La sécurité de l'individu numérisé Riflexions prospectives et internationales
@ L'Harmattan, 2008 5-7, rue de l'Ecole polytechnique; 75005 Paris
http://www.librairiehannattan.com
[email protected] hannattan
[email protected] ISBN: 978-2-296-07612-9 EAN:9782296076129
Sous la direr:tion de
Stéphanie Lacour
La sécurité de l'individu
numérisé
Réflexions prospectives et internationales
Préface de Claude Kirchner Postface d'Isabelle de Lamberterie
Actes de colloque du programme de recherche Asphales ACI Sécurité informatique, Paris, 22 et 23 novembre 2007
L'Harmattan
Sommaire Avant-propos Stéphanie Lacour
9
Préface Claude Kirchner
13
Sécurité,
collecte
et conservation
Cas de données Sécurité de la RFID : comprendre Gildas Avoine
a Priori indifférentes la technique
Ubuquitous computing et Droit L'exemple Stéphanie Lacour Quelles limites à la « googleisation Pierre Trudel Identité numérique et anonymat: El Hassan Bezzazi Sécurité,
collecte
sans être un technicien
de la radio-identification
» des personnes? concepts
et conservation
Cas de données
des données
et mise en œuvre
17 29 47 71
des données
sensibles en elles-mêmes
Dossiers personnels ubiquitaires Philippe Pucheral et al.
et sécurisés
Les données de santé, l'exemple Caroline Zorn
du dossier médical personnel
La donnée biométrique et le document le point du vue du praticien Nicolas Delvaux
de voyage:
La donnée biométrique et le document le point de vue du juriste Claudine Guerrier
de voyage:
85 105
121
129
Sécurité
et exploitation
Appropriation
des données
des données
Litcle Brother Is Watching You - commercialisation
of personal
data
155
through 'webification' John Soren Pettersson La commercialisation des données personnelles, perspectives prospective: l'exemple des données de santé et du DMP Jean-Jacques Lavenue et Grégory Beauvais
et
171
Appropriation et eXploitation des bases de données: le droit sui generis, les mesures techniques de protection et les mesures anti-contournement peuvent-elles entraîner la monopolisation de l'information? Estelle Derclaye Base de données 2.0 : nouvelles approches d'extraction « loyale» des données Adel Jomm
d'appropriation
191
et
237
Sécurité et exploitation des données Persistance des données Réinventer l'art d'oublier et de se faire oublier dans la société de l'information? Antoinette Rouvroy Applications de la géolocalisation Gwendal Le Grand La géolocalisation des biens et des individus dans l'espace public: liberté de circulation et réseau de télécommunications Gaylord Bauden-Hamerel et César Povéda
249 279
289
299
Postface Isabelle de Lamberterie
8
Avant-propos STÉPHANIE LACOUR Chargée de recherche, CECO)I-CNRS L'individu, pourtant si valorisé dans nos sociétés modernes, est-il délaissé par la société de l'information? Comment gérer les droits et libertés de ceux, de plus en plus nombreux, qui possèdent une ou plusieurs identités dans le monde internationalisé et dématérialisé des réseaux? Plus fondamentalement encore, comment assurer leur sécurité dans des circuits informationnels qui ne se limiteront plus, demain, à des univers virtuels accessibles par le biais d'un écran mais envahiront les centres commerciaux, les rues, les domiciles mêmes des individus, tels que l'ubiquitous computing et la multiplication des caméras de surveillance l'annoncent? À ces questions, les spécialistes de la sécurité informatique, seuls, de même que les juristes, isolés, ont du mal à apporter des réponses. C'est de la rencontre fructueuse de leurs compétences que peuvent surgir, aujourd'hui, les éléments d'une bonne gestion des risques engendrés pour les individus de demain. L'interdisciplinarité est au cœur même de la problématique de la sécurité dans la société de l'information. C'est la raison pour laquelle elle fut également le noyau de la réflexion engagée en 2004, sous l'impulsion d'Isabelle de Lamberterie, par les équipes partenaires du programme de recherche Asphales. Ce programme de recherche a reçu, durant trois années, le soutien de 1'« Action concertée incitative - Sécurité et Informatique» du ministère de la Recherche. Il a rassemblé dans un même effort des équipes composées de chercheurs et d'enseignants chercheurs en droit et en informatique situées sur l'ensemble du territoire français 1. 1
Ces laboratoires de recherche sont: le CECO]I (UMR CNRS-Université de Poitiers) ; le CERDI (Université de Sceaux, Paris XI); le DANTE (Université de Versailles SaintQuentin) ; le DEFIS (INT-GET); l'ERIb (Université de Montpellier I) ; l'INRIA Rocquencourt) ; l'IREENA T (Université de Lille 2) auxquels s'est ajoutée la participation de la Direction des Archives de France.
