Dernières publications

Deux nouveaux livres !

Les auteurs de l’Identité à l’ère numérique publient chacun un nouveau livre en cette rentrée:

  • Guillaume Desgens-Pasanau propose un ouvrage de référence sur la législation informatique et libertés: La protection des données à caractère personnel, Editions Lexis-Nexis, sorti le 22 août 2012, ISBN 978-2711016839 (plus d’information sur le site de l’éditeur)
  • Éric Freyssinet partage son regard sur la cybercriminalité aujourd’hui: La cybercriminalité en mouvement, Éditions Hermes Science – Lavoisier, qui sortira le 21 septembre 2012, ISBN: 978-2746232884 (plus d’information sur le blog du livre)

Le conseil constitutionnel censure la loi sur la protection de l’identité

Dans sa décision n° 2012-652 du 22 mars 20012, le Conseil constitutionnel a jugé que la création d’un traitement de données à caractère personnel destiné à préserver l’intégrité des données nécessaires à la délivrance des titres d’identité et de voyage permet de sécuriser la délivrance de ces titres et d’améliorer l’efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d’intérêt général.

Pour autant, la possibilité d’utiliser les données figurant dans le traitement biométrique à des fins de police judiciaire ou administrative a été censurée. Selon le Conseil constitutionnel, eu égard à la nature des données enregistrées, à l’ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, le Conseil constitutionnel a jugé que l’article 5 de la loi déférée a porté au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Il a en conséquence censuré les articles 5 et 10 de la loi déférée et par voie de conséquence, le troisième alinéa de l’article 6, l’article 7 et la seconde phrase de l’article 8.

Par ailleurs, le Conseil constitutionnel a examiné l’article 3 de la loi qui conférait une fonctionnalité nouvelle à la carte nationale d’identité. Cet article ouvrait la possibilité que cette carte contienne des « données » permettant à son titulaire de mettre en oeuvre sa signature électronique, ce qui la transformait en outil de transaction commerciale. Le Conseil a relevé que la loi déférée ne précisait ni la nature des « données » au moyen desquelles ces fonctions pouvaient être mises en oeuvre ni les garanties assurant l’intégrité et la confidentialité de ces données. La loi ne définissait pas davantage les conditions d’authentification des personnes mettant en oeuvre ces fonctions, notamment pour les mineurs. Le Conseil a en conséquence jugé que la loi, faute de ces précisions, avait méconnu l’étendue de sa compétence. Il a censuré l’article 3 de la loi. 

Le Parlement français adopte la carte d’identité biométrique

L’Assemblée nationale vient d’adopter le 6 mars 2012 la proposition de loi présentée en juillet 2010 par les sénateurs Jean-René Lecerf et Michel Houel visant à lutter contre les usurpations d’identité au moyen de la création d’une carte d’identité biométrique et d’un fichier central regroupant les empreintes digitales de l’ensemble des titulaires d’une carte d’identité biométrique.

La nouvelle carte d’identité sera munie de deux puces électroniques: la première contiendra toutes les données relatives au titulaire de la carte (état civil, adresse, taille, couleur des yeux, empreintes digitales etc.), la seconde, facultative, servira de signature électronique sur internet pour des échanges commerciaux et administratifs.

Nous avions été auditionné au Sénat il y a quelques mois au sujet de ce projet et nous avions présenté les éléments d’analyse figurant dans notre ouvrage « L’identité à l’ère numérique ».

Lors de notre audition, nous avions évoqué l’opportunité de la création d’un fichier national permettant à certains opérateurs économiques, lors d’une entrée en relations contractuelles, de vérifier que la pièce d’identité présentée n’a pas été déclarée perdue ou volée par le porteur légitime du titre. Le texte adopté hier a validé la mise en oeuvre d’un tel dispositif.

Le groupe parlementaire socialiste a annoncé qu’il allait soumettre le texte de loi à la censure du Conseil constitutionnel.

Dossier législatif (site de l’Assemblée nationale).

