Communication sur :Administration Electronique & Identité

Numérique

Présentée par

M. Chemseddine Ethani BARNAT

Enseignant Faculté des Sciences Economiques et de Gestion de Nabeul

chemsnet@yahoo.fr www.urdri.fdspt.rnu.tn

Tunis, 14 avril 20091

PROBLEMATIQUE

? Quel est l’impact de l’administration électronique

sur l’identité numérique ?

2

La notion de l’identité numérique

L’identité est «l’ensemble des composantes grâce auxquelles il est établi qu’une personne est bien celle qui se dit ou que l’on présume telle (nom, prénoms, nationalité, filiation) »

L’identité numérique est l’ensemble des informations traitées par les moyens électroniques, permettant d’identifier une personne. 3

Deux catégories d’identité numérique

Identité numérique « privée »

Identité numérique « publique »

4

Identité numérique privée Déclaratoire Aléatoire Non vérifiable Multiple Non règlementée Libre Reflet de la personnalité subjective

5

Identité numérique « publique » Règlementée Officielle Vérifiable Toute fausse déclaration est

sanctionnée Sécurisée Reflet de la personnalité objective Plus fidèle à l’identité réelle

6

La notion de l’identité numérique est en rapport avec la notion de données personnelles

Les données personnelles: ( art. 4 Loi organique n° 2004-63 du 27 juillet 2004):« Toutes les informations quelle que soit leur origine ou leur forme et qui permettent directement ou indirectement d’identifier une personne physique ou la rendent identifiable, à l’exception des informations liées à la vie publique ou considérées comme telles par la loi  ».

7

De quoi s’agit-il exactement ?

Données d’identification directe: Nom et prénom Photo Empreinte digitale, rétinienne…etc.

Données d’identification indirecte: Adresse IP, Numéro d’affiliation à une caisse de

sécurité sociale…etc.8

Y a-t-il un droit à l’anonymat?

9

Chaque personne a le droit à l’anonymat

Maislorsque cette volonté de rester anonyme

interfère avec un intérêt général, la loi intervient pour restreindre cette

liberté:Cas du traitement des données par

l’administration10

Cadre juridique du traitement des données personnelles

Article 9 de la constitution« L'inviolabilité du domicile, le secret

de la correspondance et la protection des données personnelles sont garantis, sauf dans les cas exceptionnels prévus par la loi ».

Loi organique du 27 juillet 2004 relative à la protection des données personnelles. 11

Parmi les exceptions prévues par la constitution:

Le traitement des données personnelles par l’administration

(Loi organique du 27 juillet 2004)

12

Quel est l’impact de l’administration électronique

sur l’identité numérique ?

13

La réalisation de plusieurs programmes d’informatisation de l’administration :

Des traitements automatisés de données personnelles d’identification par toutes les administrations

14

Quelques programmes d’informatisation de l’administration

La première génération de l’administration électronique : SINDA (Système d’Information de Dédouanement

Automatique) INSAF (Système de Gestion des Affaires

Administratives du Personnel de l’Etat) ADEB (Système d’Aide à la Décision Budgétaire) SICAD (Système d’Information et de Communication

Administrative)

15

La deuxième génération de l’administration électronique:

Ex.: RAFIC (système de Rationalisation des Actions Fiscales

et Comptables) SADEC (Système d’aide à la décision et au contrôle) RAKMIA 1 et 2 E-Tasrih MEDENIA 1 et 2

16

Quels sont les problèmes qui menacent l’identité

numérique ?

17

Principaux problèmes de la protection de l’identité numérique

Problèmes techniques

Problèmes de garanties juridiques

18

Les problèmes techniques

19

Qu’est ce qu’un réseau sécurisé?

Pour qu’un réseau soit sécurisé, il faut qu’il soit:

Accessible en permanence (accessibilité) Les données traitées soient fiables

(intégrité) Les données ne peuvent être portées qu’à la

connaissance des personnes habilitées à le faire (confidentialité)

20

Quels sont les risques techniques ?

Accès plus facile à un grand nombre d’informations personnelles

Risque de manipulation des informations (modification ou suppression)

Risque de recel d’informations surtout avec le développement des supports numériques et des réseaux de communication

Risque d’attaque pirate (déni de service, usurpation d’identité, cyber espionnage…etc.)

21

Témoignage Le Conseil de l’Europe (2004) «il est devenu

et il deviendra de plus en plus possible et de moins en moins cher d´enregistrer la vie de tous les individus de la planète (la nôtre et celle des autres …»

22

Quelques évènements marquants

Zdnet (2005): Entre 2003-2004: vingt pirates présumés chinois

aurait attaqué et piraté des sites d’information américains sensibles, notamment des centres militaires et la NASA (pas de détails côté gouvernement) .

Avril 2007: Cyber-attaque sans précédent par des pirates russes contres les sites gouvernementaux estoniens.

Résultat: paralysie totale des sites gouvernementaux et administratifs pour déni de service. 23

Le Figaro: Juin 2007: l’armée chinoise attaque le Pentagone

provoquant une perturbation totale de son système d’information et de communication.

Der Spiegel: 2007: Le gouvernement allemand a été aussi

victime d’un cyber espionnage à cause des chevaux de Troie chinois.

Le Monde (sept.2007) Attaque contre des sites de l’administration

française par des virus (dommages importants selon des sources non officielles)

24

DONC Tant qu’il y a contact avec l’extérieur, il y a

risque d’attaques Il y a dans le monde près de 10.000 pirates

doués qui travaillent jours et nuits pour provoquer tout genre de dommages aux systèmes informatiques du monde

Certains pirates travaillent comme des mercenaires et sont capables de tout faire

25

Il existe sur le marché mondial des kits de piratage très performants pour 700$ au plus.

