vie privée) ?
Américaine
Deux hypothèses doivent être distinguées en première analyse :
-    soit vous bénéficiez de cette préparation dans le cadre de la formation continue, auquel cas l’organisme doit collecter votre numéro de sécurité sociale afin de vous payer,
-    dans les autres cas, si par exemple vous en êtes seulement au dépôt d’une candidature et que vous n’êtes pas en formation continue, la collecte de ce numéro semble prématurée. Je vous conseille de nous adresser une plainte par écrit afin que nous expertisions davantage votre situation.
 

Le gouvernement entend récolter nos IPs afin de pister les "pirates" (mais quel terme mal employé !) qui téléchargent films / musiques / logiciels. Cette récolte d'IPs revient à empiéter sur la vie privée des internautes (c'est de l'espionnage pur et simple), et bafoue l'un des principes fondamentaux de notre pays. Comment la CNIL a-t'elle pu laisser passer cela, même si j'ai l'impression que vous avez fait traîner les choses ? Je comprends qu'on puisse mettre les gens suspectés de grand banditisme sur écoute, mais M. et Mme Toutlemonde n'ont pas à laisser leur vie privée être étalée aux yeux d'Hadopi ! Et deuxième question : avez-vous prévenu les concernés que les VPN et les serveurs proxy à l'étranger allaient rendre leur tâche difficile ?
Benben_leader
L’HADOPI a été créée par une loi votée par le Parlement puis soumise au Conseil Constitutionnel. Elle s’impose désormais à tous y compris à la CNIL.
Lorsque la CNIL a été saisie de l’avant projet de loi, elle avait fait part d’un certain nombre d’observations et de réserves. Son rôle ne peut pas aller au delà car le Gouvernement et le Parlement sont souverains.
Par ailleurs, le mécanisme de l’HADOPI ne constitue pas une surveillance systématique de l’ensemble des contenus produits ou reçus par tous les internautes. Il s’appuie sur une collecte de données techniques échangées sur les réseaux peer-to-peer. Les autres utilisations d’internet (web, envoi de mails, réseaux sociaux, etc.)  ne sont pas concernées.

Quelle crédibilité pensez-vous avoir suite au scandale ACADOMIA? Pensez-vous sérieusement que l'incroyable sanction que vous avez prise à l'encontre d'ACADOMIA, à savoir la publication des faits et l'envoi d'une lettre d'avertissement, ne va pas simplement faire marrer tous les patrons peu scrupuleux? J'étais moi même en cours de démarche afin de devenir CIL (correspondant informatique et libertés) au sein de ma société, mais suite a cette affaire, ma direction a laissé tomber la démarche. Suite à mes interrogations, la direction m'a répondu en riant, qu'il était inutile de se fatiguer, au pire il prendrait 5 minutes à lire vos courriers..... Du coup certains "petits fichiers" ne seront jamais déclaré et par conséquent jamais surveillé, ni contrôlé... Finalement la CNIL en dehors de noircir quelques pages de quotidiens de temps en temps, à quoi ca sert?
SansDeconner !
Je ne suis pas persuadé que les responsables de la société ACADOMIA se « marrent » beaucoup à la suite de la sanction de la CNIL. Ce n’était ni son objet ni son sujet. C’est un grave contresens que d’abandonner une démarche de mise en conformité avec la loi au motif qu’il y a une sanction à la suite d’un contrôle. Ce devrait être plutôt l’inverse. Nous faisons plusieurs centaines de contrôles inopinés par an sur l’ensemble du territoire. Le risque juridique et en terme d’image de la dissimulation de fichiers ou de commentaires injurieux est réel, sans compter la dimension pénale. Je rappelle que le défaut de déclaration est un délit puni de 5 ans d’emprisonnement et 300 000 € d’amende et que, dans les cas les plus graves et qui sont rares, comme celui que vous citez, nous transmettons également le dossier au Procureur de la République. Chacun doit prendre ses responsabilités en pleine connaissance de cause.

Avez-vous donné votre aval pour HADOPI ? Quelle influence pouvez vous avoir sur les sites " classés réseau sociaux " ou l'info circule presque plus vite que la presse et qui par exemple jongle avec les données de ces internautes sous un pseudo confidentialité ?
coolavie
La CNIL a émis un avis sur le projet de loi créant la HADOPI. Depuis, la loi a été promulguée et l’HADOPI a été légalement créée. Dès lors, un certain nombre de textes de mise en œuvre sont nécessaires. C’est pourquoi la CNIL a été d’abord saisie du premier décret permettant à l’HADOPI d’émettre ses messages « pédagogiques ». Puis, elle a autorisé le 10 juin dernier les sociétés de perception des droits d’auteur à transmettre à l’HADOPI les éléments que leurs agents assermentés observaient sur les réseaux P2P. D’autres étapes sont encore à venir, notamment l’examen du projet de décret concernant la mise en œuvre du pouvoir de sanction de l’HADOPI.
Sur les réseaux sociaux, la CNIL s’en préoccupe depuis plusieurs années déjà. Au niveau européen, un avis du groupe des CNIL européennes a été adopté en 2009. Il précise les règles qui doivent s’appliquer à ces sites. La CNIL a également mené plusieurs contrôles très récemment sur les réseaux sociaux. Les réseaux sociaux ont besoin de démontrer à leurs utilisateurs qu’ils mettent en œuvre des pratiques respectueuses de la protection des données et de la vie privée. C’est pourquoi, la plupart de ces sites sont très attentifs aux observations des autorités comme la CNIL car la confiance de l’utilisateur est le moteur de leur croissance.