Proposition de loi relative à la protection de l’identité

La commission des Lois du Sénat expertise actuellement la proposition de loi relative à la protection de l’identité, présentée par MM. Jean-René LECERF et Michel HOUEL. Mardi 1er mars 2011, nous étions auditionnés pour commenter ce texte.

Celle-ci vise d’abord à créer un cadre juridique pour la future carte d’identité électronique, qu’elle harmonise avec celle du passeport électronique.

En outre, dans son article 3, elle prévoit la possibilité sous le contrôle du porteur de la carte, d’intégrer des outils d’identification et de signature électroniques, en vue d’un usage sur Internet.

Enfin, son article 7 prévoit une aggravation des sanctions prévues pour les atteintes aux systèmes de traitement automatisé de données à caractère personnel opérés par l’Etat, donc en particulier le traitement de données qui sera constitué pour administrer la délivrance de ces documents, mais aussi toutes les autres bases de données personnelles de l’Etat.

Nous développions déjà dans notre ouvrage l’histoire des différents projets de création d’un document d’identité à puce en France et ses enjeux. Ainsi, outre l’intérêt en matière de sécurisation du document d’identité par l’introduction d’un composant électronique, nous avons développé les différents usages nouveaux qui pourront être envisagés et avons pu échanger avec les membres de la commission présents sur les avantages et les inconvénients des différentes solutions envisagées.

Usurpation d’identité en ligne (LOPPSI)

Il y a quelques semaines E. Freyssinet discutait de la création dans le projet de loi LOPPSI d’une infraction d’usurpation de l’identité en ligne (article complet ici), extrait :

L’article 2 de ce projet de loi prévoit une nouvelle incrimination pour certaines formes d’usurpation d’identité commises sur les réseaux de communications électroniques. Le texte issu du vote d’aujourd’hui est le suivant:

Art. 222-16-1. – Le fait de faire usage, de manière réitérée, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou dedonnées de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération.

[…] La suite ici.

Revue de presse : CIO-ONLINE

Un court billet pour référencer un article qui présente le livre « L’identité à l’ère numérique » sur la publication CIO-ONLINE, Management des systèmes d’information, sous le titre: « Que devient l’individualité dans une société numérique ?« .

4ème Université des correspondants informatiques et liberté

L’Association française des correspondants aux données personnelles (AFCDP) organisait le 4 février 2010 à l’Institut supérieur d’électronique de Paris (ISEP) sa 4ème université des correspondants informatique et liberté.

Au programme:

  • Vols d’identité (Myriam Quémener);
  • Les sites Web sont-ils de vrais gruyères (Damien Bancal, Zataz);
  • Données de santé, données sensibles (Nicolas Samarcq, Lexagone);
  • Notariat, protection des données personnelles et dématérialisation totale des actes (Xavier Leclerc, CIL du notariat, Didier Lefevre, DSI du Conseil Supérieur du Notariat (CSN));
  • Donne-t-on vraiment les moyens au CIL d’être efficace ? (Aurélie Goyer, Cnam);
  • L’identité à l’ère numérique (Guillaume Desgens-Pasanau, CNIL et Eric Freyssinet, DGGN);
  • Faut-il craindre le ciblage comportemental ?(Alain SANJAUME, Wunderloop);
  • Et si nous devions rendre publiques les violations de données ? (Bernard Foray, Groupe Casino);
  • De nouveaux territoires à conquérir pour le CIL : l’exemple de la généalogie successorale (Laurent Glandais);
  • CIL et CADA d’une très grande ville (François-Xavier Nivette, Mairie de Paris).

Notre intervention, autour des thèmes du livre « L’identité à l’ère numérique » a porté sur deux thématiques:

  • Les enjeux et les évolutions de l’informatique et des libertés,
  • L’identification des internautes et les traces qui doivent être conservées par les entreprises.

Global Security Mag a notamment rendu compte de l’intervention de Guillaume Desgens-Pasanau dans cet article.

Débat à la Maison du Barreau

L’institut PRESAJE, qui a publié notre ouvrage en partenariat avec les éditions Dalloz, et le Barreau de Paris organisent un débat à l’auditorium de la Maison du Barreau le jeudi 11 février 2010 de 18h à 20h.

