Upload
michele-battisti
View
3.436
Download
1
Embed Size (px)
DESCRIPTION
Intervention élèves conservateur Enssib 29 juin 2011
Citation preview
1
Les données personnelles : je, jeu et enjeu
Comprendre le numériqueEnssib
: 29 juin 2011
Michèle Battisti – ADBS
Module
: 1 heure Jeu d’échec malgache. Pedro Gilberto.Photos de Nouvelle Calédonie
CC by‐nc‐sa
2
Avant standardisation de la production et
anonymisation des transactions
Aujourd’hui production sur mesure et personnalisation des
relations économiquesdes services de plus en pointus Usines Renault. Chaîne de tôlage des caisses
de carrosserie Pierre J. CC by‐nc‐sa.
Flickr
Un enjeu commercial
Un marché pour la collecte des données personnelles
Source
: H.Isaac, octobre 2009
3
Un marché juteux
Des données de plus en nombreuses de plus en plus fines
grâce aux évolutions du web Web 1.0 passif au web 2.0 interactif … web 3.0
pour un ciblage comportemental
Collectées par les entreprises (privées et publiques)Collectées par les prestataires techniques (FAI, hébergeur, cloud
…)
New‐York Stock Exchange. Micklosn.CC by‐nd‐nc
Fotopedia
4
Que disent les CGU de nos outils ?
Chrome «
ce n’est pas nickel
»
En 2008 « vous accordez à « Google
Inc. un droit d'utilisation et de distribution de tout ou partie du
contenu q[u'i]l décide d'afficher ou de publier grâce au navigateur et aux services
»
Sous la pression, Google
a modifié
ses clauses
: l'utilisateur, ayant droit des contenus qu'il affiche par
l'intermédiaire du navigateur, garde ses droits.
ne peut plus les réutiliser comme il l'entend, mais garde le droit de les accompagner d'une publicité
ciblée
5
Que disent les CGU de nos outils ?
« Vous concéd[i]ez
les droits de toutes les données entrées sur le site (messages, éléments de profils,
photos, …) à FB qui a le droit de les utiliser pour ses publicités, de les revendre à des tiers, de les sous‐
licencier
»
« Les licences de propriété
intellectuelle se terminent lorsque vous supprimez les données ou que vous
fermez votre compte, sauf si le compte est partagé
par d’autres personnes qui ne l’on pas supprimé
».
Avant
désactivation du compte et non suppression définitive.Aujourd’hui
suppression définitive 14 jours après la demande (et non
plus 6 mois)
6
Notre ombre numérique
L’internaute transmet, plus ou moins consciemment, des données le concernant
Le pourcentage de données transmises non sciemment est désormais plus important que les données remises en toute connaissance de cause (*)
Frontières floues entre vie privée et vie publiqueSensibilité
très variable selon les cultures, les générations, les individus …
(*) H.Isaac, octobre 2009
Electronic shadow. Fotographar. CC by‐sa.
Flickr
Le poids de l’e-réputation ou réputation en ligne
7
Les outils de nos facettes numériques
C’était en 2006 …..
Un paysage plus complexe aujourd’hui
Qu’est‐ce que l’identité
numérique ?
Fred Cavazza, 22 octobre 2006
8
Utilisation commerciale de nos données personnelles
Le service «
Recommandation
» d’Amazon
• Historique des achats • Préférences déclarées du client• Commentaire sur les produits• Recherches effectuées sur le site• Historique de navigation• etc.
Oh, What on earth did I do to Amazon to make think this was a recommendation?!?!?Vanderval. Flickr
CC by‐nc‐
sa
9
L’e-réputation, un marché
H.Isaac, octobre 2009
Approche défensive protection de l’usurpation d’identiténettoyage de traces numériques brouillage de l’ombre numérique
Approche active
suivi d’opinions et de rumeurscartographie d’opinionspersonal
branding
Coaching
numériqueAssurance
! 9.90 € / mois
pour négocier à
l’amiable, enfouir les données en créant des informations tampons,…Sauf si l’information est postée de plein gré, s’il s’agit d’informations
professionnelles, de participation à
une association, si le litige découle d’un mandat électif, si vous êtes prêtre, imam, rabbin ….
