21 Mars 2010
La lettre de novembre 2009
- [SPÉCIAL SÉCURITÉ] La sécurité du SI se fait à moindre coût et sans complexes
- [SPÉCIAL SÉCURITÉ] Le casse-tête des RSSI
- [SPÉCIAL SÉCURITÉ - AVIS D'EXPERT] L'usurpation d'identité numérique devient une nouvelle infraction
- [AVIS D’EXPERT] La nécessaire mise à niveau des systèmes de paiements actuels
- [UTILISATEURS] Cegid prend le cap du secteur de la distribution
- [E-ADMINISTRATION] Décoder les enjeux de la dématérialisation des processus
- [SERVICES] Quelsoft compare plus de 2000 progiciels et trouve les meilleurs prestataires informatique
- [SAVOIRS] A chacun son clavier
- [PROFIL] Ils changent de poste en octobre 2009
- [MEILLEURE PRATIQUE] Canelle Lingerie teste ses applications Retail
- [MEILLEURE PRATIQUE] La MAE garde le contact e-mail avec ses adhérents
- [MEILLEURE PRATIQUE] L'INA fait face aux pics de connexion
- [MEILLEURE PRATIQUE] JM Bruneau prépare ses commandes avec du vocal
- [MEILLEURE PRATIQUE] Le CHU de Grenoble déploie une solution de communications unifiées
Archives
|
|
[SPÉCIAL SÉCURITÉ - AVIS D'EXPERT] L'usurpation d'identité numérique devient une nouvelle infraction
Dossier - la lettre de novembre 2009
LA PROTECTION DE SON PATRIMOINE NUMERIQUE SERA D'ABORD L'AFFAIRE DE CHAQUE INTERNAUTE En considérant l'usurpation d'identité numérique comme une infraction, le projet de loi Loppsi (reporté en 2010) introduit l'idée que l'internaute est propriétaire de son identité en ligne.
Sans attendre le législateur, les technologies permettent dès aujourd'hui à l'internaute de retrouver la maîtrise de son patrimoine numérique, c'est à dire de l'ensemble des informations à caractère personnel qu'il met à disposition sur la toile en échange de services.
Par Isabelle Mounier, Responsable juridique et Correspondant Informatique et Libertés, Symeos (lire en fin de texte).
Sans attendre le législateur, les technologies permettent dès aujourd'hui à l'internaute de retrouver la maîtrise de son patrimoine numérique, c'est à dire de l'ensemble des informations à caractère personnel qu'il met à disposition sur la toile en échange de services.
Par Isabelle Mounier, Responsable juridique et Correspondant Informatique et Libertés, Symeos (lire en fin de texte).
Au printemps 2009, la ministre de l'intérieure Michèle Alliot-Marie faisait renaitre de ses cendres un projet de loi élaboré deux ans plus tôt et visant à sanctionner plus durement l'usurpation d'identité sur Internet. Avec ce texte, qui devrait être soumis au parlement d'ici juin 2010, l'usurpation d'identité numérique ne serait plus une simple circonstance aggravante d'un autre délit mais une nouvelle infraction : utilisation frauduleuse de données à caractère personnel de tiers sur un réseau de télécommunication. Si cet intitulé "à large spectre" souligne plus qu'il ne résout le flou juridique qui subsiste autour de la notion d'identité numérique, tout son intérêt est d'introduire pour la première fois une notion de propriété des données personnelles.
Pour la première fois, un texte de loi prend en compte les différences fondamentales qui existent entre l'identité officielle d'un individu et ses identités numériques. Là où l'identité officielle est attribuée, de façon unique et sans pouvoir être changée, par une autorité publique, l'identité numérique relève du mode déclaratif. L'internaute est seul responsable de l'identité numérique sous laquelle il choisit d'apparaître, que celle-ci corresponde ou non à une réalité. Il peut en outre déclarer autant d'identités numériques qu'il le souhaite sans que celles-ci aient un lien les unes par rapport aux autres. Limité dans la vie réelle à quelques situations particulières, l'usage d'un pseudonyme est non seulement une habitude mais aussi une nécessité dans le monde numérique. C'est par ce moyen que l'espace Internet reproduit l'un des fondements de nos modes de vie contemporains, la possibilité d'aller et venir en tout anonymat. Dans la vie réelle, et à de rares exceptions, nous pouvons en effet choisir quand et à qui nous la déclinons, et pour quel motif.