Intitulé « e-Liberté, e-Sécurité », le débat est ainsi introduit par PRESAJE:

Techniques biométriques, réseaux sociaux… Autant de technologies qui favorisent la collecte et l’exploitation de nos données personnelles. Autant de risques de vols d’identité ou d’images. Comment les maîtriser, se garantir, concilier vie privée et liberté d’expression, instituer un droit personnel à l’oubli ?

Au programme:

  • M. le Bâtonnier Jean CASTELAIN, introduction ;
  • MM. Guillaume DESGENS-PASANAU et Eric FREYSSINET, pour la présentation de l’ouvrage « L’identité à l’ère numérique » ;
  • Débat sur les thématiques de la soirée, sous la modération de M. Michel ROUGER, président de l’Institut PRESAJE:
    • M. Emmanuel BINOCHE, premier vice-président au tribunal de grande instance de Paris,
    • Me Christiane FERAL-SCHUHL, avocat au barreau de Paris, spécialiste en droit des technologies de l’information,
    • M. Jean-Luc GIROT, directeur du consulting, Keyrus,
    • M. Hervé SCHAUER, président Hervé Schauer Consultants, expert en sécurité informatique,
  • M. Jean-Marie COTTERET, professeur émérite de l’université Paris-Sorbonne, conclusion.

Pour toute information sur l’inscription à ce colloque, merci de contacter PRESAJE: 01.46.51.12.21 – www.presaje.com – contact@presaje.com

Le droit à l’oubli existe-t-il sur internet ? (G. Desgens-Pasanau)

Guillaume Desgens-Pasanau publie une réflexion sur le droit à l’oubli sur Internet, le 27/11 sur les Echos.fr et en extrait dans les Echos.

Jusqu’à l’informatisation de nos sociétés, l’oubli était une contrainte de la mémoire humaine. Avec l’informatisation, l’oubli n’existe plus. Les capacités de la mémoire informatique sont aujourd’hui telles que la durée de conservation d’une information dépasse, de loin, la durée de la vie humaine. Ce tout savoir des machines peut ainsi devenir, potentiellement, un véritable livret social virtuel et, pour certains, un passeport pour l’exclusion.

Plusieurs initiatives parlementaires, telle celle des sénateurs Détraigne et Escoffier (rapport sur la vie privée à l’heure des mémoires numériques et une proposition de loi), ont récemment attiré l’attention sur la problématique du droit à l’oubli sur internet. De même, le Secrétariat d’Etat en charge du développement de l’économie numérique organise cette semaine un atelier sur le droit à l’oubli numérique.

Internet se caractérise par la possibilité offerte à toute personne de mettre en ligne du contenu informationnel facilement accessible, au plan mondial, depuis n’importe quel ordinateur connecté. Le développement fulgurant des blogs et des réseaux sociaux est, de ce point de vue, symptomatique : celui qui verra sa candidature à un emploi rejetée pourra se demander s’il n’aurait pas, par hasard, laissé de lui un portrait un peu trop fantaisiste quelque part sur un site…

Les moteurs de recherche jouent, sur ce chapitre, un rôle primordial en étant le premier point de contact pour accéder à l’information sur Internet. Combien de siècles faudrait-il à un individu pour rechercher dans tous les livres entreposés à la BNF le nom de quelqu’un ? Le même résultat peut aujourd’hui être obtenu sur Internet en interrogeant un moteur de recherche. En tapant son nom, on sait en moins d’une seconde quelles sont les pages parmi les milliards présentes sur le Web qui contiennent le nom de cette personne.

En contrepoint, les récentes initiatives parlementaires plaident pour l’institution d’un droit à l’oubli sur Internet. En réalité, ce droit a l’oubli est consacré en France depuis plus de 30 ans par la loi informatique et libertés du 6 janvier 1978 modifiée. Ce même droit à l’oubli est également consacré au niveau européen dans une directive du 24 octobre 1995, transposée en France le 6 août 2004.

