Article mis en ligne le 16 mars 2006
Texte de l’allocution introductive d’Alain Borghesi, PDG de Cecurity.com, lors des 2èmes Assises des Correspondants Informatique et Libertés, organisées le 28 février 2006 à Paris par l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel).
Mesdames et Messieurs,
J’ai le plaisir d’ouvrir les débats de cette deuxième édition des Assises des Correspondants Informatique et Libertés organisés par l’AFCDP en collaboration avec LEXposia.
Mes propos introductifs seront très brefs de façon à ce que puissiez apprécier les présentations des intervenants de premier plan qui nous ont fait l’honneur d’être présents.
J’ai souhaité dresser en quelques minutes le tableau d’un an de débats informatique et libertés ; une année qui correspond à la période écoulée entre les deux éditions de nos Assises. Voici donc quelques instantanés sans prétention à l’exhaustivité.
Dans les domaines de la sécurité intérieure et de l’administration électronique, le projet INES du Ministère de l’Intérieur visant à introduire une carte d’identité électronique a été différé pour être largement remanié. Le débat public organisé par le forum des droits sur l’internet a permis de constater que la dimension « protection de la vie privée » a été l’une des raisons essentielles de ce report.
Toujours dans le secteur public, la DGME (anciennement ADAE) est entrée dans les derniers mois dans la phase de mise en œuvre de mon.service-public.fr, service qui permettrait prochainement à chaque internaute qui le souhaite de disposer d’un espace personnel de données.
Le domaine de la santé a été aussi au cœur de l’actualité avec les avancées du projet DMP (Dossier Médical Personnel). Les hébergeurs de données de santé deviennent de nouveaux acteurs de la qualité des soins et de l’économie de la santé. Un nouveau comité d’agrément, instauré par le décret de janvier 2006, devra, tout comme la Cnil, se prononcer sur les demandes d’agréments.
Autre débat politique du moment particulièrement important : la discrimination positive. Comment envisager de la mettre en œuvre dans les organisations s’il est interdit de collecter la nationalité ou l’origine ethnique des personnes ?
Dans le secteur privé la traçabilité, la géolocalisation et la biométrie ont été les thèmes brûlants de ces derniers mois.
C’est ainsi que la Cnil a refusé récemment la demande d’une compagnie d’assurance qui envisageait de surveiller avec un dispositif électronique ses clients jeunes conducteurs. Il s’agissait de contrôler en permanence la vitesse du véhicule et le temps de conduite au risque de remettre en cause la liberté d’aller et venir.
Si on ne doit pas surveiller électroniquement les agissements des jeunes conducteurs, doit-on alors surveiller les agissements des jeunes internaute – et des moins jeunes – quand ils téléchargent musiques et films sur les sites de P2P ? Là encore, la protection de la vie privée a été l’un des arguments discutés lors de ce débat particulièrement passionné. Un débat qui est loin d’être clos.
Traçabilité de surveillance mais aussi, pourquoi pas, traçabilité de confiance avec l’affaire des steack hachés contaminés commercialisés par un hypermarché du sud-ouest de la France. 80% des clients ont été retrouvés et informés grâce à leur carte de fidélité.
En matière de biométrie, on a beaucoup parlé de contrôle d’accès aux cantines scolaires. La Cnil a défendu avec persévérance sa position qui est de refuser la biométrie à traces et la biométrie à base centralisée lorsque les exigences de sécurité ne sont pas évidentes. Elle a en revanche fait preuve de souplesse en faveur de la biométrie fondée sur la paume de la main. Les activistes n’ont pas été du même avis et les militants qui ont détruit ce type de dispositif à coup de marteau ont bénéficié du soutien de nombreuses organisations lors de leur récent procès. Un dossier acceptable pour la Cnil n’est pas forcément un dossier accepté par toute la société.
Enfin, le problème des « lignes éthiques » (ou whistleblowing) a été le symbole des éventuelles incompatibilités entre la réglementation américaine Sarbanes-Oxley et le droit européen de protection des données à caractère personnel.
Plus généralement, de nombreuses entreprises ont ouvert le chantier de la compliance (ou mise en conformité) et ont ainsi découvert la difficulté qu’il y avait à concilier en pratique data retention et data privacy ; archivage électronique et respect du droit à l’oubli.
Vous l’aurez compris, mon propos était de souligner d’emblée que le correspondant informatique et libertés n’est pas uniquement réductible à des débats et analyses sur l’article 22 de la Loi d’août 2004 ou au contenu du titre III du décret d’octobre 2005. C’est aussi, et peut-être avant tout, un responsable qui aura vocation à être au cœur des grands thèmes économiques et sociétaux des prochaines années.
C’est pour lui une chance extraordinaire. C’est aussi une grande responsabilité.
Alain Borghesi
A lire aussi