1

Les données personnelles : je, jeu et enjeu

Comprendre le numériqueEnssib

: 29 juin 2011

Michèle Battisti – ADBS

Module

: 1 heure Jeu d’échec malgache. Pedro Gilberto.Photos de Nouvelle Calédonie

CC by‐nc‐sa

2

Avant  standardisation de la production et  

anonymisation des transactions

Aujourd’hui production sur mesure et personnalisation des 

relations économiquesdes services de plus en pointus  Usines Renault. Chaîne de tôlage des caisses

de carrosserie Pierre J. CC by‐nc‐sa.

Flickr

Un enjeu commercial

Un marché pour la collecte des données personnelles

Source

: H.Isaac, octobre 2009

3

Un marché juteux

Des données de plus en nombreuses de plus en plus fines 

grâce aux évolutions du web Web 1.0 passif au web 2.0 interactif  … web 3.0  

pour un ciblage comportemental

Collectées par les entreprises (privées et publiques)Collectées par les prestataires techniques (FAI, hébergeur, cloud

…)

New‐York Stock Exchange. Micklosn.CC by‐nd‐nc

Fotopedia

4

Que disent les CGU de nos outils ?

Google

Chrome «

ce n’est pas nickel

»

En 2008 « vous accordez à « Google

Inc. un droit  d'utilisation et de distribution de tout ou partie du 

contenu q[u'i]l décide d'afficher ou de publier grâce au  navigateur et aux services

»

Sous la pression, Google

a modifié

ses clauses

:  l'utilisateur, ayant droit des contenus qu'il affiche par 

l'intermédiaire du navigateur, garde ses droits.

Google

ne peut plus les réutiliser comme il l'entend,  mais garde le droit  de les accompagner d'une publicité

ciblée

5

Que disent les CGU de nos outils ?

« Vous concéd[i]ez

les droits de  toutes les données  entrées sur le site  (messages, éléments de profils, 

photos, …) à FB qui a le droit de les utiliser pour ses  publicités, de les revendre à des tiers, de les sous‐

licencier

»

« Les licences de propriété

intellectuelle se terminent  lorsque vous  supprimez les données ou que vous 

fermez votre compte, sauf si le compte est partagé

par  d’autres personnes qui ne l’on pas supprimé

».

Avant

désactivation du compte et non suppression définitive.Aujourd’hui

suppression définitive 14 jours après la demande (et non 

plus 6 mois)

6

Notre ombre numérique

L’internaute transmet, plus ou moins consciemment, des données le concernant 

Le pourcentage de données transmises non sciemment est désormais plus important que les données remises en toute connaissance de cause (*)

Frontières floues entre vie privée et vie publiqueSensibilité

très variable selon les cultures, les générations, les individus …

(*) H.Isaac, octobre 2009

Electronic shadow. Fotographar. CC by‐sa.

Flickr

Le poids de l’e-réputation ou réputation en ligne

7

Les outils de nos facettes numériques

C’était en 2006 …..

Un paysage plus complexe aujourd’hui

Qu’est‐ce que l’identité

numérique ?

Fred Cavazza, 22 octobre 2006

8

Utilisation commerciale de nos données personnelles

Le service «

Recommandation

» d’Amazon

• Historique des achats • Préférences déclarées du client• Commentaire sur les produits• Recherches effectuées sur le site• Historique de navigation• etc.

Oh, What on earth did I do to Amazon to make think this was a recommendation?!?!?Vanderval. Flickr

CC by‐nc‐

sa

9

L’e-réputation, un marché

H.Isaac, octobre 2009

Approche défensive   protection de l’usurpation d’identiténettoyage de traces numériques   brouillage de l’ombre numérique

Approche active

suivi d’opinions et de rumeurscartographie d’opinionspersonal

branding

Coaching

numériqueAssurance

! 9.90 € / mois

pour négocier à

l’amiable, enfouir les données en créant des informations tampons,…Sauf  si l’information est postée de plein gré, s’il s’agit d’informations 

professionnelles, de participation à

une association, si le litige découle d’un  mandat électif, si vous êtes prêtre, imam, rabbin ….

