Un jour, la Cnil aura le beurre et l’argent du beurre : des missions élargies ET des moyens augmentés en conséquence. Car pour l’heure, si elle se félicite de voir son champ agrandi dans son dernier rapport d’activité (pdf), elle déplore aussi de ne pas avoir les moyens d’y faire face. Une antienne qui n’a rien de nouveau.

La Cnil court après les caméras

La CNIL compte les caméras de vidéosurveillance et ses maigres économies. Pas de quoi surveiller les surveillants et ...

En 2011, la commission chargée de veiller à l’application de la loi “Informatique et Libertés” de 1978 a récupéré deux chapitres conséquents. Comme elle l’appelait de ses vœux, la Loppsi 2 lui a confié le contrôle des caméras de vidéoprotection vidéosurveillance relevant de la loi de 1995, celles sur la voie publique.

En 2011, leur chiffre est estimé à 897 750 par les commissions départementales de la vidéoprotection. Avant, elle ne devait s’occuper que de celles relevant de la loi de 1978, c’est-à-dire dans des locaux qui ne reçoivent pas de public (bureaux par exemple).

Soit comme le calcule le secrétaire général Yann Padova en introduction :

Un nombre de caméras près de 25 fois supérieur.

Second bébé,  qui découle de la transposition de la directive révisant le paquet Telecom, les entreprises du secteur des télécommunications doivent désormais notifier les violations de données à caractère personnel à la CNIL. Et là, c’est l’inconnue :

À cette heure, il est encore très difficile de pouvoir quantifier le nombre de failles de sécurité qui sont susceptibles d’être déclarées auprès de nos services.

En revanche, la Cnil est en sûre, les onze postes qu’elle a obtenus en plus l’année dernière, soit un total de 159, ne pèsent pas lourds :

Cette augmentation significative des moyens reste encore insuffisante, comme l’ont souligné les récents débats parlementaires lors du vote de la loi de finances pour 2012.

Même si l’organisme a multiplié les contrôles, 385, soit +25% par rapport à 2010, elle est loin de pouvoir en faire autant que l’enjeu le nécessite.

Explosion des plaintes

Dans ce contexte, le nouveau record de plaintes enregistrées, 5 738, est à double tranchant : il est à la fois le signe que les gens sont de plus en plus sensibles au sujet et reconnaissent la Cnil comme l’organisme de référence, mais il la renvoie aussi à ses limites humaines. Et encore, ce chiffre est à relativiser à la hausse, souligne-t-elle :

Ces chiffres sont d’autant plus remarquables qu’ils ne tiennent pas compte des milliers de demandes écrites de particuliers directement traitées par le Service d’orientation et de renseignement du public (SORP) de la CNIL, autrefois comptabilisées comme plaintes. Ils n’intègrent pas, non plus, les multiples questions téléphoniques de particuliers qui ont été prises en charge par le SORP et par le service des plaintes.

La hausse concerne tous les secteurs, et en particulier le “droit à l’oubli” (+ 42%, sans que le rapport ne donne plus de détails que les deux lignes qu’elle y consacre) et la vidéosurveillance, +30%. La surveillance des salariés est aussi une donnée notable : les plaintes à ce sujet concerne la moitié des 12% des plaintes relevant de la gestion des ressources humaines. La Cnil a observé deux tendance à la hausse significatives :

Cybersurveillance (+59%) : il s’agit des dispositifs mis en œuvre par l’employeur pour contrôler l’utilisation des outils informatiques et l’accès à la messagerie électronique.

Sécurité des données de ressources humaines (+27%) : faille de sécurité du réseau informatique ou erreur humaine ayant pour conséquence la divulgation, aux collègues ou plus largement sur internet, de données telles que le numéro de sécurité sociale, les revenus ou les coordonnées des salariés.

Caméras illégales

Les 150 contrôles effectués par la Cnil sur les dispositifs de vidéosurveillance montrent que l’outil évolue encore trop souvent dans l’illégalité :

Une absence d’autorisation ou absence de renouvellement préfectorale (environ 30 % des contrôles)
Une absence de déclaration à la CNIL pour les parties de dispositifs relevant de la loi de 1978 (environ 60 % des cas)
Une mauvaise orientation des caméras (environ 20 % des contrôles). Certains contrôles ont permis de constater des caméras “cachées”, notamment dans les détecteurs de fumées.
Une durée de conservation excessive (environ 10 % des contrôles)
Des mesures de sécurité insuffisantes (environ 20 % des contrôles).

