1. Les données personnelles : je, jeu et enjeu
Comprendre le numérique
Enssib : 29 juin 2011
Michèle Battisti – ADBS
Module : 1 heure
Jeu d’échec malgache. Pedro Gilberto.
Photos de Nouvelle Calédonie CC by‐nc‐sa
1
2. Un enjeu commercial
Avant
standardisation de la production et
anonymisation des transactions
Aujourd’hui
production sur mesure et personnalisation des
relations économiques
des services de plus en pointus Usines Renault. Chaîne de tôlage des caisses
de carrosserie Pierre J. CC by‐nc‐sa. Flickr
Un marché pour la collecte des données
personnelles
2 Source : H.Isaac, octobre 2009
3. Un marché juteux
Des données
de plus en nombreuses
de plus en plus fines
grâce aux évolutions du web
Web 1.0 passif au web 2.0 interactif … web 3.0
New‐York Stock Exchange. Micklosn.
pour un ciblage comportemental CC by‐nd‐nc Fotopedia
Collectées par les entreprises (privées et publiques)
Collectées par les prestataires techniques (FAI, hébergeur, cloud …)
3
4. Que disent les CGU de nos outils ?
Google Chrome « ce n’est pas nickel »
En 2008 « vous accordez à « Google Inc. un droit
d'utilisation et de distribution de tout ou partie du
contenu q[u'i]l décide d'afficher ou de publier grâce au
navigateur et aux services »
Sous la pression, Google a modifié ses clauses :
l'utilisateur, ayant droit des contenus qu'il affiche par
l'intermédiaire du navigateur, garde ses droits.
Google ne peut plus les réutiliser comme il l'entend,
mais garde le droit de les accompagner d'une publicité
ciblée
4
5. Que disent les CGU de nos outils ?
« Vous concéd[i]ez les droits de toutes les données
entrées sur le site (messages, éléments de profils,
photos, …) à FB qui a le droit de les utiliser pour ses
publicités, de les revendre à des tiers, de les sous‐
licencier »
« Les licences de propriété intellectuelle se terminent
lorsque vous supprimez les données ou que vous
fermez votre compte, sauf si le compte est partagé par
d’autres personnes qui ne l’on pas supprimé ».
Avant désactivation du compte et non suppression définitive.
Aujourd’hui suppression définitive 14 jours après la demande (et non
plus 6 mois)
5
6. Notre ombre numérique
L’internaute transmet,
plus ou moins consciemment,
des données le concernant
Le pourcentage de données
transmises non sciemment est
désormais plus important que les
données remises en toute connaissance de cause (*)
Electronic shadow. Fotographar.
Frontières floues entre vie privée et vie publique CC by‐sa. Flickr
Sensibilité très variable selon les cultures, les générations, les individus …
Le poids de l’e-réputation ou réputation en ligne
(*) H.Isaac, octobre 2009
6
7. Les outils de nos facettes numériques
C’était en 2006 …..
Un paysage plus complexe
aujourd’hui
Qu’est‐ce que l’identité numérique ? Fred Cavazza, 22 octobre 2006
7
8. Utilisation commerciale
de nos données personnelles
Le service « Recommandation »
d’Amazon
• Historique des achats
Oh, What on earth did I do to Amazon to • Préférences déclarées du client
make think this was a recommendation?!?!? • Commentaire sur les produits
Vanderval. Flickr CC by‐nc‐ sa • Recherches effectuées sur le site
• Historique de navigation
• etc.
8
9. L’e-réputation, un marché
H.Isaac, octobre 2009
Approche défensive protection de l’usurpation d’identité
nettoyage de traces numériques
brouillage de l’ombre numérique
Approche active suivi d’opinions et de rumeurs
cartographie d’opinions
personal branding
Coaching numérique
Assurance ! 9.90 € / mois
pour négocier à l’amiable, enfouir les données en
créant des informations tampons,… Iceberg. Uwe Kils
Sauf si l’information est postée de plein gré, s’il s’agit d’informations Wikimédia. CC by‐sa
professionnelles, de participation à une association, si le litige découle d’un
mandat électif, si vous êtes prêtre, imam, rabbin ….