Lorsque nous entrons dans un magasin par exemple, le vendeur ne demande pas une pièce d'identité avant d'accéder aux rayons. Il le fera, éventuellement, au moment du règlement de l'achat et sous certaines conditions seulement. La comparaison avec le monde numérique met en évidence la deuxième différence essentielle entre l'identité officielle et les identités numériques. Là où la première est avant tout un acte administratif sans autre finalité que de vous identifier, la formation d'une identité numérique auprès d'un fournisseur de services s'effectue toujours dans l'objectif d'accéder à un service en ligne fourni par un tiers. La création d'une identité numérique est donc créatrice de valeur pour celui qui la créé et celui qui l'exploite. Ou plus exactement, l'acte par lequel l'internaute fournit une identité permettant au fournisseur d'un service en ligne d'établir avec lui une relation personnalisée est créateur de valeur.
Dans le magasin, le vendeur vous demande immanquablement dès votre entrée si vous cherchez quelque chose en particulier. Son but, vous orienter vers le ou les produits que vous seriez le plus susceptible d'acheter effectivement. Si vous le décidez, les informations personnelles que vous allez lui fournir, par exemple, que vous cherchez un pull pour votre fils de 10 ans avant de partir au ski, seront utilisées par ce vendeur pour réaliser son objectif. Cet échange d'information créé un contrat tacite entre vous et le vendeur, aux termes duquel les informations personnelles que vous fournirez seront utilisées dans un objectif commercial. En ligne, l'objectif n'est pas différent, même lorsque le service est en libre accès. Les informations personnelles fournies seront, directement ou indirectement, génératrices de valeur économique. La différence majeure réside dans le fait que ces informations sont transmises non pas au cours d'une brève conversation mais par écrit.
Stockée sous la forme permanente de l'écrit, l'information personnelle prend automatiquement de la valeur parce qu'elle est facilement réutilisable et surtout cessible. Pour reprendre notre exemple dans la vie réelle, ce que vous aurez confié au vendeur du magasin lui servira peut-être, la prochaine fois, à vous proposer des articles mieux adaptés à vos goûts. La connaissance de ses clients est essentielle pour que ce vendeur puisse atteindre ses objectifs, mais elle lui est propre. Ce que vous lui avez confié restera à peu près entre vous et lui. En ligne en revanche, les informations personnelles sous forme écrite sont instantanément réutilisables en dehors de votre contrôle par un simple traitement informatique. Ce que vous avez confié est accessible à toute personne ayant accès au système d'information du fournisseur de service en ligne. Par comparaison, c'est un peu comme si le vendeur, après vous avoir vu, rédigeait une note de service à l'attention de tout le magasin expliquant que Mr Dupont a un fils de 10 ans et qu'il va partir au ski à la fin du mois. Derrière son apparente absurdité, cet exemple montre bien l'effet de loupe que les technologies informatiques autorisent en matière de manipulation des données personnelles.
Il ne s'agit évidemment pas de condamner le commerçant en ligne parce qu'il fait précisément bien son métier, réaliser la meilleure vente possible en apprenant à connaître son client. Et cela d'autant plus qu'en France, l'usage des données personnelles est bien encadré par la loi Informatique et Libertés, que la CNIL a su faire évoluer au fil des avancées technologiques. En revanche, l'apparition dans le code pénal d'une infraction d'usurpation frauduleuse d'identité constitue une opportunité, aussi bien pour les internautes que pour les fournisseurs de services, de réfléchir plus avant sur les limites de propriété des données à caractère personnel et leurs règles d'utilisation. Cela est d'autant plus important dans un contexte d'interactions commerciales croissantes, offrant toujours plus de possibilité de croisement des données personnelles confiées indépendamment aux uns et aux autres par un même internaute. D'un point de vue réglementaire, la CNIL en France, et ses homologues en Europe ont déjà anticipé ce danger pour l'internaute et tentent d'harmoniser, à l'échelle européenne, les règles d'utilisation des données personnelles.