Sauf si les législations différentes ou si le recours à la justice parait préférable …
Iceberg. Uwe
KilsWikimédia. CC by‐sa
10
Une matière première
DONNEE PERSONNELLE. Donnée permettant d’identifierdirectement ou indirectement
une personne
: nom, prénom,
adresse, n°de téléphone, n°de sécurité
sociale, adresse électronique, n°
de carte de paiement, la plaque
d’immatriculation, l’empreinte digitale, une photo,…
L’adresse IP, une donnée personnelle
?Oui pour la Commission Européenne etla Cour de Justice de l’Union Européenne (CJUE)
Personal data.HighwaycharlieCC by‐nd. FlickrEn France
Oui pour la CNILGoogle
sanctionné
par la CNIL le 17 mars
2011
: données wi‐fi
et Google
StreetNon pour la Hadopis’appuyant sur une décision
de la Cour de cassation
du 13 janvier 2009
Condamnation de la France par la CJUE
?
Conservation des données liées à
l’adresse IP par les moteurs
9 mois pour Google, 3 mois pour Yahoo
! Et, comme le préconise le G29, 6 mois pour
Microsoft
11
Loi Informatique, fichiers, libertés
Les règles Loi de 1978 révisée en 2004 (directive européenne)Elle protège les personnes physiques
OPT‐IN
Elle impose au
responsable
du traitement
: ‐
une collecte loyale des données
‐
une information des personnes concernées et de leur donner la possibilité
d’accéder aux données, de les rectifier
… et un droit à
l’oubli garanti par un temps de conservation proportionnel à la finalité
du
traitement
Elle interdit, sans autorisation expresse, de croiser les données
Elle impose une déclaration
(normale ou simplifiée) OU une
demande d’autorisation
(certaines données ou certains traitements)
Gopedago
12
La loi Informatique, fichiers et libertés
Les enjeux 2012 Révision de la directive européennesur les données personnelles
Un contexte qui a évolué
(techniques, usages, …)
Nécessité
d’assouplir et simplifier les règles (lobbying US ?)
L’occasion de clarifier le statut de l’adresse IP
: une donnée personnelle
?
Orientations‐
un droit à
l'oubli lorsque la conservation n'est plus légitime ‐
améliorer l’information des personnes (transparence)‐
faciliter les procédures (d'accès, rectification, effacement des données) ‐
renforcer le pouvoir des « CNIL » des pays de l’UE (contrôle et sanctions administratives) et des
associations représentant les intérêts des personnes (recours à la justice)
An usher at work during the voteEuropean Parliament. CC by‐nc‐sa. Flickr
Mais avec quels moyens
financiers
13
Quelles évolutions attendre ?
En France 23 mars 2010. Proposition de loi pour mieux garantir le
droit à la vie privée à l'heure numérique. Adoptée par le Sénat
en 1ère lecture
Publicité
des avis de création de fichiers de police, assouplir le principe de consentement préalable pour les
cookies, clarifier l’exercice du droit à
l’oubli renforcer le rôle des CIL rendus obligatoires
13 octobre 2010 .
Une charte sur le droit à
l’oubli
des internautes signée par plusieurs sites collaboratifs et
moteurs de recherche (sauf Google
et Facebook)
Code d’Hammourabi. Louvre. Batigolix. CC by‐nc‐sa. Fotopedia
14
Quelles évolutions attendre ?
Aux États‐Unis Une loi
?
Un groupe de travail sur la protection des données
personnelles sur Internet pour un cadre législatif plus strict et la création d'un organisme de surveillance
Don’t tack Me ! Outils de désinscription
à
la publicité
demandés par « La Federal
Trade
Commission, (chargé
de réguler le commerce) à
éditeurs de navigateurs. Examen par le W3C (Worldwide
Web Consortium) chargé
de a
normalisation du web
Congress to Device Makers : Don’t track me, Bro, Josh Smith, National Journal, June 15, 2011 Les futures normes internationales de protection de la vie privée, Le Point, 25 mai 2011
15
Révolution numérique et droits de l’individu
Un rapport parlementaire publié
le 22 juin 2011
Europe.