Sauf si les législations différentes ou si le recours à la justice parait préférable  …

Iceberg. Uwe

KilsWikimédia. CC by‐sa

10

Une matière première

DONNEE PERSONNELLE. Donnée permettant d’identifierdirectement ou indirectement

une personne

: nom, prénom,

adresse, n°de téléphone, n°de sécurité

sociale, adresse électronique, n°

de carte de paiement, la plaque 

d’immatriculation, l’empreinte digitale, une photo,…

L’adresse IP, une donnée personnelle

?Oui pour la Commission Européenne etla Cour de Justice de l’Union Européenne (CJUE)

Personal data.HighwaycharlieCC by‐nd. FlickrEn France 

Oui pour la CNILGoogle

sanctionné

par la CNIL le 17 mars 

2011

: données wi‐fi

et Google

StreetNon pour la Hadopis’appuyant sur une décision 

de la  Cour de cassation

du 13 janvier 2009

Condamnation de la France par la  CJUE

? 

Conservation des données liées à

l’adresse  IP par les moteurs 

9 mois pour Google, 3 mois pour Yahoo

! Et, comme le préconise le G29, 6 mois pour 

Microsoft

11

Loi Informatique, fichiers, libertés

Les règles  Loi de 1978 révisée en 2004 (directive européenne)Elle protège les personnes physiques 

OPT‐IN

Elle impose au

responsable

du traitement

: ‐

une collecte loyale des données

‐

une information des personnes concernées  et de  leur donner la possibilité

d’accéder aux données, de les rectifier

… et un droit à

l’oubli garanti par un temps de conservation proportionnel à la finalité

du 

traitement 

Elle interdit, sans autorisation expresse, de croiser les données 

Elle impose une déclaration

(normale ou simplifiée) OU une

demande  d’autorisation

(certaines données ou certains traitements)

Gopedago

12

La loi Informatique, fichiers et libertés

Les enjeux  2012 Révision de la directive européennesur les données  personnelles 

Un contexte qui a évolué

(techniques, usages, …) 

Nécessité

d’assouplir et simplifier les règles (lobbying US ?)

L’occasion de clarifier le statut de l’adresse IP

: une donnée personnelle

? 

Orientations‐

un droit à

l'oubli lorsque la conservation n'est plus légitime ‐

améliorer l’information des personnes (transparence)‐

faciliter les procédures (d'accès, rectification, effacement des données) ‐

renforcer le pouvoir des « CNIL » des pays de l’UE (contrôle et sanctions administratives) et des 

associations représentant les intérêts des personnes (recours à la justice)

An usher at work during the voteEuropean Parliament. CC by‐nc‐sa. Flickr

Mais  avec quels moyens

financiers

13

Quelles évolutions attendre ?

En France 23 mars 2010.  Proposition de loi pour mieux garantir le 

droit à la vie privée à l'heure numérique. Adoptée par le  Sénat

en 1ère lecture

Publicité

des avis de création de fichiers de police,  assouplir le principe de consentement préalable pour les 

cookies, clarifier l’exercice du droit à

l’oubli renforcer le  rôle des CIL rendus obligatoires 

13 octobre 2010 .

Une charte  sur le droit à

l’oubli

des  internautes signée par plusieurs sites collaboratifs et 

moteurs de recherche  (sauf Google

et Facebook)

Code d’Hammourabi. Louvre. Batigolix. CC by‐nc‐sa. Fotopedia

14

Quelles évolutions attendre ?

Aux États‐Unis Une loi

?

Un groupe de travail sur la protection des données 

personnelles sur Internet pour un cadre législatif plus strict  et la  création d'un organisme de surveillance 

Don’t tack Me !  Outils de désinscription

à

la publicité

demandés par « La Federal

Trade

Commission, (chargé

de réguler le commerce) à

éditeurs de navigateurs.  Examen par le W3C (Worldwide

Web Consortium) chargé

de a 

normalisation du web 

Congress to Device Makers : Don’t track me, Bro, Josh Smith, National Journal, June 15, 2011 Les futures normes internationales de protection de la vie privée, Le Point, 25 mai 2011

15

Révolution numérique et droits de l’individu

Un rapport parlementaire publié

le 22 juin 2011 

Europe.

