Protection technique des donn é es personnelles de l ’ internaute

Protection technique des données personnelles de l’internaute Kamel REZGUI Faculté de droit de Tunis, le 26 février 2008

Introduction • « Attaquée de toutes parts, la vie privée n’a jamais été, en même temps, aussi revendiquée, exigée, défendue » Denis Duclos, Le Monde Diplomatique

Cadre général • Les atteintes à la vie privée des personnes viennent de divers facteurs: fichage, vidéosurveillance, paparazzi… • Sur Internet, le phénomène est d’autant plus manifeste avec l’irruption de l’informatique et des réseaux • Les objectifs invoqués pour justifier le traitement des DP sont principalement:: la facturation, l'amélioration du service rendu aux clients, la tenue de statistiques ainsi que le contrôle de sécurité • Les navigations sur le net laissent nécessairement des traces pouvant être récupérées par des acteurs intéressés

Divers facteurs augmentent les risques d’atteinte à la vie privée des personnes: • le caractère ouvert du réseau Internet • Le foisonnement des traitements transfrontaliers des données • l’Internet marchand appréhendé comme un espace de marketing et de publicité… • Face à ces risques, un impératif essentiel accompagne les échanges électroniques: la confiance

Diverses solutions sont apportées aux dangers potentiels et réels que représente Internet pour les données personnelles • Trois types de solutions sont développés: • La solution juridique • La solution de l’autorégulation • La solution technique, objet de l’étude

Difficultés d’ordre terminologique • Avant le propos, il faut noter l’imprécision des contours des termes - clés de l’étude: les notions d’internaute, de données personnelles, et de protection technique • La notion d’internaute: • Les textes juridiques ne la consacrent pas expressément; ils emploient plutôt le terme d’utilisateur • Internaute, personne physique • L’internaute – utilisateur: • Conception large de l’internaute • Exhaustivité • Mais imprécision quant aux droits et obligations de l’internaute

L’internaute – abonné: • Conception restreinte de l’internaute • Simplicité de l’identification de l’internaute • Cette conception ne renseigne pas sur l’utilisateur effectif d’Internet • La notion de donnée personnelle ( DP ): • Consécration par le droit tunisien • Chapitre VI de la loi sur le commerce électronique du 9 août 2000 (certification électronique ) • article 9 nouveau de la constitution ( loi constitutionnelle du 1 juin 2002 ) • Loi organique n° 2004 – 63 du 24 juillet 2004 sur la protection des données personnelles

Rapprochement par rapport aux notions de: donnée nominative, renseignement personnel… • Nature: un aspect du droit à la vie privée qui englobe « tout ce qui se rattache à l'identité personnelle, familiale d'une personne ainsi qu'à son image » • Définition: « toutes les informations quelque soit leur origine ou leur forme et qui permettent directement ou indirectement d’identifier une personne physique ou la rendent identifiable » ( article 4 loi organique n° n° 2004 – 63 ) • Illustrations sur Internet: les données de connexion, ou de trafic…

Notion de protection technique des DP • Techniques améliorant la protection des DP ou Privacy Enhancing Technology (PET) • « systèmes et ses services d'information et de communication qui réduisent la collecte et l'utilisation de données à caractère personnel et facilitent le respect des règles de protection des données » • Toute technologie, dispositif ou composant • Objet : réduire, voire supprimer, la production de DP • Objectifs: contrôler l’accès à ses données personnelles et leur usage • Deux types de mesures: • Mesures de type organisationnel • Mesures individuelles prises par l’internaute

Problématique • Quelle place tiennent les mécanismes techniques dans le dispositif de protection des données personnelles de l’internaute? Et quel type de rapport entretiennent - t - ils avec les autres modes de protection, notamment les mécanismes juridiques? • Si les mécanismes techniques sont nécessaires à la protection des DP ( I ), ils ne sont pas pour autant suffisants ( II )

Plan de la présentation • I –Une protection technique des DP nécessaire • I - 1 Fondements de la protection technique • I - 2 Efficacité de la protection technique • I - 3 Diversité des mécanismes de protection technique • II – Une protection technique des DP insuffisante • II -1 Limites de la protection technique • II - 2 Complémentarité de la protection juridique avec d’autres modes de protection • II - 3 Encadrement juridique de la protection technique