Au passage, la Cnil a relevé que “l’utilisation de caméras factices et les dysfonctionnements pouvant affecter les dispositifs vidéo (absence d’enregistrement, mauvaise qualité de l’image, etc.” Si cela n’a rien d’illégal, ces constats apportent de l’eau au moulin des rapports démontrant l’inefficacité de la vidéosurveillance.

La rengaine du fichier erroné

Chaque année, le rapport de la Cnil est l’occasion de refaire le même triste constat sur les fichiers d’antécédents judiciaires, Judex, Stic, ancien fichier des RG… : ils sont truffées d’erreurs lourdes de conséquences. En effet, “on évalue à 1,3 million le nombre d’emplois concernés par des procédures administratives“, rappelle la Cnil. Fourre-tout record avec 68% de la population française fichées, le STIC mélange mis en cause mais aussi et surtout victimes.

Si une personne s’est vu refuser un emploi en raison de son inscription dans un de ces fichiers, elle peut faire valoir son droit d’accès indirect pour vérifier les données. 2099 personnes y ont eu recours en 2011 :

Comme le résume la Cnil dans la page qu’elle consacre ensuite à des témoignages de gens victimes d’erreurs :

Ça la fiche mal !

Et ça risque de la ficher encore mal un certain temps. Selon un rapport des députés Delphine Batho et Jacques-Alain Benisti, il existe 80 fichiers de police, “dont un certain nombre demeurent encore illégaux au regard des dispositions de loi ‘Informatique et Libertés’.”

Si un amendement de la Loppsi doit “atténuer l’effet pénalisant de la consultation [des fichiers d'antécédents judiciaires] en termes d’emploi”, son effet est pour l’instant virtuel :

L’application effective et immédiate de cette disposition à l’ensemble des enregistrements existants (environ 6,5 millions de personnes mises en cause enregistrées dans le fichier STIC et 2,5 millions dans le fichier JUDEX en 2011) se heurte néanmoins aux difficultés structurelles de mise à jour de ces fichiers qui dépend, dans une large proportion, de la communication aux services de police, par les procureurs de la République, des suites judiciaires intervenues pour chacune des infractions relevées.

—

À lire aussi Deux millions de contrôles au faciès et Le cadeau empoisonné des fichiers policiers

L’affaire a donc démarré par une plainte, déposée par les sociétés eJustice , Ciao et Foundem auprès de la Commission, reprochant à Google ses visées monopolistiques. Depuis d’autres plaignants se sont ajoutés, notamment le groupe Microsoft qui a fini par rejoindre les trois premiers en mars 2011.

Verrouillage de la Commission

Au sein de la Commission, la direction générale de la concurrence (DG Comp) mène l’enquête, actuellement en phase II – soit, selon la nomenclature européenne, celle réservée aux cas prioritaires. Contrôlant les aides d’État attribuées aux entreprises, elle examine également les fusions/acquisitions – notamment le rachat de Double Click par Google en 2008 [PDF] – et les ententes et/ou abus de position dominante. De son propre chef ou en cas de réception d’une plainte. Dans l’affaire Google, l’attitude de la petite équipe qui décortique  les affaires de l’entreprise américaine s’apparente à celle d’un pongiste de haut niveau. Les questions qui dérangent reçoivent des réponses rapides et vides de sens. Même sur l’identité de tous les plaignants, la DG concurrence ne dit rien :

Il y en a effectivement d’autres [NDLR : plaintes]. Mais vous comprendrez, j’en suis sûr, que compte tenu de la médiatisation plus que suffisante de cette affaire, je préfère laisser le soin aux entreprises et boîtes de relations publiques qu’elles emploient, d’en faire la publicité.

Autrement dit, aux lobbyistes et aux relations presse de communiquer. Près du parc Leopold à Bruxelles, Google vous accueille dans ses bureaux avec vue sur le Parlement européen – dans le même petit immeuble où loge l’ambassade d’Irlande, un État qui accueille la plupart des sièges financiers de Google.