Haut niveau de protection des données : convention internationale sur la protection 

de la vie privée, indépendance du G29Réseaux sociaux

: limiter les «

recherches d’amis »

(!!!),

un droit à

l’oubli Archives

: limites à la réutilisation des archives contenant des données personnelles Inutilités utiles à

l’inutile. Alizée

VauquelinGéolocalisation

:

autorisation (et non déclaration auprès de la CNIL), respect de la vie privée 

dans l’usage des puces RFIDFournisseur de services

: destruction et anonymisation complètes des données après 6 mois  

(1 an selon un récent décret de la LCEN) Ciblage publicitaire

: meilleure information de l’internaute, navigateurs Internet

plus 

protecteurs et transparents

16

Révolution numérique et droits de l’individu

Un rapport parlementaire publié

le 22 juin 2011

Cloud.  Évaluer les conséquences des transferts de données personnelles, exclure du

cloud

réalisé

hors UE les données personnelles sensibles,

audit de sécurité

régulier des acteurs du cloudUn statut juridique pour l’adresse IP Information. Renforcer celle des personnes dont les données sont collectées

; notification 

obligatoire des failles de sécurité

par les responsables de traitementprivacy

by design

: systèmes conçus dès le départ pour protéger la vie privéeen finir avec les difficultés liées à l’extraterritorialité

du droit applicable, etc.

8 images manipulations, 5 moons, 3 flowers, 3 suns, 2 churches, no raton

laveur. Fdecomite. CC by. Flickr

17

Le Cloud, opportunités et menaces

A three‐segment

panorama of

a cumulonimbus cloud

over New York, JezFabi. Wikimédia.

CC by

Stockées dans les nuages, nos données sont accessibles partout et à tout momentMême plus besoin de clef USB

!

Facilité

d’usage et économie MAISPerte de la maîtrise de ses données Toile d’araignée des contrats   

Circulation intense des données dans le monde et Orientation vers la nécessité

d’une assurance personnelle

18

La conservation des données techniques

Grattes‐ciels

à

Toronto, Tab. CC  by‐sa. Flickr.

Les règles2OO1 USA Patriot

Act

Elle donne au FBI des pouvoirs sans contrôle judiciaire  Elle s’applique aussi aux fichiers électroniques des bibliothèques

La loi est prolongée jusqu’en juin 2015

France 2001 Loi pour la sécurité

quotidienne (réflexion dès 1999)

2003 Loi pour la sécurité

intérieure2006 Loi relative à la lutte contre le terrorisme

19

La conservation des données techniques

Les enjeux pour les bibliothèquesLes bibliothèques  

Opérateur de communications électroniques, la loi

concerne les personnes qui offrent au public un accès à des  services de communication en ligne,

même à titre accessoire, même à titre gratuit  Les données

relatives au trafic, celles qui permettent

d’identifier de

connexion l’utilisateur et le destinataire, les équipements, …A garder 1 an

ex

: l’adresse IP mais pas les noms et prénoms

ni aucun 

contenuPour les remettre

aux agents habilités des services de police et de gendarmerie 

nationale et … aux agents habilités de la HadopiPour

les besoins de la recherche, de la constatation et les

poursuites des infractions pénales, lutter contre le terrorisme  mais aussi dans le cas de manquement à

l’obligation de 

sécurisation des connexions Nécessité

d’Informer le public

Source : BBF 3, 2011

20

Tendances

Le Citoyen et le consommateur 

PASSIF  la loi  Informatique, fichiers et libertés le protège  malgré

lui

ACTIF

information et formationutiliser les outils pour gérer son e‐réputationlobbying des internautes (ex

: Facebook)

S’appuyer uniquement sur la loi serait illusoire

Voir aussi : CNIL, Yoogle

21

Ordre public et défis sécuritaires

identification vs/ anonymisationPréserver l’ordre public‐

en luttant contre toute forme de violences   

‐ en garantissant les libertés individuelles et les parties les plus faibles comme les auteurs et les consommateurs

IllustrationUne proposition de loi pour garantir la vie privée. 1ère lecture au Sénat 24 mars 2010Encadrement plus fort et publicité

lors de la création d’un fichier de police Une proposition de loi contre l’anonymat des blogueurs

déposée le 3 mai 2010 … mais 

jamais débattue  

Éviter que lutter contre les dérives criminelles (hacking, pédopornographie,  contrefaçon à

grande échelle, … ne se transforme par des dérives sécuritaires 

(contrôle par le filtrage et censure)

