vendredi 30 octobre 2009

50 questions sur la loi informatique et libertés

.
Le Cahier N°27 du Courrier des maires et des élus locaux (septembre 2009) est consacré à l'application de la loi informatique et libertés dans le cadre des collectivités locales. Ce cahier est didactique, clair ; il reprend les définitions principales, souligne les mises en garde de la CNIL. Parfait outil de sensibiliation.
Les médias, et les enquêtes qui en alimentent couramment le travail et la réflexion, les travaux universitaires (thèses, mémoires, etc.) dans ces domaines doivent évidemment prendre en compte la dimension "informatique et libertés" et respecter la loi : ce document qui ne les vise pas directement peut constituer néanmoins un outil de réflexion efficace et au moins propédeutique.
Exemples
  • (S')interroger sur la conformité avec la loi de la collecte de données de consommation médias, de données socio-démographiques ou "ethniques" ; on pourra en profiter pour vérifier avant de les recueillir que ces données présentent une pertinence scientifique indiscutable et pour évacuer ce qui n'est parfois que l'effet d'une inertie paresseuse ("on a toujours fait comme ça"). L'interrrogation juridique donne l'occasion d'une réflexion épistémologique, et parfois économique, salutaire. 
  • (S')interroger sur l'étanchéité des données (ne pas utiliser les données à d'autres fins que la mission pour laquelle elles lui ont été confiées), sur l'archivage des données, sur leur non-divulgation (éventuellement involontaire). Comment cela s'applique-t-il aux panels, plus ou moins constants, aux "viviers" ou bases multi-usages ? Comment peut-on acheter / vendre des bases de données ?
  • S'assurer de ce qui doit figurer sur un questionnaire (mention de l'identité du responsable du traitement, de la finalité du traitement, etc.), vérifier au cas par cas l'application d'une telle obligation selon les modes de passation (téléphone, face à face, auto-administré sur Internet ou postal, etc.). 
  • Vérifier l'extension de la définition d'une "donnée à caractère personnel" et son application au domaine d'enquête. Celle qui permet d'identifier directement ou indirectement une personne : un numéro de téléphone, le numéro de plaque minéralogique, mais aussi, plus inattendu, le nombre de repas à la cantine de l'école facturé aux parents d'élèves.
  • Quelles déclarations pour un site web (le document ne dit rien des cookies) ?
  • Quelle définition des "données sensibles" au regard de l'article 8 de la loi du 6 janvier 1978 ("origines raciales ou ethniques, opinion politiques, philosophiques ou religieuses, appartenances syndicales, etc.). En conséquence, quels tris peuvent-être effectués sur une liste (électorale) ? Consonance des noms, les lieux de naissance ? Non. Or beaucoup de données de consommation média permettre de cerner une attitude politique, philosophique, une orientation sexuelle...
  • Le principe d'économie qui restreint l'enregistrement des données à l'indispensable sollicite tout particulièrement le travail d'enqête. Il impose, en amont et c'est tant mieux, une sélection rigoureuse des données alors que souvent un principe inverse est appliqué : "récupérons cette donnée, on verra bien après ce que l'on en fera...". Mais que fait-on pour les pré-tests, les pilotes, les pré-enquêtes ?
  • Alors que les questions de vie privée suscitent beaucoup de débats à propos des médias numériques, qu'en est-il pour les médias plus anciens, le marketing direct, les basses de données traditionnelles ? Comment l'esprit de la loi s'applique-t-il (données personnelles, opt-in, commercialisation de bases de données, etc.) ? Où commence le spam du numéro de téléphone et de la boîte aux lettres ?
  • La dimension informatique et libertés doit-elle être prise en compte par les audits interprofessionnels ?
Ce document fort clair sensibilisera à l'application à la recherche de la loi informatique et liberté et au respect des décisions et recommandations de la CNIL. Un travail et une publication consacrés plus particulièrement aux domaines de la recherche et des études seraient bienvenus (avec des cas, la jurisprudence éventuelle, etc.). Mais peut-être cela existe-t-il déjà ? Suggestions ?
.

Aucun commentaire: