La commission des Lois du Sénat expertise actuellement la proposition de loi relative à la protection de l’identité, présentée par MM. Jean-René LECERF et Michel HOUEL. Mardi 1^er mars 2011, nous étions auditionnés pour commenter ce texte.

Celle-ci vise d’abord à créer un cadre juridique pour la future carte d’identité électronique, qu’elle harmonise avec celle du passeport électronique.

En outre, dans son article 3, elle prévoit la possibilité sous le contrôle du porteur de la carte, d’intégrer des outils d’identification et de signature électroniques, en vue d’un usage sur Internet.

Enfin, son article 7 prévoit une aggravation des sanctions prévues pour les atteintes aux systèmes de traitement automatisé de données à caractère personnel opérés par l’Etat, donc en particulier le traitement de données qui sera constitué pour administrer la délivrance de ces documents, mais aussi toutes les autres bases de données personnelles de l’Etat.

Nous développions déjà dans notre ouvrage l’histoire des différents projets de création d’un document d’identité à puce en France et ses enjeux. Ainsi, outre l’intérêt en matière de sécurisation du document d’identité par l’introduction d’un composant électronique, nous avons développé les différents usages nouveaux qui pourront être envisagés et avons pu échanger avec les membres de la commission présents sur les avantages et les inconvénients des différentes solutions envisagées.

L’article 2 de ce projet de loi prévoit une nouvelle incrimination pour certaines formes d’usurpation d’identité commises sur les réseaux de communications électroniques. Le texte issu du vote d’aujourd’hui est le suivant:

Art. 222-16-1. – Le fait de faire usage, de manière réitérée, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou dedonnées de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération.

[...] La suite ici.

Au programme:

• Vols d’identité (Myriam Quémener);
• Les sites Web sont-ils de vrais gruyères (Damien Bancal, Zataz);
• Données de santé, données sensibles (Nicolas Samarcq, Lexagone);
• Notariat, protection des données personnelles et dématérialisation totale des actes (Xavier Leclerc, CIL du notariat, Didier Lefevre, DSI du Conseil Supérieur du Notariat (CSN));
• Donne-t-on vraiment les moyens au CIL d’être efficace ? (Aurélie Goyer, Cnam);
• L’identité à l’ère numérique (Guillaume Desgens-Pasanau, CNIL et Eric Freyssinet, DGGN);
• Faut-il craindre le ciblage comportemental ?(Alain SANJAUME, Wunderloop);
• Et si nous devions rendre publiques les violations de données ? (Bernard Foray, Groupe Casino);
• De nouveaux territoires à conquérir pour le CIL : l’exemple de la généalogie successorale (Laurent Glandais);
• CIL et CADA d’une très grande ville (François-Xavier Nivette, Mairie de Paris).

Notre intervention, autour des thèmes du livre « L’identité à l’ère numérique » a porté sur deux thématiques:

• Les enjeux et les évolutions de l’informatique et des libertés,
• L’identification des internautes et les traces qui doivent être conservées par les entreprises.

Global Security Mag a notamment rendu compte de l’intervention de Guillaume Desgens-Pasanau dans cet article.

Intitulé « e-Liberté, e-Sécurité », le débat est ainsi introduit par PRESAJE:

Techniques biométriques, réseaux sociaux… Autant de technologies qui favorisent la collecte et l’exploitation de nos données personnelles. Autant de risques de vols d’identité ou d’images. Comment les maîtriser, se garantir, concilier vie privée et liberté d’expression, instituer un droit personnel à l’oubli ?

Au programme:

• M. le Bâtonnier Jean CASTELAIN, introduction ;
• MM. Guillaume DESGENS-PASANAU et Eric FREYSSINET, pour la présentation de l’ouvrage « L’identité à l’ère numérique » ;
• Débat sur les thématiques de la soirée, sous la modération de M. Michel ROUGER, président de l’Institut PRESAJE:
  • M. Emmanuel BINOCHE, premier vice-président au tribunal de grande instance de Paris,
  • Me Christiane FERAL-SCHUHL, avocat au barreau de Paris, spécialiste en droit des technologies de l’information,
  • M. Jean-Luc GIROT, directeur du consulting, Keyrus,
  • M. Hervé SCHAUER, président Hervé Schauer Consultants, expert en sécurité informatique,
• M. Jean-Marie COTTERET, professeur émérite de l’université Paris-Sorbonne, conclusion.

Pour toute information sur l’inscription à ce colloque, merci de contacter PRESAJE: 01.46.51.12.21 – www.presaje.com – contact@presaje.com

Jusqu’à l’informatisation de nos sociétés, l’oubli était une contrainte de la mémoire humaine. Avec l’informatisation, l’oubli n’existe plus. Les capacités de la mémoire informatique sont aujourd’hui telles que la durée de conservation d’une information dépasse, de loin, la durée de la vie humaine. Ce tout savoir des machines peut ainsi devenir, potentiellement, un véritable livret social virtuel et, pour certains, un passeport pour l’exclusion.

Plusieurs initiatives parlementaires, telle celle des sénateurs Détraigne et Escoffier (rapport sur la vie privée à l’heure des mémoires numériques et une proposition de loi), ont récemment attiré l’attention sur la problématique du droit à l’oubli sur internet. De même, le Secrétariat d’Etat en charge du développement de l’économie numérique organise cette semaine un atelier sur le droit à l’oubli numérique.

Internet se caractérise par la possibilité offerte à toute personne de mettre en ligne du contenu informationnel facilement accessible, au plan mondial, depuis n’importe quel ordinateur connecté. Le développement fulgurant des blogs et des réseaux sociaux est, de ce point de vue, symptomatique : celui qui verra sa candidature à un emploi rejetée pourra se demander s’il n’aurait pas, par hasard, laissé de lui un portrait un peu trop fantaisiste quelque part sur un site…

Les moteurs de recherche jouent, sur ce chapitre, un rôle primordial en étant le premier point de contact pour accéder à l’information sur Internet. Combien de siècles faudrait-il à un individu pour rechercher dans tous les livres entreposés à la BNF le nom de quelqu’un ? Le même résultat peut aujourd’hui être obtenu sur Internet en interrogeant un moteur de recherche. En tapant son nom, on sait en moins d’une seconde quelles sont les pages parmi les milliards présentes sur le Web qui contiennent le nom de cette personne.

En contrepoint, les récentes initiatives parlementaires plaident pour l’institution d’un droit à l’oubli sur Internet. En réalité, ce droit a l’oubli est consacré en France depuis plus de 30 ans par la loi informatique et libertés du 6 janvier 1978 modifiée. Ce même droit à l’oubli est également consacré au niveau européen dans une directive du 24 octobre 1995, transposée en France le 6 août 2004.

En application de ces textes, tout responsable de traitement a obligation de définir techniquement une durée de conservation précise des données personnelles qu’il détient sur ses utilisateurs, durée à l’issue de laquelle l’information est détruite. Toute personne dispose également du droit de demander à ce que les données qui la concerne soient effacées d’un fichier. Le non-respect de ces obligations est pénalement sanctionné.

Si l’on ne peut que se féliciter de la prise de conscience, par la classe politique, des enjeux induits par le développement des technologies numériques en termes de protection de la vie privée, force est de constater que les outils juridiques existent déjà.

En réalité, le problème se situe moins dans l’absence de règles que dans le manque d’effectivité de celles qui préexistent. Bien qu’anciennes, ces règles sont en effet encore fort méconnues tant des citoyens eux-mêmes que de la part des responsables de traitements ou  des professions judiciaires en charge de les appliquer.

Autre exemple : la CNIL et ses homologues européens considèrent depuis plusieurs années que la réglementation informatique et libertés s’applique à certains traitements effectués par des entreprises situées en dehors de l’Union européenne, en particulier aux Etats-Unis. Cette analyse est contestée par certains moteurs de recherche établis aux Etats-Unis, concernant la durée de conservation des clés de recherche saisies par les utilisateurs et conservées aux fins de définir des profils marketing. Ce point illustre la nécessité d’une approche commune, au plan international, sur les questions de protection des données.

Des solutions existent : lors de la Conférence mondiale des Commissaires à la protection des données qui s’est tenue à Madrid le 6 novembre 2009, les représentants de près de 80 autorités nationales de protection des données ont, à l’unanimité, voté une résolution visant à établir des standards internationaux sur la protection des données personnelles et de la vie privée. Il s’agit d’un premier pas essentiel attendu depuis plusieurs années, tant par les organisations de défense des libertés que par les entreprises. Des initiatives individuelles sont également prises par les professionnels, tel que la mise en œuvre la semaine dernière par Google de son application Dashboard qui permet aux utilisateurs de supprimer certaines informations personnelles emmagasinées par le moteur de recherche.

Ainsi que l’indique le rapport des sénateurs Détraigne et Escoffier, Internet se révèle par ailleurs être un terrain mal adapté à l’exercice des droits reconnus par la loi informatique et libertés. Par exemple, le droit d’opposition ne permet pas à un individu, en l’état des textes, de demander l’effacement de données le concernant qu’auraient rendues publiques, via un réseau social, un ami, un collègue ou un parent. En justice, d’autres qualifications juridiques existent par ailleurs et pourraient néanmoins être utilisées en vue de protéger la personne concernée.

Surtout, il faut rappeler que droit à l’oubli ne signifie pas droit à l’anonymat. Toute utilisation d’internet génère, sur le plan technique, des traces. En France, les opérateurs de communications électroniques sont par exemple tenus de conserver pendant un an, aux fins des enquêtes judiciaires, ces traces  techniques (notamment l’adresse IP) nécessaires à l’identification de quiconque à contribué à la création d’un contenu diffusé sur Internet à destination du public. En revanche, ces mêmes opérateurs ont l’interdiction formelle de conserver le contenu des correspondances échangées ou des informations consultées, interdiction qui ne s’impose pas, en l’état des textes, aux autres acteurs de l’internet.

En réalité, au-delà des questions juridiques, l’enjeu n’est-il pas aussi d’assurer une meilleure sensibilisation de tous les acteurs et notamment les utilisateurs eux-mêmes (en particulier les plus jeunes), et de les encourager à plus de modération dans les informations qu’ils rendent délibérément publiques sur internet ? Si la loi informatique et libertés a été instaurée, il y a si longtemps, pour protéger les personnes contre le fichage abusif par les administrations ou par les entreprises, faudra-t-il désormais qu’elle les protège également contre elles-mêmes ?

Guillaume Desgens-Pasanau

Les parlementaires et le gouvernement veulent mieux protéger les données personnelles. La prudence de l’internaute reste essentielle.[...] « Il faut d’abord encourager les gens à être prudents », estime donc Guillaume Desgens-Pasanau, co-auteur de L’identité à l’ère numérique : « ils doivent se protéger contre eux-mêmes. »

Un extrait:

Finalement, l’un des pièges les plus pervers de l’identité numérisée reste l’absence de droit à l’oubli. Que font les autorités pour effacer cette mémoire diabolique, collectée la plupart du temps à notre insu ? [...]