Sauf si les législations différentes ou si le recours à la justice parait préférable …
9
10. Une matière première
DONNEE PERSONNELLE. Donnée permettant d’identifier
directement ou indirectement une personne : nom, prénom,
adresse, n°de téléphone, n°de sécurité sociale, adresse
électronique, n° de carte de paiement, la plaque
d’immatriculation, l’empreinte digitale, une photo,…
L’adresse IP, une donnée personnelle ? En France
Personal data.Highwaycharlie
CC by‐nd. Flickr
Oui pour la Commission Européenne et
Oui pour la CNIL
la Cour de Justice de l’Union Européenne (CJUE)
Google sanctionné par la CNIL le 17 mars
2011 : données wi‐fi et Google Street
Conservation des données liées Non pour la Hadopi
à l’adresse IP par les moteurs s’appuyant sur une décision
9 mois pour Google, 3 mois pour Yahoo ! de la Cour de cassation du 13 janvier 2009
Et, comme le préconise le G29, 6 mois pour
Condamnation de la France par la CJUE ?
Microsoft
10
11. Loi Informatique, fichiers, libertés
Les règles
Loi de 1978 révisée en 2004 (directive européenne)
Elle protège les personnes physiques OPT‐IN
Elle impose au responsable du traitement :
‐ une collecte loyale des données
‐ une information des personnes concernées
et de leur donner la possibilité d’accéder aux données, de les rectifier Gopedago
… et un droit à l’oubli
garanti par un temps de conservation proportionnel à la finalité du
traitement
Elle interdit, sans autorisation expresse, de croiser les données
Elle impose une déclaration (normale ou simplifiée) OU une demande
d’autorisation (certaines données ou certains traitements)
11
12. La loi Informatique, fichiers et libertés
Les enjeux
2012 Révision de la directive européenne
sur les données personnelles
Un contexte qui a évolué (techniques, usages, …) An usher at work during the vote
European Parliament. CC by‐nc‐sa. Flickr
Nécessité d’assouplir et simplifier les règles (lobbying US ?)
L’occasion de clarifier le statut de l’adresse IP : une donnée personnelle ?
Orientations Mais avec quels moyens financiers
‐ un droit à l'oubli lorsque la conservation n'est plus légitime
‐ améliorer l’information des personnes (transparence)
‐ faciliter les procédures (d'accès, rectification, effacement des données)
‐ renforcer le pouvoir des « CNIL » des pays de l’UE (contrôle et sanctions administratives) et des
associations représentant les intérêts des personnes (recours à la justice)
12
13. Quelles évolutions attendre ?
En France
23 mars 2010. Proposition de loi pour mieux garantir le
droit à la vie privée à l'heure numérique. Adoptée par le
Sénat en 1ère lecture
Publicité des avis de création de fichiers de police,
assouplir le principe de consentement préalable pour les
cookies, clarifier l’exercice du droit à l’oubli renforcer le
rôle des CIL rendus obligatoires Code d’Hammourabi. Louvre.
Batigolix. CC by‐nc‐sa. Fotopedia
13 octobre 2010 . Une charte sur le droit à l’oubli des
internautes signée par plusieurs sites collaboratifs et
moteurs de recherche (sauf Google et Facebook)
13
14. Quelles évolutions attendre ?
Aux États‐Unis
Une loi ? Un groupe de travail sur la protection des données
personnelles sur Internet pour un cadre législatif plus strict et la
création d'un organisme de surveillance
Don’t tack Me !
Outils de désinscription à la publicité demandés par « La Federal Trade
Commission, (chargé de réguler le commerce) à éditeurs de navigateurs.