Bonjour, en tapant mon nom ou adresse mail sur Google je retrouve des infos me concernant. J'ai contacté les sites web pour qu'ils effacent ces données me concernant en faisant appel à la loi sur les données informatiques de 1978, pourtant je n'ai pas eu de réponse de leur part, que faire? Seconde question, que conseillez-vous afin de laisser le moins de traces sur le web, sachant que les banques, l'assurance maladie, les réservations nous demandes de nombreuses informations.
Inquietdufutur12
Un moteur de recherche ne fait qu’indexer des contenus qui sont déjà publiés sur internet. Il faut donc avant tout faire retirer le contenu du site en question, d’autant plus que d’autres moteurs peuvent tout à fait indexer ce même contenu. Si les sites sont en Europe, vous pouvez adresser une plainte à la CNIL qui se rapprochera si nécessaire de ses homologues européens. Les informations qui sont collectées par les organismes (comme les banques, assurance maladie, etc.) ne doivent pas être rendues publiques ou cédées à des tiers sans votre information. Elles sont donc « protégées ». En revanche, tous les contenus qui sont publiés sur vous ou que vous publiez sur le web sont publics. Il faut donc garder à l’esprit la nécessité de préserver sa vie privée avant de publier un contenu.

Est-il légal que la possibilité de se désinscrire sur certains sites soit un vrai parcours du combattant, voire impossible? Pourquoi ne peut-on pas souvent se désinscrire soi même?
Ze-cri
La désinscription est de droit si vos motifs sont « légitimes », comme le précise la loi, mais ses modalités ne sont pas fixées par elle.
Si l’entreprise met en place une procédure dissuasive, les personnes peuvent se tourner vers nous pour que nous les aidions à se désinscrire de ces sites. Toutefois, certains sites américains s’estiment propriétaires des données que vous y mettez. Dans cette hypothèse, le conflit de règles entre les Etats-Unis et l’Europe est difficilement surmontable. C’est pourquoi vous devez être prudent quant aux données que vous communiquez ou que vous révélez sur vous même sur le web.

La plupart des bases de données, notamment marketing, ne sont pas anonymes comme il se doit. La cause est double. La plupart des développeurs s'en moque purement est simplement ou, coutant chère dans le budget d'un projet, elle est remise à un temps ultérieur (pour ne pas dire à jamais)... Que peux faire la CNIL pour contrôler et forcer les entreprises à respecter les lois déjà votées ?
Loloras
Généralement, les bases marketing ne sont pas anonymes car sinon elles ne présenteraient aucun intérêt commercial. En effet, elles ne permettraient alors pas de proposer des produits aux personnes. Les difficultés que nous observons, qui représentent environ un quart des plaintes,  concernent principalement le non respect par les entreprises du principe d’un consentement préalable. En effet, la loi européenne prévoit qu’une personne ne peut recevoir de la prospection commerciale que si elle a donné son consentement préalablement. Face à ces dérives, la CNIL utilise son pouvoir de contrôle sur place et le cas échéant de sanction si l’organisme ne se met pas en conformité avec la loi.

Que faire contre les entreprises hébergées à l'étranger et qui conservent malgré tout nos informations ? Avez-vous des contacts avec d'autres organismes internationaux, comment collaborez-vous ensemble ? Cette question sur nos libertés est-elle posée dans d'autres pays (Europe, Usa, Asie...) ?
Guerric F
Au niveau européen, chaque pays est doté d’une CNIL. Les autorités se réunissent régulièrement à Bruxelles pour harmoniser leurs positions. Si les organismes sont basés dans un autre pays de l’union européenne, la CNIL prend attache avec l’autorité du pays en question pour faire respecter la loi informatique et libertés qui est homogène au niveau européen. S’agissant des relations avec les Etats-Unis ou des autres pays dans le monde, elles sont plus complexes et parfois difficiles car ils n’ont pas forcément de loi informatique et libertés et de CNIL. Aux Etats-Unis, la Federal Trade Commission (FTC) peut faire office d’interlocuteur mais uniquement en matière de droit de la consommation.