En application de ces textes, tout responsable de traitement a obligation de définir techniquement une durée de conservation précise des données personnelles qu’il détient sur ses utilisateurs, durée à l’issue de laquelle l’information est détruite. Toute personne dispose également du droit de demander à ce que les données qui la concerne soient effacées d’un fichier. Le non-respect de ces obligations est pénalement sanctionné.

Si l’on ne peut que se féliciter de la prise de conscience, par la classe politique, des enjeux induits par le développement des technologies numériques en termes de protection de la vie privée, force est de constater que les outils juridiques existent déjà.

En réalité, le problème se situe moins dans l’absence de règles que dans le manque d’effectivité de celles qui préexistent. Bien qu’anciennes, ces règles sont en effet encore fort méconnues tant des citoyens eux-mêmes que de la part des responsables de traitements ou  des professions judiciaires en charge de les appliquer.

Autre exemple : la CNIL et ses homologues européens considèrent depuis plusieurs années que la réglementation informatique et libertés s’applique à certains traitements effectués par des entreprises situées en dehors de l’Union européenne, en particulier aux Etats-Unis. Cette analyse est contestée par certains moteurs de recherche établis aux Etats-Unis, concernant la durée de conservation des clés de recherche saisies par les utilisateurs et conservées aux fins de définir des profils marketing. Ce point illustre la nécessité d’une approche commune, au plan international, sur les questions de protection des données.

Des solutions existent : lors de la Conférence mondiale des Commissaires à la protection des données qui s’est tenue à Madrid le 6 novembre 2009, les représentants de près de 80 autorités nationales de protection des données ont, à l’unanimité, voté une résolution visant à établir des standards internationaux sur la protection des données personnelles et de la vie privée. Il s’agit d’un premier pas essentiel attendu depuis plusieurs années, tant par les organisations de défense des libertés que par les entreprises. Des initiatives individuelles sont également prises par les professionnels, tel que la mise en œuvre la semaine dernière par Google de son application Dashboard qui permet aux utilisateurs de supprimer certaines informations personnelles emmagasinées par le moteur de recherche.

Ainsi que l’indique le rapport des sénateurs Détraigne et Escoffier, Internet se révèle par ailleurs être un terrain mal adapté à l’exercice des droits reconnus par la loi informatique et libertés. Par exemple, le droit d’opposition ne permet pas à un individu, en l’état des textes, de demander l’effacement de données le concernant qu’auraient rendues publiques, via un réseau social, un ami, un collègue ou un parent. En justice, d’autres qualifications juridiques existent par ailleurs et pourraient néanmoins être utilisées en vue de protéger la personne concernée.

Surtout, il faut rappeler que droit à l’oubli ne signifie pas droit à l’anonymat. Toute utilisation d’internet génère, sur le plan technique, des traces. En France, les opérateurs de communications électroniques sont par exemple tenus de conserver pendant un an, aux fins des enquêtes judiciaires, ces traces  techniques (notamment l’adresse IP) nécessaires à l’identification de quiconque à contribué à la création d’un contenu diffusé sur Internet à destination du public. En revanche, ces mêmes opérateurs ont l’interdiction formelle de conserver le contenu des correspondances échangées ou des informations consultées, interdiction qui ne s’impose pas, en l’état des textes, aux autres acteurs de l’internet.

En réalité, au-delà des questions juridiques, l’enjeu n’est-il pas aussi d’assurer une meilleure sensibilisation de tous les acteurs et notamment les utilisateurs eux-mêmes (en particulier les plus jeunes), et de les encourager à plus de modération dans les informations qu’ils rendent délibérément publiques sur internet ? Si la loi informatique et libertés a été instaurée, il y a si longtemps, pour protéger les personnes contre le fichage abusif par les administrations ou par les entreprises, faudra-t-il désormais qu’elle les protège également contre elles-mêmes ?

Guillaume Desgens-Pasanau

(Les Echos) Comment effacer nos traces sur Internet

Jacques Henno publie aujourd’hui dans les Échos un article qui fait le point sur le sujet des traces laissées sur Internet par les usagers des réseaux sociaux et autres médias ouverts, en forme d’introduction aux débats de l’atelier organisé par Nathalie Kosciusko-Morizet ce jeudi, et dans lequel il cite notre ouvrage.