Mais l'initiative, dans ce domaine, ne doit pas forcément venir du législateur. Internautes et fournisseurs de service ont tout intérêt à prendre conscience par eux-mêmes de la valeur patrimoniale des informations personnelles qu'ils mettent à disposition ou manipulent, s'ils veulent conserver pour les uns, leur liberté et leur anonymat en ligne, et pour les autres, de réelles possibilités d'exploiter le patrimoine de leur fichier de clients.
L'internaute, dès lors qu'il sort de l'anonymat, représente une valeur économique quantifiable. L'enquête YouGov publiée le 5 mars 2008 par Verisign évalue à 5.000 euros en moyenne les actifs disponibles sur les comptes en ligne d'un internaute français.
Les technologies permettent aujourd'hui de franchir le pas et d'aller au delà d'une vision simplement sécuritaire de la protection du patrimoine numérique de l'internaute. Grâce aux avancées en matière de chiffrement et de calcul distribué, il est aujourd'hui possible de restituer à l'internaute la liberté de décider du lieu, du moment et de l'interlocuteur auquel il confie ses données personnelles. Avec ces techniques, l'internaute peut adopter sur chaque site une ou plusieurs identités numériques entièrement étanches les unes par rapport aux autres et constituées d'informations inexploitables hors de leur contexte parce que morcelées en divers endroits. Le risque de phishing est totalement éliminé, de même que la possibilité d'une utilisation hors contrôle des informations fournies. Face à la tentation de l'identité unique et infalsifiable qui ferait perdre à Internet une part notable de son attrait sans renforcer la protection de son patrimoine numérique, la technologie fournit aujourd'hui aux internautes une opportunité à saisir : reprendre le contrôle sur leurs informations personnelles et devenir pleinement acteur de la gestion de leur patrimoine numérique.
Isabelle Mounier a cofondé Symeos en 2005.
Titulaire d'un DEA en Droit des Affaires et d'un DESS en Droit de l'ingénierie financière, Isabelle Mounier travaillait auparavant pour la cellule Valorisation de la Recherche de l'Université Blaise Pascal à Clermont-Ferrand, chargée d'opérer des transferts de technologies entre les laboratoires de recherche et des industriels. Dans le passé elle a mis ses compétences au service de Busi, l'incubateur d'entreprises innovantes d'Auvergne (biotechnologies, NTIC et sciences de l'ingénieur) et de Avidis SA (devenue IMAXIO), une start up franco-anglaise en biotechnologie.
Depuis 1999 elle exerce aussi comme Chargée de cours de Droit Informatique auprès des étudiants de Master 2 Systèmes d'Information et aide à la décision et des étudiants en Statistiques et Traitement des données à l'Université Blaise Pascal de Clermont-Ferrand.
Les identités numériques, une autre réalité
Pour la première fois, un texte de loi prend en compte les différences fondamentales qui existent entre l'identité officielle d'un individu et ses identités numériques. Là où l'identité officielle est attribuée, de façon unique et sans pouvoir être changée, par une autorité publique, l'identité numérique relève du mode déclaratif. L'internaute est seul responsable de l'identité numérique sous laquelle il choisit d'apparaître, que celle-ci corresponde ou non à une réalité. Il peut en outre déclarer autant d'identités numériques qu'il le souhaite sans que celles-ci aient un lien les unes par rapport aux autres. Limité dans la vie réelle à quelques situations particulières, l'usage d'un pseudonyme est non seulement une habitude mais aussi une nécessité dans le monde numérique. C'est par ce moyen que l'espace Internet reproduit l'un des fondements de nos modes de vie contemporains, la possibilité d'aller et venir en tout anonymat. Dans la vie réelle, et à de rares exceptions, nous pouvons en effet choisir quand et à qui nous la déclinons, et pour quel motif.
