Billets qui ont 'CNIL' comme nom propre.

Délation institutionnelle

Billet simplificateur (ou simplifié): je donne les principes:

La CNIL interdit à l'Etat de pouvoir identifier ses citoyens sous un numéro unique (comme le numéro de Sécurité sociale, par exemple. D'ailleurs ce numéro de SS est tabou, on se demande pourquoi. Ainsi les entreprises vous donnent un matricule, elles n'ont pas le droit d'utiliser le numéro de SS… indispensable par ailleurs pour gérer les relations avec les différents organismes sociaux).
C'est gentil, ça part d'un bon sentiment. On se demande à quoi cela peut bien servir (le jour où un dirigeant mal intentionné voudra rapprocher les différents fichiers, cela ne lui prendra pas beaucoup de temps, surtout aujourd'hui), mais c'est touchant, cette volonté "de ne pas reconduire les erreurs du passé" (sachant que les listes de juifs en 40 et 41 ont été constituées par appel à la population: obligation d'aller se faire enregistrer. Quelle différence avec déposer un dossier à la préfecture quand on est sans papier? On est dans le déclaratif, la démarche volontaire, pas besoin de fichier préalable pour cela.)

La lutte anti-blanchiment/anti-terrorisme (dite LAB-LAT) fonctionne à contre-courant de cette démarche. Elle impose aux entreprises opérant dans certains secteurs dits sensibles (la banque, l'assurance, etc) de s'informer sur l'origine des fonds déposés (héritage, gain au loto, vente immobilière, honoraires, contrat important, etc)1, mais plus encore, d'avoir une "vision globale" de leurs clients, c'est-à-dire de savoir regrouper les informations qu'elles détiennent sur chacun d'eux à travers leurs différents comptes, contrats et produits de placement, dans différents endroits de France ou de la planète. Ces entreprises doivent déclarer à Tracfin les fonds dont l'origine est inconnue (dont le client refuse de dévoiler la source), mais aussi les comportements louches (le plus souvent des opérations de placement dont le dénouement précipité fait penser à du blanchiment).

Auparavant, cette vigilance constante ne concernait que certains types d'opérations finalement assez rares dans une vie ordinaire de petite banque de province ou de mutuelle niortaise. Mais désormais doit être déclarée toute opération qui, si elle était frauduleuse, serait passible d'au moins un an de prison: cela étend le champ de la vigilance à la fraude fiscale, beaucoup plus courante que le financement du terrorisme…

Cela revient à attendre des banques et des assurances qu'elles se transforment en un vaste réseau de délation organisée.


Note
1 : Ce qui m'agace, c'est que l'Union européenne a refusé de mettre cette mesure en place au moment du passage à l'euro, alors que cela aurait été l'occasion rêvée de mettre la main sur les gros trafiquants… ou tout au moins d'assécher leurs capitaux en les empêchant de les convertir facilement.

Informatique et Libertés

Journée de formation aux obligations imposées par la CNIL, ou comment ré-inventer la bureaucratie au fur à mesure que le monde se dématérialise.

Les principes sont simples et sains: une entreprise ne doit demander que ce qui lui est utile pour son commerce (inutile de vous demander votre carte grise pour assurer votre maison, votre diplôme de bac pour vous faire un crédit consommation), elle doit détruire ces données à l'issue du délai de prescription (c'est quelque chose qu'elle ne fait pas, qu'elle sait mal faire, qu'elle n'a pas envie de faire), et toute personne doit avoir accès aux données la concernant.
Pour éviter des écarts de langage regrettables, des notations étranges, une entreprise doit conserver à l'esprit que n'importe quel dossier pourra être lu par son client ou par la CNIL: il faut rester correct en toutes circonstances et ne pas se défouler dans les zones de texte libre des logiciels de GRC (gestion de la relation clients) ni laisser traîner des post-its désagréables dans les dossiers papier. (C'est un peu plus subtil que ça: interdit par exemple d'écrire dans un dossier de prospection téléphonique: "ne pas rappeler, cancer en stade terminal", mais écrire simplement: "ne pas rappeler, raisons médicales" (cela pour respecter le secret médical). Une formation n'est donc pas inutile, le bon sens n'étant pas toujours suffisant à garantir la bonne application de la loi.)

Les principes sont donc assez simples et logiques, une fois qu'on a attiré votre attention sur les points délicats.
A partir de là, une organisation tentaculaire a été mise en place. Les données étant le plus souvent traitées par informatique, les entreprises sont censées décrire tout nouveau traitement pour l'envoyer à la CNIL (ce qui fait de la CNIL une gigantesque chambre d'enregistement des systèmes informatiques de la France entière, j'espère que leurs salles d'archives sont bien protégées). La CNIL s'étant aperçu du monstre de paperasse qui risquait de l'engloutir a autorisé les (grandes?) entreprises à conserver ces dossiers dûment complétés chez elles, auprès d'un CIL (correspondant Informatique et Libertés), lui-même régnant sur des CRILs (correspondants relais informatique et libertés désignés au sein de chaque entité, direction ou filiale)1

Bref, il s'agit de ce que je déteste le plus: un boulot administratif très lourd, inutile pour le fonctionnement "réel" de l'entreprise et qui pénalise les entreprises de bonne foi, sachant que celles qui contreviennent à la loi sauront parfaitement le cacher.


Note
1 : On se demande pourquoi la mise à disposition sur simple demande du cahier des charges et des SFD (spécifications fonctionnelles détaillées) de tout traitement informatique n'est pas suffisante.
Les billets et commentaires du blog Alice du fromage sont utilisables sous licence Creatives Commons : citation de la source, pas d'utilisation commerciale ni de modification.