I – Une protection technique des DP nécessaire • I -1 Fondements de la protection technique des DP • I – 2 Efficacité de la protection technique des DP • I - 3 Diversité des mécanismes de protection technique des DP

I-1 Fondements de la protection technique des DP • Les DP ont besoin d’être protégées sur Internet en tant que flux d’informations par la machine elle-même • Fonctions vitales de tout système d’information y compris les systèmes informatiques: confidentialité, intégrité, imputabilité et disponibilité des données… • Développement de techniques de plus en plus sophistiquées à même de porter atteinte à la vie privée de l’internaute, augmentant le besoin d’une protection technique de ces données

Ces techniques sont utilisées soit dans des traitements visibles par l’internaute soit à l’occasion de traitements invisibles par lui • Les traitements de DP visibles par l’internaute: • Renseignements personnels recueillis lors de la participation de l’internaute dans certaines activités en ligne ( Newsgroups chats, lancement d’une commande d’achat en ligne, un concours de jeux, de Lotto ou de casino en ligne …) • Les annuaires en ligne contenant des informations nominatives collectées à partir de bases de données ou de supports même papiers ( répertoires téléphoniques, diverses pages d’informations… )

Des logiciels vont assurer le repérage des adresses électroniques et des renseignements personnels, leur indexation, puis leur intégration dans des bases de données comportementales qui seront souvent cédées • Atteintes aux principes: d’information préalable, du caractère loyal du traitement, de confidentialité, de finalité, droit d’accès et droit d’opposition… • Les traitements de DP invisibles par l’internaute: • Des opérations de collecte et de traitement des renseignements personnels réalisées à l’insu de l’internaute

Les cookies: • « Des fichiers émis par un serveur à destination du disque dure de l’ordinateur de l’internaute dans lesquels& peuvent être retracés des renseignements pertinents pour son commanditaire sur les comportements de l’utilisateur d’Internet » • Ces « mini - bases de données » constitue une source d’atteinte à la vie privée de l’internaute et à son autodétermination sur les données qui la concerne

Les « fichiers log » • Ces fichiers contiennent les données de connexion des internautes issues des traces laissées par la machine utilisée par ces derniers qui est identifiée par une adresse IP • Ils comportent les données suivantes: Adresse IP machine, logiciel utilisé, sites et pages visités, date et heure de connexion,… • Nature juridique: les données de connexion sont – elles des DP ? • Ils permettent l’identification indirecte de l’internaute

I – 2 Efficacité de la protection technique des DP • Les sources d’efficacité de ce mode de protection se trouvent dans ses caractéristiques: • Caractère endogène des solutions techniques: solutions intégrées aux machines, logiciels et protocoles de communication • Caractère volontaire du recours aux solutions techniques: une auto - protection • Dépassement des contraintes nationales de la réglementation • Des solutions à la fois préventives et curatives • Verrouillage du traitement et des échanges ne respectant pas certaines exigences…

I - 3 Diversité des mécanismes de protection technique des DP • Les politiques de protection technique des DP de l’internaute • La politique d’économie de données: saisir, stocker et traiter le moins possible de DP • La politique de non - production de données: ne saisir, ne stocker, ni traiter aucune donnée personnelle: traitement totalement anonyme

Les principaux types de solutions techniques: • L’anonymisation des traitements • modification des données personnelles • impossibilité d’établir une corrélation avec une personne physique déterminée ou déterminable • La pseudonymisation des traitements • modification des données personnelles • une règle de correspondance permettant de corréler le traitement avec une personne physique

Exemples de mécanismes techniques de protection DP • L'anonymisation par une fonction de hachage • Calculer une valeur numérique à partir des données directement ou indirectement nominatives • Valeur substituée aux données à partir desquelles elle a été calculée. • L'anonymisation automatique après un certain temps excédant celui nécessaire à la réalisation des finalités du traitement • Les procédés de chiffrement notamment asymétriqueempêchant le piratage des DP • Les logiciels de filtrage de contenu