Examen par le W3C (Worldwide Web Consortium) chargé de a
normalisation du web
Congress to Device Makers : Don’t track me, Bro, Josh Smith, National Journal, June 15, 2011
Les futures normes internationales de protection de la vie privée, Le Point, 25 mai 2011
14
15. Révolution numérique
et droits de l’individu
Un rapport parlementaire publié le 22 juin 2011
Europe. Haut niveau de protection des données : convention internationale sur la protection
de la vie privée, indépendance du G29
Réseaux sociaux : limiter les « recherches d’amis » (!!!), un droit à l’oubli
Archives : limites à la réutilisation des archives contenant des données personnelles
Inutilités utiles à l’inutile. Alizée Vauquelin
Géolocalisation : autorisation (et non déclaration auprès de la CNIL), respect de la vie privée
dans l’usage des puces RFID
Fournisseur de services : destruction et anonymisation complètes des données après 6 mois
(1 an selon un récent décret de la LCEN)
Ciblage publicitaire : meilleure information de l’internaute, navigateurs Internet plus
protecteurs et transparents
15
16. Révolution numérique
et droits de l’individu
Un rapport parlementaire
publié le 22 juin 2011
8 images manipulations, 5 moons, 3 flowers,
3 suns, 2 churches, no raton laveur.
Fdecomite. CC by. Flickr
Cloud. Évaluer les conséquences des transferts de données personnelles, exclure du cloud
réalisé hors UE les données personnelles sensibles, audit de sécurité régulier des acteurs du cloud
Un statut juridique pour l’adresse IP
Information. Renforcer celle des personnes dont les données sont collectées ; notification
obligatoire des failles de sécurité par les responsables de traitement
privacy by design : systèmes conçus dès le départ pour protéger la vie privée
en finir avec les difficultés liées à l’extraterritorialité du droit applicable, etc.
16
17. Le Cloud, opportunités et menaces
Stockées dans les nuages, nos données sont accessibles partout et à tout moment
Même plus besoin de clef USB !
Facilité d’usage et économie
MAIS
Perte de la maîtrise de ses données
Toile d’araignée des contrats
Circulation intense des données dans le monde et A three‐segment panorama of a
cumulonimbus cloud over New York,
Orientation vers la nécessité d’une assurance personnelle JezFabi. Wikimédia. CC by
17
18. La conservation des données techniques
Les règles
2OO1 USA Patriot Act
Elle donne au FBI des pouvoirs sans contrôle judiciaire
Elle s’applique aussi aux fichiers électroniques
des bibliothèques
La loi est prolongée jusqu’en juin 2015
France Grattes‐ciels à Toronto,
Tab. CC by‐sa. Flickr.
2001 Loi pour la sécurité quotidienne (réflexion dès 1999)
2003 Loi pour la sécurité intérieure
2006 Loi relative à la lutte contre le terrorisme
18
19. La conservation des données techniques
Les enjeux pour les bibliothèques
Les bibliothèques Opérateur de communications électroniques, la loi
concerne les personnes qui offrent au public un accès à des
services de communication en ligne,
même à titre accessoire, même à titre gratuit
Les données relatives au trafic, celles qui permettent d’identifier de
connexion l’utilisateur et le destinataire, les équipements, …
A garder 1 an ex : l’adresse IP mais pas les noms et prénoms ni aucun
contenu
Pour les remettre aux agents habilités des services de police et de gendarmerie
nationale et … aux agents habilités de la Hadopi
Pour les besoins de la recherche, de la constatation et les
poursuites des infractions pénales, lutter contre le terrorisme
mais aussi dans le cas de manquement à l’obligation de
Source : BBF 3, 2011 sécurisation des connexions
19 Nécessité d’Informer le public
20. Tendances
Le Citoyen et le consommateur
PASSIF la loi Informatique, fichiers et libertés le protège malgré lui
ACTIF information et formation
utiliser les outils pour gérer son e‐réputation
lobbying des internautes (ex : Facebook)
S’appuyer uniquement sur la loi serait illusoire
Voir aussi : CNIL, Yoogle
20
21. Ordre public et défis sécuritaires
identification vs/ anonymisation
Préserver l’ordre public
‐ en luttant contre toute forme de violences
‐ en garantissant les libertés individuelles et les
parties les plus faibles comme les auteurs et les consommateurs
Eagle eye. M Kuhn.
