[actus_l] Nos données personnelles entre commercialisation et désinvolture des pouvoirs publics

http://www.ldh-toulon.net/spip.php?article2828
Nos données personnelles entre commercialisation et désinvolture des pouvoirs
publics

article de la rubrique Big Brother
date de publication : vendredi 22 août 2008

Un vaste trafic de données personnelles fait scandale en Allemagne : des
organisations de protection de consommateurs viennent d’apporter la preuve
qu’il est possible d’en acquérir des millions sur Internet...

Une information à rapprocher de la désinvolture manifestée par les pouvoirs
publics pour assurer la confidentialité des données personnelles qu’ils
exigent de leurs citoyens.

Sans contestation possible, la “médaille d’or” en ce domaine revient à la
Grande-Bretagne où une clé USB contenant des informations personnelles sur
tous les détenus vient d’être “égarée”.

    Un trafic de données confidentielles fait scandale en Allemagne
    par Marie de Vergès, Le Monde du 22 août 2008

    Outre-Rhin, n’importe qui ou presque peut se procurer sur Internet, à
moindre coût et en un tour de main, des renseignements personnels et
financiers concernant des millions d’Allemands.

    Les organisations de protection de consommateurs viennent d’en apporter la
preuve formelle. Un de leurs agents, mandaté par la centrale fédérale, est
parvenu à acheter sur le réseau près de six millions de données
confidentielles, dont quatre millions de numéros de comptes bancaires.

    L’opération lui a pris deux jours, pas plus. Elle ne lui a coûté que 850
euros. "Nous ne sommes sûrement pas le premier acheteur", en a déduit le
président de la centrale, Gerd Billen, lundi 18 août.

    Il ne s’agit pourtant encore seulement que de "la partie émergée de
l’iceberg", estime Thilo Weichert, un commissaire chargé de la protection des
données, dans le quotidien Süddeutsche Zeitung du 20 août. A l’ère du
tout-Internet, "de dix à vingt millions de données bancaires" feraient l’objet
d’une utilisation illégale, affirme-t-il.

    La plupart de ces informations privées sont issues de fichiers établis par
des loteries, mais aussi de contrats de téléphones portables ou de listings de
donateurs pour des organisations caritatives. Quelque 1 300 opérateurs
commerciaux en Allemagne seraient spécialisés dans la collecte et la vente de
ces données, selon les informations du Chaos Computer Club (CCC), une
organisation de hackeurs.

    Améliorer la protection

    C’est un employé d’un centre de démarchage téléphonique de Lübeck qui a
fait éclater au grand jour l’ampleur de ce trafic.

    La semaine dernière, Detlef Tiegel, âgé de 36 ans, a envoyé un CD à une
organisation de défense des consommateurs. Sur ce disque que lui aurait remis
son employeur figuraient quelque 17 000 données, entre autres des adresses et
des numéros de comptes bancaires. Le centre d’appels se les était procurées
illégalement, à des fins commerciales.

    JPEG - 12.1 ko
    © Ho New / Reuters

    Grâce aux données bancaires, il pouvait opérer à sa guise des
prélèvements. L’affaire semble loin d’être un cas isolé et la justice a déjà
ouvert plusieurs enquêtes contre des centrales téléphoniques.

    Alarmé par les dimensions du scandale, le gouvernement allemand souhaite
engager dès la rentrée un débat afin d’améliorer la protection des données, y
compris en durcissant la loi.

    Le député social-démocrate Dieter Wiefelspütz, porte-parole du SPD pour
les questions de politique intérieure, a même préconisé que soit inscrit dans
la loi fondamentale le droit à la protection des données sur Internet. Marie
de Vergès

Il faut rapprocher l’information précédente de la désinvolture manifestée par
les pouvoirs publics face au problème de la confidentialité des données
personnelles qu’ils exigent de leurs citoyens. En voici quelques exemples
récents concernant l’Allemagne, l’Italie et la France...