L'internaute est créateur de valeur
Lorsque nous entrons dans un magasin par exemple, le vendeur ne demande pas une pièce d'identité avant d'accéder aux rayons. Il le fera, éventuellement, au moment du règlement de l'achat et sous certaines conditions seulement. La comparaison avec le monde numérique met en évidence la deuxième différence essentielle entre l'identité officielle et les identités numériques. Là où la première est avant tout un acte administratif sans autre finalité que de vous identifier, la formation d'une identité numérique auprès d'un fournisseur de services s'effectue toujours dans l'objectif d'accéder à un service en ligne fourni par un tiers. La création d'une identité numérique est donc créatrice de valeur pour celui qui la créé et celui qui l'exploite. Ou plus exactement, l'acte par lequel l'internaute fournit une identité permettant au fournisseur d'un service en ligne d'établir avec lui une relation personnalisée est créateur de valeur.
Les écrits restent
Dans le magasin, le vendeur vous demande immanquablement dès votre entrée si vous cherchez quelque chose en particulier. Son but, vous orienter vers le ou les produits que vous seriez le plus susceptible d'acheter effectivement. Si vous le décidez, les informations personnelles que vous allez lui fournir, par exemple, que vous cherchez un pull pour votre fils de 10 ans avant de partir au ski, seront utilisées par ce vendeur pour réaliser son objectif. Cet échange d'information créé un contrat tacite entre vous et le vendeur, aux termes duquel les informations personnelles que vous fournirez seront utilisées dans un objectif commercial. En ligne, l'objectif n'est pas différent, même lorsque le service est en libre accès. Les informations personnelles fournies seront, directement ou indirectement, génératrices de valeur économique. La différence majeure réside dans le fait que ces informations sont transmises non pas au cours d'une brève conversation mais par écrit.
L'effet de loupe des traitements informatisés
Stockée sous la forme permanente de l'écrit, l'information personnelle prend automatiquement de la valeur parce qu'elle est facilement réutilisable et surtout cessible. Pour reprendre notre exemple dans la vie réelle, ce que vous aurez confié au vendeur du magasin lui servira peut-être, la prochaine fois, à vous proposer des articles mieux adaptés à vos goûts. La connaissance de ses clients est essentielle pour que ce vendeur puisse atteindre ses objectifs, mais elle lui est propre. Ce que vous lui avez confié restera à peu près entre vous et lui. En ligne en revanche, les informations personnelles sous forme écrite sont instantanément réutilisables en dehors de votre contrôle par un simple traitement informatique. Ce que vous avez confié est accessible à toute personne ayant accès au système d'information du fournisseur de service en ligne. Par comparaison, c'est un peu comme si le vendeur, après vous avoir vu, rédigeait une note de service à l'attention de tout le magasin expliquant que Mr Dupont a un fils de 10 ans et qu'il va partir au ski à la fin du mois. Derrière son apparente absurdité, cet exemple montre bien l'effet de loupe que les technologies informatiques autorisent en matière de manipulation des données personnelles.
Redéfinir les limites de propriété
Il ne s'agit évidemment pas de condamner le commerçant en ligne parce qu'il fait précisément bien son métier, réaliser la meilleure vente possible en apprenant à connaître son client. Et cela d'autant plus qu'en France, l'usage des données personnelles est bien encadré par la loi Informatique et Libertés, que la CNIL a su faire évoluer au fil des avancées technologiques. En revanche, l'apparition dans le code pénal d'une infraction d'usurpation frauduleuse d'identité constitue une opportunité, aussi bien pour les internautes que pour les fournisseurs de services, de réfléchir plus avant sur les limites de propriété des données à caractère personnel et leurs règles d'utilisation. Cela est d'autant plus important dans un contexte d'interactions commerciales croissantes, offrant toujours plus de possibilité de croisement des données personnelles confiées indépendamment aux uns et aux autres par un même internaute. D'un point de vue réglementaire, la CNIL en France, et ses homologues en Europe ont déjà anticipé ce danger pour l'internaute et tentent d'harmoniser, à l'échelle européenne, les règles d'utilisation des données personnelles.