Eagle eye. M Kuhn. CC by nc‐

sa

Flickr

Exposé

de Lionel Maurel

22

Safari, Edvige, Eloi et les autres

Safari,  ou la «

chasse aux Français

»

à

l’origine de la loi Informatiques et libertés  en 1978

Edvige

fichier sur certaines personnes publiques, individus ou groupes susceptibles de porter atteinte à

l’ordre public

Edvirps, un fichier Edvige

allégé,  plus dur à

prononcer mais moins polémique 

Plus dangereux qu’Edvige, le STICEloi

fichier d’étrangers en situation irrégulière fait 

débat  (JDD) Souriez! Nous sommes fiché(u)s

! YannSeitek

Flickr. cc by‐nc

Edvige, Cristina, Ardoise et les autres

23

Données vendues, perdues

Des risques accrus aussi lorsque l’Etat

fournisseur de services, sous‐traite  des opérations à des opérateurs privés, qu’il vend nos données (Le 

blog

Voix publique)

ou, plus trivialement, lorsqu’il les perd

ou les oublie

… au Royaume‐ Uni, certes

24

Ambivalences

Un monde paradoxal où

l’internaute n’est pas dupe, se «

théâtralise

»

volontiers et se débrouille plus ou moins bienoù

les régulateurs peinent à

concilier protection 

de la vie privée, impératifs du commerce et ordre public

Un monde mouvantfrontières floues vie privée/vie publiqueautres valeurs appelées à jouer contrepoids variété

des stratégies non écrites

variété

croissante des données personnelles limites de contrôle et de circulation qui se déplacent et se brouillentUn monde intrusif 

Skyscraper Art.Steve Kocino. CC by-nc-ndFlickr

25

Enjeux

Donner les moyens de se construire des stratégies identitaires

Eviter une autre forme de fracture

sensibilisation et formation

Déterminisme versrs stochastisme.

François Moreno

26

Impressions

Glanées çà

et là

et non une étude 

Impressions pour une sensibilisation à une  question complexe et passionnante

A suivre ….

Impression, soleil levant. Monet Musée Marmottan.Wikimédia

27

Butinage

OuvragesInformatique, libertés, identités. Daniel Kaplan avc

Arnaud Belleil, Renaud 

Francou, Charles Népote

et Serge Ravet. Fing, 2010 (La fabrique des  possibles)

L'identité

numérique en question, Olivier Iteanu, Eyrolles, 2008 Rapports Révolution numérique et droits de l’individu. 22 juin 2011La vie privée à

l’heure des mémoires numérique. Pour une confiance renforcée 

entre citoyens et société

de l’information. Sur le site de la Documentation  française, 27 mai 2009 

Sites Bug brother, le blog

de Jean‐Marc Manhack

Plusieurs articles sur Numérama

28

Butinage

Présentations Economie

numérique

: les nouveaux enjeux de de la protection des données 

personnelles, Henri Isaac. Sur SlideshareE‐réputation, identités numériques

: enjeux, outils, méthodologies, Olivier 

Ertzscheid, 4 mai 2010. Sur SlideshareComptes rendus Identification, identifiant, identité, …

individu. Journée d’étude organisée par la 

Fulbi

le 13 janvier 2009, Michèle, Battisti, ADBSL’adresse IP, données à

caractère personnel, cabinet Cilex, 5 août 2009 

29

Butinage

ArticlesLe Cloud computing

: un défi pour la loi «

informatiques et libertés

?

Michèle 

Battisti, Paralipomènes, 6 décembre 2010Yoogle

cafte tout, Marie Lechner, Ecrans, 8 mars 2010 

Pour un droit à

l’oubli numérique, Compte rendu d’un atelier organisé

par  Nathalie Kosciusko‐Morizet, Secrétaire d’Etat

chargée de la prospective et du 

développement de l’économie numérique, Michèle Battisti, 

Paralipomènes, 2  janvier 2010

Google

et la vie privée, Arnauld de la Grandière, Macgénération

, 11 décembre  2009

L’adresse IP, données à

caractère personnel, cabinet Cilex, 5 août 2009