    Les données personnelles de 500 000 Allemands sur Internet

    A la suite d’une erreur concernant le mot de passe, les données
confidentielles – nom, adresse, photos d’identité et appartenance religieuse –
de quelque 500 000 citoyens allemands ont été accessibles sur le Web du 15
mars au 20 juin 2008. L’entreprise HSH, chargée de la sécurisation de ces
données informatiques, a reconnu le 23 juin 2008 qu’elle avait laissé affichés
sur une page Internet le nom d’utilisateur et le mot de passe permettant à 425
communes d’accéder à ces données. Ces communes étaient censées modifier le mot
de passe initial, mais une quinzaine ne l’ont jamais fait. [1]
_______________________

    Les déclarations de revenus de 40 millions d’Italiens sur Internet

    Le ministère des Finances italien a mis en ligne sur Internet, le 30 avril
2008, les 40 millions de déclarations de revenus des Italiens pour l’année
2005. Quelques heures plus tard, l’autorité de défense de la vie privée a fait
fermer le site.

    "Je n’ai fait que me conformer la loi" s’est défendu Vincenzo Visco, le
vice-ministre des Finances, qui a souligné que la législation prévoyait depuis
1972 la possibilité pour le simple citoyen d’accéder à ces informations en se
rendant dans les centres des impôts de l’Etat ou des communes.

    "Cette initiative manque de toute base de référence" a décrété Francesco
Pizetti, professeur de droit constitutionnel, président depuis 2005 de
l’autorité italienne de protection des données, à l’origine de la fermeture du
site. "Il faut tenir compte du fait que ces données vont se retrouver en
permanence et pour l’éternité accessibles de n’importe quel endroit du globe
grâce aux moteurs de recherche", a-t-il déclaré. [2] _______________________

    Base élèves : les données étaient librement accessibles

    Alors que l’administration de l’Education nationale répétait à l’envi
depuis des mois que “Base élèves 1er degré” ne posait aucun problème de
confidentialité des données, il a bien fallu que le ministre reconnaisse le 15
juin 2007 que le système n’était absolument pas sécurisé : pendant une
quinzaine de jours, des personnes extérieures à l’Education nationale ont pu
accéder librement par Internet aux fichiers de Base élèves et se procurer tous
les renseignements concernant des élèves enregistrés (n° INE, date
d’inscription et date d’admission à l’école, nationalité, date et lieu de
naissance, adresse des parents, noms et adresses des responsables de l’enfant,
niveau de la classe, nom de l’enseignant, taux d’absentéisme, cursus
scolaire ...) [3] _______________________

    Le commissaire monnayait des informations provenant du Stic

    Le commissaire de police Patrick Moigne, chef de la brigade des fraudes
aux moyens de paiement de la police judiciaire de Paris (BFMP), a été mis en
examen le 14 mars 2008 pour "violation du secret professionnel" et "corruption
active et passive d’une personne dépositaire de l’autorité publique". De
janvier 2006 à juin 2007, le commissaire aurait perçu plus de 20 000 euros en
monnayant à des tiers des informations puisées dans des fichiers de la police,
en particulier ceux du STIC .

    Alex Türk, sénateur du Nord et président de la Commission nationale de
l’informatique et des libertés (Cnil), dit ne pas avoir été "fondamentalement
surpris" par cette affaire. "De nombreux fonctionnaires de police ont la
possibilité de consulter le STIC, déclare M. Türk. Or, la vérification de
leurs motivations, obligatoires, est aléatoire." [4] _______________________

    L’ancien commissaire des RG utilisait ses relations dans la police

    Le 26 mai 2008, comparaissait au tribunal de grande instance de Paris, un
ancien commissaire des renseignements généraux, A. P., accusé d’abus de bien
sociaux et de "trafic d’influence". Révoqué de la police en 1988 pour
corruption, il travaillait depuis lors comme gérant d’une "entreprise de
conseil", utilisant ses relations dans la police et l’administration fiscale
pour des clients. Parmi ses "contacts", figuraient trois policiers en service.
Deux ont été mis en retraite anticipée, le troisième a été muté. A. P. était
aussi un informateur rémunéré de la direction nationale d’enquêtes fiscales
(DNEF), de 1998 à 2001. Aux enquêteurs, l’ancien commissaire prétexta des
"échanges de bons procédés" : pour les "3 000 à 3 500 dossiers" qu’il a remis
à la DNEF, il a perçu 46 000 euros plus 31 000 euros de remise de TVA. [5]

Mais, sans contestation possible, le pays leader dans ce domaine, celui qui
nous montre ce que l’avenir nous réserve, reste la Grande-Bretagne !