Haut niveau de protection des données : convention internationale sur la protection
de la vie privée, indépendance du G29Réseaux sociaux
: limiter les «
recherches d’amis »
(!!!),
un droit à
l’oubli Archives
: limites à la réutilisation des archives contenant des données personnelles Inutilités utiles à
l’inutile. Alizée
VauquelinGéolocalisation
:
autorisation (et non déclaration auprès de la CNIL), respect de la vie privée
dans l’usage des puces RFIDFournisseur de services
: destruction et anonymisation complètes des données après 6 mois
(1 an selon un récent décret de la LCEN) Ciblage publicitaire
: meilleure information de l’internaute, navigateurs Internet
plus
protecteurs et transparents
16
Révolution numérique et droits de l’individu
Un rapport parlementaire publié
le 22 juin 2011
Cloud. Évaluer les conséquences des transferts de données personnelles, exclure du
cloud
réalisé
hors UE les données personnelles sensibles,
audit de sécurité
régulier des acteurs du cloudUn statut juridique pour l’adresse IP Information. Renforcer celle des personnes dont les données sont collectées
; notification
obligatoire des failles de sécurité
par les responsables de traitementprivacy
by design
: systèmes conçus dès le départ pour protéger la vie privéeen finir avec les difficultés liées à l’extraterritorialité
du droit applicable, etc.
8 images manipulations, 5 moons, 3 flowers, 3 suns, 2 churches, no raton
laveur. Fdecomite. CC by. Flickr
17
Le Cloud, opportunités et menaces
A three‐segment
panorama of
a cumulonimbus cloud
over New York, JezFabi. Wikimédia.
CC by
Stockées dans les nuages, nos données sont accessibles partout et à tout momentMême plus besoin de clef USB
!
Facilité
d’usage et économie MAISPerte de la maîtrise de ses données Toile d’araignée des contrats
Circulation intense des données dans le monde et Orientation vers la nécessité
d’une assurance personnelle
18
La conservation des données techniques
Grattes‐ciels
à
Toronto, Tab. CC by‐sa. Flickr.
Les règles2OO1 USA Patriot
Act
Elle donne au FBI des pouvoirs sans contrôle judiciaire Elle s’applique aussi aux fichiers électroniques des bibliothèques
La loi est prolongée jusqu’en juin 2015
France 2001 Loi pour la sécurité
quotidienne (réflexion dès 1999)
2003 Loi pour la sécurité
intérieure2006 Loi relative à la lutte contre le terrorisme
19
La conservation des données techniques
Les enjeux pour les bibliothèquesLes bibliothèques
Opérateur de communications électroniques, la loi
concerne les personnes qui offrent au public un accès à des services de communication en ligne,
même à titre accessoire, même à titre gratuit Les données
relatives au trafic, celles qui permettent
d’identifier de
connexion l’utilisateur et le destinataire, les équipements, …A garder 1 an
ex
: l’adresse IP mais pas les noms et prénoms
ni aucun
contenuPour les remettre
aux agents habilités des services de police et de gendarmerie
nationale et … aux agents habilités de la HadopiPour
les besoins de la recherche, de la constatation et les
poursuites des infractions pénales, lutter contre le terrorisme mais aussi dans le cas de manquement à
l’obligation de
sécurisation des connexions Nécessité
d’Informer le public
Source : BBF 3, 2011
20
Tendances
Le Citoyen et le consommateur
PASSIF la loi Informatique, fichiers et libertés le protège malgré
lui
ACTIF
information et formationutiliser les outils pour gérer son e‐réputationlobbying des internautes (ex
: Facebook)
S’appuyer uniquement sur la loi serait illusoire
Voir aussi : CNIL, Yoogle
21
Ordre public et défis sécuritaires
identification vs/ anonymisationPréserver l’ordre public‐
en luttant contre toute forme de violences
‐ en garantissant les libertés individuelles et les parties les plus faibles comme les auteurs et les consommateurs