L’identité numérique est menacée au même titre que les systèmes informatiques dans lesquels elle gite.

26

Les mesures de protection Un cadre législatif et règlementaire imposant des

mesures de sécurité technique:

Loi 2004-5 du 03 février 2004, relative à la sécurité informatique (elle a instauré l’audit obligatoire de tous les organismes publics, sauf les ministères de la défense et de l’intérieur, une fois au moins tous les douze mois)

27

Décret n° 2004-1250 du 25/05/2004, fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.

Circulaire n° 19-2007, relative au renforcement des mesures de sécurité informatique dans les établissements publics.

28

Des garanties pénales: La loi n° 99-89 du 2 août 1999 modifiant et

complétant certaines dispositions du code pénal (notamment les articles 172 et 199 bis):

Le législateur a prévu des sanctions à l’égard de celui qui : 

Altère ou détruit le fonctionnement de données existantes dans un système de traitement automatisé de données.

Introduit une modification de quelque nature qu’elle soit sur le contenu des documents informatisés ou électroniques… ».

29

Mais…

Les garanties pénales ne sont pas dissuasives à l’égard des auditeurs: L’article 9 de la loi du 03 février 2004, prévoit

l’application de l’article 254 du code pénal en cas de divulgation d’un secret par les agent effectuant l’audit obligatoire (sanction: six mois d’emprisonnement et 120 dinars d’amende)

(En France: art. 226-13 du Code pénal: un an d’emprisonnement et 15000 € d’amende)

Il y a donc risque de social engineering30

Les problèmes juridiques

31

Il s’agit des problèmes relatifs aux

garanties juridiques mises en places afin

d’assurer une protection de l’identité

numérique dans le cadre de

l’administration électronique

32

L’apport de la loi de 2004

- L’établissement d’une Instance nationale de protection des données personnelles

- Deux régimes de protection des données personnelles:

Un régime général

Un régime spécial

33

Le régime général

Article 1er à 52

Applicable aux organismes privés de traitement de données personnelles

Établit des garanties pour assurer la protection des données personnelles.

34

Les garanties établies par le régime général

L’interdiction de traitement de certains types de données (ex. : art.13) ;

Soumission de principe des opérations de traitement de données à une déclaration préalable (ex. : art 7) ;

Soumission exceptionnelle de certains types de traitement à une autorisation préalable (ex. : articles 15, 24, 28, 46, 47, 49, 52…etc.) ;

Exigence du consentement de la personne concernée lors du traitement des données (art. 27) ;

Droit d’accès, d’information, d’opposition et de rectification aux personnes concernées par le traitement des données (art. 32…)…etc.

35

Le régime spécial

Article 53 et suivants Applicable aux organismes publics:

Les autorités publiques, Les collectivités locales, Les établissements publics à caractère

administratif, « dans le cadre de la sécurité publique ou de la défense nationale ou pour procéder aux poursuites pénales, ou lorsque ledit traitement s'avère nécessaire a l'exécution de leurs missions conformément aux lois en vigueur ».

36

Le deuxième paragraphe a ajouté deux autres catégories de personnes :

Les établissements publics de santé, Les établissements publics « dans le cadre des

missions qu'ils assurent en disposant des prérogatives de la puissance publique ».

37

Dans quel cadre ? Sécurité publique Défense nationale Poursuite pénale Lorsque le traitement est nécessaire

pour l’exécution de leur mission

38

Mais…

L’article 54 exonère l’administration de toutes les contraintes relatives aux garanties

de traitement des données personnelles.

39

Il est donc possible pour l’administration de:

Traiter les données interdites par les articles 13 et 14,

Traiter les données personnelles sans l’autorisation de l’Instance nationale de protection des données personnelles (ANPDP) et sans déclaration préalable,

Traiter tout genre de données sans le consentement de la personne concernée et sans droit d’opposition

Traiter des informations concernant des enfants sans avoir besoin de l’autorisation du juge de la famille

40

Possibilité de dépasser la durée de traitement nécessaire pour la réalisation du but du traitement,

Utiliser la vidéosurveillance sans le consentement de la personne concernée et sans autorisation préalable de l’Instance, dans tout endroit, sans informer le public, avec la possibilité de communiquer les enregistrement sans restriction et sans être obligée de les détruire.

41

Donc

Il s’agit d’une franchise totale en faveur de l’administration qui risque de porter

atteinte à l’identité numérique

42

Or, les garanties juridiques ne sont pas toujours suffisantes

Risques de bavures

Ex. La CNIL a rapporté en 2003 qu’un requérant s’est vu refuser un stage dans une juridiction parce qu’il était signalé dans le STIC (Système de Traitement des Infractions Constatées) comme « mis en cause » dans une affaire de vol de cyclomoteur. Alors qu’on aurait dû supprimer ces informations du système.

43

D’où la question sur le droit à l’oubli

44

Conclusion

@ L’identité numérique dépend étroitement de son environnement technologique

@ il est impératif de revoir le cadre juridique relatif au traitement des données personnelles par l’administration électronique

45

Merci pour votre attention

Merci pour votre attention

46

Communication sur :Administration Electronique & Identité

Numérique

Présentée par

M. Chemseddine Ethani BARNAT

Enseignant Faculté des Sciences Economiques et de Gestion de Nabeul

chemsnet@yahoo.fr www.urdri.fdspt.rnu.tn

474747Tunis, 14 avril 2009

47