    Grande-Bretagne : des milliers de données concernant les détenus sur une
clé USB égarée  [6]

    La PA Consulting, une entreprise travaillant pour le ministère britannique
de l’Intérieur (Home Office), a égaré une clé USB (memory stick) contenant des
informations personnelles (nom, adresse, date de naissance, dans certains cas
la date de sortie, ...) concernant des milliers de récidivistes et les 84 000
personnes détenues en Angleterre et au Pays de Galles.

    JPEG - 10.3 ko
    Les données se trouvaient sur une clé USB.

    Ceci est le dernier d’une série d’incidents imputables aux pouvoirs
publics (vols de portables, pertes de disques durs ou de clés USB...). Un des
plus récents est le vol dans un véhicule d’une clé USB contenant les données
personnelles de centaines d’enfants qui avaient demandé à participer à une
émission de télévision de la BBC.

    David Smith, sous-commissaire de l’Information Commissioner’s Office
(organisme britannique équivalent de la Cnil), a déclaré que la fréquence
croissante et l’ampleur de ces incidents est un fait très préoccupant. «
Quelles mesures avaient été mises en place pour protéger ces données ? [...]
Nous espérons que le Home Office transmettra à l’Information Commissioner’s
Office le rapport d’enquête interne. ». « Les données personnelles — y compris
celles de détenus — doivent en permanence bénéficier de la sécurisation
[prévue par la loi]. »

    Il y a quelques jours une analyse portant sur la période avril 2007/avril
2008 concluait que plus de quatre millions de personnes seraient affectées par
les pertes de données personnelles imputables aux pouvoirs publics [7].

    Le PA consulting group, responsable de l’incident précédent, avait été
retenu par le ministère britannique de l’Intérieur pour le conseiller sur son
ambitieux projet de carte nationale d’identité, et sur l’élargissement de
l’actuelle base de données ADN, qui est déjà la première au monde rapportée à
la population [8]. _______________________

    Le ministère britannique de la Justice est une passoire  [9]

    [19 août 2008] - Neuf incidents pour plus de 45 000 données personnelles
égarées : c’est le triste bilan 2007 du ministère de la Justice britannique en
matière de protection de ses fichiers. Selon le rapport financier publié ce
mois-ci par l’institution (pages 36 à 39), l’incident le plus important a eu
lieu en juin 2007 avec la disparition de 27 000 fiches intégrant, outre le nom
et l’adresse, des références bancaires. En cause, des systèmes de stockage mal
protégés.

    Selon le rapport, les données qui auraient transité par un prestataire
externe, n’ont pas été dérobées… mais ont été montrées à un journaliste. Le
gouvernement assure les avoir récupérées dans leur intégralité. Voilà les
sujets de sa majesté rassurés !

    Le plus grave réside dans le manque de réaction de l’administration. En
janvier dernier, 14 000 éléments ont de nouveau été accessibles, cette fois
concernant des données liées à des délits, certaines intégrant des
informations de la sécurité sociale. Un ordinateur portable perdu et jugé a
posteriori mal protégé est à l’origine de l’incident. Le ministère s’est
engagé à mettre en place un programme spécifique de protection et
d’information du public. _______________________

    Perte de deux disques contenant les données personnelles de 25 millions de
Britanniques

    Panique en Grande-Bretagne : le 20 novembre 2007, le gouvernement
britannique reconnaissait la perte de deux disques contenant les données
personnelles (identités, adresses, numéros de compte en banque, de sécurité
sociale...) de 25 millions de personnes ; envoyés par courrier ils ne sont
jamais arrivés à destination.

    Cela concerne les 7 millions de familles bénéficiaires des allocations
familiales. Exposées à la fraude bancaire elles sont priées de surveiller
leurs comptes bancaires [10].

Notes

[1] Référence : http://www.spiegel.de/netzwelt/web/0,1518,druck-561461,00.html

[2] Référence : AFP le 1er mai 2008.

[3] Voir scandale au ministère de l’éducation nationale : base élèves 1er
degré n’était pas sécurisée !

[4] D’après Le Monde des 15 et 16 mars 2008.

[5] Isabelle Mandraud, « Petits arrangements privés », Le Monde du 28 juin
2008.

[6] Référence : http://news.bbc.co.uk/1/hi/uk/75757...

[7] Référence : http://news.bbc.co.uk/2/hi/uk_news/...

[8] Référence : The Associated Press - 22/08/08 à 03:36:09.

[9] Référence : http://www.lemagit.fr/article/secur....

[10] Voir mais où sont donc passées les données personnelles de 25 millions de
Britanniques ?

_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l