IllustrationUne proposition de loi pour garantir la vie privée. 1ère lecture au Sénat 24 mars 2010Encadrement plus fort et publicité
lors de la création d’un fichier de police Une proposition de loi contre l’anonymat des blogueurs
déposée le 3 mai 2010 … mais
jamais débattue
Éviter que lutter contre les dérives criminelles (hacking, pédopornographie, contrefaçon à
grande échelle, … ne se transforme par des dérives sécuritaires
(contrôle par le filtrage et censure)
Eagle eye. M Kuhn. CC by nc‐
sa
Flickr
Exposé
de Lionel Maurel
22
Safari, Edvige, Eloi et les autres
Safari, ou la «
chasse aux Français
»
à
l’origine de la loi Informatiques et libertés en 1978
Edvige
fichier sur certaines personnes publiques, individus ou groupes susceptibles de porter atteinte à
l’ordre public
Edvirps, un fichier Edvige
allégé, plus dur à
prononcer mais moins polémique
Plus dangereux qu’Edvige, le STICEloi
fichier d’étrangers en situation irrégulière fait
débat (JDD) Souriez! Nous sommes fiché(u)s
! YannSeitek
Flickr. cc by‐nc
Edvige, Cristina, Ardoise et les autres
23
Données vendues, perdues
Des risques accrus aussi lorsque l’Etat
fournisseur de services, sous‐traite des opérations à des opérateurs privés, qu’il vend nos données (Le
blog
Voix publique)
ou, plus trivialement, lorsqu’il les perd
ou les oublie
… au Royaume‐ Uni, certes
24
Ambivalences
Un monde paradoxal où
l’internaute n’est pas dupe, se «
théâtralise
»
volontiers et se débrouille plus ou moins bienoù
les régulateurs peinent à
concilier protection
de la vie privée, impératifs du commerce et ordre public
Un monde mouvantfrontières floues vie privée/vie publiqueautres valeurs appelées à jouer contrepoids variété
des stratégies non écrites
variété
croissante des données personnelles limites de contrôle et de circulation qui se déplacent et se brouillentUn monde intrusif
Skyscraper Art.Steve Kocino. CC by-nc-ndFlickr
25
Enjeux
Donner les moyens de se construire des stratégies identitaires
Eviter une autre forme de fracture
sensibilisation et formation
Déterminisme versrs stochastisme.
François Moreno
26
Impressions
Glanées çà
et là
et non une étude
Impressions pour une sensibilisation à une question complexe et passionnante
A suivre ….
Impression, soleil levant. Monet Musée Marmottan.Wikimédia
27
Butinage
OuvragesInformatique, libertés, identités. Daniel Kaplan avc
Arnaud Belleil, Renaud
Francou, Charles Népote
et Serge Ravet. Fing, 2010 (La fabrique des possibles)
L'identité
numérique en question, Olivier Iteanu, Eyrolles, 2008 Rapports Révolution numérique et droits de l’individu. 22 juin 2011La vie privée à
l’heure des mémoires numérique. Pour une confiance renforcée
entre citoyens et société
de l’information. Sur le site de la Documentation française, 27 mai 2009
Sites Bug brother, le blog
de Jean‐Marc Manhack
Plusieurs articles sur Numérama
28
Butinage
Présentations Economie
numérique
: les nouveaux enjeux de de la protection des données
personnelles, Henri Isaac. Sur SlideshareE‐réputation, identités numériques
: enjeux, outils, méthodologies, Olivier
Ertzscheid, 4 mai 2010. Sur SlideshareComptes rendus Identification, identifiant, identité, …
individu. Journée d’étude organisée par la
Fulbi
le 13 janvier 2009, Michèle, Battisti, ADBSL’adresse IP, données à
caractère personnel, cabinet Cilex, 5 août 2009
29
Butinage
ArticlesLe Cloud computing
: un défi pour la loi «
informatiques et libertés
?
Michèle
Battisti, Paralipomènes, 6 décembre 2010Yoogle
cafte tout, Marie Lechner, Ecrans, 8 mars 2010
Pour un droit à
l’oubli numérique, Compte rendu d’un atelier organisé
par Nathalie Kosciusko‐Morizet, Secrétaire d’Etat
chargée de la prospective et du
développement de l’économie numérique, Michèle Battisti,
Paralipomènes, 2 janvier 2010
et la vie privée, Arnauld de la Grandière, Macgénération
, 11 décembre 2009
L’adresse IP, données à
caractère personnel, cabinet Cilex, 5 août 2009