Illustration CC by nc‐ sa Flickr
Une proposition de loi pour garantir la vie privée. 1ère lecture au Sénat 24 mars 2010
Encadrement plus fort et publicité lors de la création d’un fichier de police
Une proposition de loi contre l’anonymat des blogueurs déposée le 3 mai 2010 … mais
jamais débattue
Éviter que lutter contre les dérives criminelles (hacking, pédopornographie,
contrefaçon à grande échelle, … ne se transforme par des dérives sécuritaires
(contrôle par le filtrage et censure)
Exposé de Lionel Maurel
21
22. Safari, Edvige, Eloi et les autres
Safari, ou la « chasse aux Français » à l’origine de la loi
Informatiques et libertés en 1978
Edvige fichier sur certaines personnes publiques, individus
ou groupes susceptibles de porter atteinte à l’ordre public
Edvirps, un fichier Edvige allégé, plus dur à prononcer
mais moins polémique
Plus dangereux qu’Edvige, le STIC
Eloi fichier d’étrangers en situation irrégulière fait
débat (JDD) Souriez! Nous sommes fiché(u)s !
YannSeitek Flickr. cc by‐nc
Edvige, Cristina, Ardoise et les autres
22
23. Données vendues, perdues
Des risques accrus aussi lorsque l’Etat fournisseur de services, sous‐traite
des opérations à des opérateurs privés, qu’il vend nos données (Le
blog Voix publique)
ou, plus trivialement, lorsqu’il les perd ou les oublie … au Royaume‐
Uni, certes
23
24. Ambivalences
Un monde paradoxal
où l’internaute n’est pas dupe, se « théâtralise »
volontiers et se débrouille plus ou moins bien
où les régulateurs peinent à concilier protection
de la vie privée, impératifs du commerce et ordre public
Skyscraper Art.Steve
Kocino. CC by-nc-ndFlickr
Un monde mouvant
frontières floues vie privée/vie publique
autres valeurs appelées à jouer contrepoids
variété des stratégies non écrites
variété croissante des données personnelles
limites de contrôle et de circulation qui se déplacent et se brouillent
Un monde intrusif
24
25. Enjeux
Donner les moyens de se construire
des stratégies identitaires
Eviter une autre forme de fracture Déterminisme versrs
stochastisme.
François Moreno
sensibilisation et formation
25
26. Impressions
Glanées çà et là et non une étude
Impressions pour une sensibilisation à une
question complexe et passionnante
A suivre ….
Impression, soleil levant.
Monet Musée Marmottan.Wikimédia
26
27. Butinage
Ouvrages
Informatique, libertés, identités. Daniel Kaplan avc Arnaud Belleil, Renaud
Francou, Charles Népote et Serge Ravet. Fing, 2010 (La fabrique des
possibles)
L'identité numérique en question, Olivier Iteanu, Eyrolles, 2008
Rapports
Révolution numérique et droits de l’individu. 22 juin 2011
La vie privée à l’heure des mémoires numérique. Pour une confiance renforcée
entre citoyens et société de l’information. Sur le site de la Documentation
française, 27 mai 2009
Sites
Bug brother, le blog de Jean‐Marc Manhack
Plusieurs articles sur Numérama
27
28. Butinage
Présentations
Economie numérique : les nouveaux enjeux de de la protection des données
personnelles, Henri Isaac. Sur Slideshare
E‐réputation, identités numériques : enjeux, outils, méthodologies, Olivier
Ertzscheid, 4 mai 2010. Sur Slideshare
Comptes rendus
Identification, identifiant, identité, … individu. Journée d’étude organisée par la
Fulbi le 13 janvier 2009, Michèle, Battisti, ADBS
L’adresse IP, données à caractère personnel, cabinet Cilex, 5 août 2009
28
29. Butinage
Articles
Le Cloud computing : un défi pour la loi « informatiques et libertés ? Michèle
Battisti, Paralipomènes, 6 décembre 2010
Yoogle cafte tout, Marie Lechner, Ecrans, 8 mars 2010
Pour un droit à l’oubli numérique, Compte rendu d’un atelier organisé par
Nathalie Kosciusko‐Morizet, Secrétaire d’Etat chargée de la prospective et du
développement de l’économie numérique, Michèle Battisti, Paralipomènes, 2
janvier 2010
Google et la vie privée, Arnauld de la Grandière, Macgénération , 11 décembre
2009
L’adresse IP, données à caractère personnel, cabinet Cilex, 5 août 2009
29