L'internaute et son patrimoine numérique
Mais l'initiative, dans ce domaine, ne doit pas forcément venir du législateur. Internautes et fournisseurs de service ont tout intérêt à prendre conscience par eux-mêmes de la valeur patrimoniale des informations personnelles qu'ils mettent à disposition ou manipulent, s'ils veulent conserver pour les uns, leur liberté et leur anonymat en ligne, et pour les autres, de réelles possibilités d'exploiter le patrimoine de leur fichier de clients.
L'internaute, dès lors qu'il sort de l'anonymat, représente une valeur économique quantifiable. L'enquête YouGov publiée le 5 mars 2008 par Verisign évalue à 5.000 euros en moyenne les actifs disponibles sur les comptes en ligne d'un internaute français.
De nouvelles réponses technologiques
Les technologies permettent aujourd'hui de franchir le pas et d'aller au delà d'une vision simplement sécuritaire de la protection du patrimoine numérique de l'internaute. Grâce aux avancées en matière de chiffrement et de calcul distribué, il est aujourd'hui possible de restituer à l'internaute la liberté de décider du lieu, du moment et de l'interlocuteur auquel il confie ses données personnelles. Avec ces techniques, l'internaute peut adopter sur chaque site une ou plusieurs identités numériques entièrement étanches les unes par rapport aux autres et constituées d'informations inexploitables hors de leur contexte parce que morcelées en divers endroits. Le risque de phishing est totalement éliminé, de même que la possibilité d'une utilisation hors contrôle des informations fournies. Face à la tentation de l'identité unique et infalsifiable qui ferait perdre à Internet une part notable de son attrait sans renforcer la protection de son patrimoine numérique, la technologie fournit aujourd'hui aux internautes une opportunité à saisir : reprendre le contrôle sur leurs informations personnelles et devenir pleinement acteur de la gestion de leur patrimoine numérique.
Isabelle Mounier a cofondé Symeos en 2005.
Titulaire d'un DEA en Droit des Affaires et d'un DESS en Droit de l'ingénierie financière, Isabelle Mounier travaillait auparavant pour la cellule Valorisation de la Recherche de l'Université Blaise Pascal à Clermont-Ferrand, chargée d'opérer des transferts de technologies entre les laboratoires de recherche et des industriels. Dans le passé elle a mis ses compétences au service de Busi, l'incubateur d'entreprises innovantes d'Auvergne (biotechnologies, NTIC et sciences de l'ingénieur) et de Avidis SA (devenue IMAXIO), une start up franco-anglaise en biotechnologie.
Depuis 1999 elle exerce aussi comme Chargée de cours de Droit Informatique auprès des étudiants de Master 2 Systèmes d'Information et aide à la décision et des étudiants en Statistiques et Traitement des données à l'Université Blaise Pascal de Clermont-Ferrand.
Trouver un prestataire
Pour aller plus loin
Les dossiers
Les livres
Forum
- La sécurisation des appels d'offre
- Les contrats l'infogérance
- Les contrats le delit de marchandage
- Le droit de la propriété intellectuelle concurrence d'un ancien salarié
- Le droit de la propriété intellectuelle : les logiciels libres
Vous voulez avoir l'avis d'un expert sur ce sujet ?
Toute l'actu sur ce sujet
-
Le droit au logement n'autorise pas le DAL de violer un domicile
Over Blog
20 Décembre 2008
-
Le patronat met en cause le "droit individuel à la formation"
Over Blog
18 Décembre 2008
Gouvernance
Document, connaissances, GEDEmploi informatique
Législation
Licences, open source
Politique informatique
Qualité, certification, référentiels
Solutions
BI, décisionnel, SIGBureautique et infographie
Finances, gestion, trésorerie
Gestion commerciale, CRM
Mobilité
Production, logistique, SCM
Solutions globales, ERP
Solutions RH
Technologies
Archivage et sauvegardeHardware
Localisation, traçabilité
Locaux, sécurité physique
Programmation, développement
Réseaux et communications
Sécurité logique, virus et intrusions
Site Internet
Stockage, SAN, NAS
Systèmes et infrastructure
Editorial
ActualitésAgenda
Annuaire
Blogs
Contributeurs
Dictionnaire
Dossiers
Emploi
Forum
Lettre
Libraire