Les procédés anti-cookies, qui bloquent les cookies placés sur le PC de l’internaute • Les solutions anti-spams ( systèmes: opt in / opt out ) • La plate-forme: préférences relatives à la protection de la vie privée(Platform for Privacy Preferences ou P3P), • permettant aux internautes d'analyser les politiques de confidentialité des sites web et de les comparer avec leurs préférences • contribue à garantir que la personne concernée consente en toute connaissance de cause au traitement • La signature électronique • La certification électronique • La labellisation et le référencement des sites…

II – Une protection technique des DP insuffisante • II -1 Limites de la protection technique • II - 2 Complémentarité de la protection technique avec d’autres modes de protection • II - 3 Encadrement juridique de la protection technique

II – 1 Limites de la protection technique des DP • Insuffisance de la technique à elle seule d’assurer une protection efficace des DP: • La technique est une arme à double tranchant ( selon ses usages ) • Son application exclusive ne garantie pas le respect des principes régissant la vie privée • Des produits conçus en ignorance de leurs conséquences sur les libertés publiques • Des solutions conçues en dehors des instances représentatives: problèmes de légitimité politique • « Le modèle lex informatica souffre de l'absence d'un débat politique de l'intérêt public et de la pression commerciale pour une architecture technologique qui maximise la collecte de données et la dataveillance »

II - 2 Complémentarité de la protection technique avec d’autres modes de protection • Problématique générale de la régulation des échanges sur Internet, de la gouvernance d’Internet • La protection technique représente l’un des trois modes de régulation des échanges intéressant les DP • Régulation technique • Régulation juridique ( régulation politique ) • Auto-régulation par la communauté des internautes, par le marché ( régulation économique ): Safe Harbor Principles …

Limites de chacun des modes de régulation des échanges relatifs aux DP • Régulation technique: limites déjà vues • Régulation juridique: • Caractère dissuasif voire prohibitif des sanctions juridiques: «paradigme de suspicion » V. Gautrais • Caractère transnational des traitements de DP • Un droit de plus en plus participatif: consultations, livres verts… • Auto – régulation: • Absence de transparence dans le marché des DP • Les entreprises ne se soucient pas trop de la protection DP • Défaut d’une approche globalisante intégrant l’Intérêt général…

Limites d’une approche autosuffisante qu’elle soit technique, juridique ou d’autorégulation • L’efficacité de la protection des DP réside dans la complémentarité entre les trois modes de régulation

II - 3 Encadrement juridique de la protection technique des DP • Illustration du modèle de complémentarité: le droit au secours de la technique • Le droit de la sécurité des DP, un outil dans un dispositif: le droit de la sécurité des réseaux • Régime juridique de la correspondance privée ( code des télécoms, loi n° 2001 – 1 ) • Infractions pénales télématiques ( loi n° 99- 89 ) • La sécurité des réseaux devient un souci public national ( un service public en Tunisie: l’ANSI, Loi n° 2004-5 ): intervention technique de l’État • Une réglementation spéciale: audit de la sécurité, cryptage ( Décret n° 2001-2727 ) , mesures de protection technique des oeuvres…

Principe de sécurité et de confidentialité des DP (articles 18 et 19 de loi organique n° n° 2004 – 63 sur la protection des DP ) • Obligation à la charge du responsable du traitement • Définition législative des précautions à prendre • Obligation de résultat? • Responsabilité du responsable du traitement des DP • Fondement de la responsabilité civile: faute? • Nature de la responsabilité: • civile: article 20 loi organique n° 2004 – 63 • et pénale: article 94 de la même loi organique

Principe de neutralité technologique du droit • Effectivité de la protection technique: • Protection juridique des dispositifs techniques • De la nécessité de règles juridiques protégeant les mesures techniques contre le contournement ?

MERCI DE VOTRE ATTENTION

Protection technique des donn é es personnelles de l ’ internaute

Protection technique des donn é es personnelles de l ’ internaute

Presentation Transcript

Evaluation d un dossier m dical complet organis donn syst matiquement versus des l ments du dossier donn s en fonctio

Droit d auteur ou LDA Aspects juridiques Donn es personnelles Charte d usage

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

L’AVENIR DANS L’ESPACE RHÉNAN VU PAR LES ALLEMANDS, SUISSES ET FRANÇAIS QUI Y RÉSIDENT

Regular verbs ending in -er

La protection des données personnelles et la contractualisation sur Internet

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,

Ami(e) Internaute,