Cinq lobbyistes

Alistair Verney, communication manager pour Google à Bruxelles, justifie la bonne foi de son entreprise et leur volonté de travailler aux côtés de la Commission :

Depuis que nous avons crée Google, nous travaillons dur pour faire en sorte que nous gardions au coeur de notre activité les intérêts de nos utilisateurs et de notre secteur – en garantissant que nos publicités soient toujours clairement identifiées, en rendant simple pour les utilisateurs et les publicitaires la récupération de leurs données quand ils changent de service et en investissant massivement dans des projets open source. Mais il y a toujours une marge d’amélioration et nous travaillons avec la Commission pour répondre à toutes les interrogations qu’ils pourraient avoir.

Depuis ces bureaux, Google fait son propre lobbying avec cinq cadres et gère ses dossiers stratégiques, du droit d’auteur à la neutralité du net, selon une source familière des relations entre parlementaires et groupes d’influence. Ses lobbyistes interviennent directement auprès du législateur. Mais selon cette même source, ”les petits de Google n’ont pas le temps extensible et ratent parfois des dossiers”.

Ils connaissent pourtant bien le fonctionnement des équipes de la Commission. Le chef des lobbyistes de l’équipe Google à Bruxelles depuis 2008, Antoine Aubert, n’est autre qu’un ancien policy developer (chargé des politiques publiques) de la Commission européenne pour laquelle il a travaillé pendant trois ans.

Et le silence de Google Bruxelles concernant cette plainte n’est pas l’apanage de la Belgique. La même opacité plane en France, où Google possède sa propre équipe en interne, Olivier Esper en tête, directeur des relations institutionnelles (une autre façon de dire “chef des lobbyistes”) : les portes sont fermées bien avant le sas d’entrée dans leurs bureaux. Dans le grand hall du 38 avenue de l’Opéra à Paris, pour rencontrer un des lobbyistes sur le sujet Google à la Commission européenne, la réponse est claire :

Si vous n’avez pas rendez-vous, vous ne pouvez pas le voir. Envoyez un mail ou appelez directement la personne, si elle vous a confié son numéro… Mais je doute qu’ils veuillent vous recevoir.

Les raisons du silence

Entre accord à l’amiable souhaité par Google et crainte du géant américain, les explications de ces silences sont multiples. Pour justifier son refus de répondre aux questions posées, un proche des plaintes confie à OWNI :

Nous avons peur des représailles de Google.

À supposer que les menaces soient réelles, dans une interview donnée au Telegraph en février dernier, Eric Schmidt, le PDG de Google avouait qu’il comprenait que son entreprise avait un rôle majeur en Europe. Et implicitement que cette position dominante leur permettait de ne pas communiquer sur leurs sujets qualifiés de sensibles.

Sophia In’t Veld, députée européenne appartenant à l’alliance des démocrates et des libéraux pour l’Europe, estime que la situation est complexe, notamment parce que :

Google est une force d’innovation.

En attendant, Google cherche toujours son accord à l‘amiable. Comme pour justifier le mystère qu’il laisse planer autour de cette affaire. Et un proche de la Commission d’avancer : “si l’affaire est trop difficile, elle peut être clôturée dans les six mois sur décision du commissaire.”

Mise à jour : dans un article daté d’hier de Zdnet, le site français Twenga accuse Google de concurrence déloyale et dépose plainte devant la justice européenne.

Vous pouvez retrouver les articles du dossier :
Google gentiment au tribunal de commerce
La loi du chiffre selon Google

Illustration de Une Marion Boucharlat

Une petite recherche sur Google m’informe que Cass county music a lâché les chiens sur le Net à large échelle pour faire valoir ses droits sur le catalogue des (excellents) titres du groupe, qui sont repris par des centaines de guitaristes sous forme de reprises, arrangements, cours payants ou gratuits.

Tiens, aurais-je laissé trainer une vidéo de Hotel California en ligne ?

Non, en fait, il s’agit d’une de mes compositions personnelles… une ballade inspirée par une anecdote : une personne m’avait déclaré un jour que « I don’t listen to any or play an instrument, for me music is just wasted time ». Cet épisode m’a troublé, puis inspiré une compo, que j’ai logiquement baptisée Wasted time (Temps perdu). Je précise qu’à part le titre, le contenu musical est bien différent de la chanson (vous pouvez vérifier, Wasted time des Eagles sur Google, pour ma part je ne mets pas de lien, pour ne pas « aggraver » mon cas en diffusant du contenu illégal).  Pour ma part, il s’agit d’un morceau assez lent et rêveur sans grande prétention. Mais il est hors de question pour moi de changer le titre.