La sécurité de l'individu numérisé
Durant trois années, les partenaires d'Asphales ont parcouru de concert les chemins parfois tortueux des textes normatifs applicables à la société de l'information, dans le but non seulement d'évaluer la pertinence de ces textes vis-à-vis des technologies informatiques existantes mais aussi de faire évoluer la science informatique par une meilleure compréhension des besoins de régulation exprimés par le droit. Ces dialogues étaient encadrés selon une méthodologie précise, inspirée du modèle canadien, de lectures croisées. Partant du principe que les textes de droit positif applicables à la société de l'information sont en permanence confrontés aux évolutions des connaissances informatiques, lesquelles doivent, en retour, tenir compte du droit applicable pour se développer dans des conditions satisfaisantes, c'est autour de ces textes - lois, décrets, mais aussi normes techniques - que se sont réunies les compétences de tous les chercheurs impliqués dans Asphales. Ces lectures croisées ont abouti à la diffusion, librement accessible sur le réseau Internet 2, d'un corpus de textes normatifs de la société de l'information commentés par les deux communautés de chercheurs. « Le droit est un des moyens de créer la confiance, la sécurité informatique est un des outils pour assurer cette confiance. Trouver un bon équilibre entre le besoin de reconnaissance de la fiabilité d'une technique de sécurisation et un encouragement à la recherche de nouveaux procédés aptes à répondre à ce besoin constitue un défi permanent. » C'est ainsi que débutait le premier ouvrage issu des recherches menées dans le cadre d'Asphales publié dans cette même maison 3. Les équipes partenaires de ce programme ont toutefois souhaité poursuivre la réflexion et la diffusion des résultats de leurs recherches au-delà des travaux relatifs à l'état de l'art juridique et technique en matière de sécurité juridique et informatique. Le colloque terminal de ce programme de recherche s'est donc donné pour mission de recentrer les efforts collectifs sur l'individu et sa sécurité dans la société de l'information, mais également d'en étendre la portée à une vision plus internationale et prospective, comme le démontrent les pages qui suivent. Construits sur les bases mêmes de notre recherche commune, ces actes sont naturellement interdisciplinaires et émanent tout à la fois de chercheurs 2
3
Ce corpus est consultable à l'adresse: http://www.asphales.net.
La sécurité alfjourd'hui dans la société de /'inf0l7l1ation, Contributions Stéphanie Lacour, L'Harmattan, 2007.
10
réunies
et coordonnées
par
Avant-propos
confIrmés et des jeunes chercheurs, doctorants du programme. Y ont également été associées, afIn de donner aux travaux réalisés la perspective internationale que ces recherches méritent, les réflexions de chercheurs canadien, américain, belge et suédois. Malgré le caractère nécessairement territorialisé de la règle de droit, en effet, et les limitations inhérentes des compétences des partenaires d'Asphales, il est parfaitement impossible de penser la société de l'information autrement qu'à une échelle beaucoup plus large que celle de la France. En outre, la juxtaposition des réflexions de chercheurs provenant d'horizons géographiques et juridiques très divers ouvre des pistes de recherches inédites, tant au point de vue méthodologique qu'épistémologique. C'est donc sur le double axiome de la prospection et de l'internationalisation de leurs travaux que les partenaires d'Asphales ont souhaité clore les trois années de leur programme et ouvrir la voie à de nouvelles réflexions pour l'avenir. Dans ce cadre, le choix a été fait de conserver une présentation juridique des problématiques en jeu, qui oppose les questions relatives à la collecte et la conservation des données concernant les individus à celles qui concernent leur eXploitation. Le contenu des thèmes traités, toutefois, illustre parfaitement la démarche poursuivie d'un bout à l'autre de la recherche Asphales, puisque chaque question abordée l'a été sous l'angle de la sécurité informatique aussi bien que de la sécurité juridique. Tout comme « La sécurité, aujourd'hui, dans la société de l'information », cet ouvrage illustre la diversité des points de vue et des échanges auxquels notre recherche a donné lieu. Il est le résultat tangible des discussions et des questionnements qui nous ont rassemblés sur la société que nous sommes en train de construire pour les générations, numérisées ou non, de demam. . .
11
Préface CLAUDE KIRCHNER Directeur délégué, INRIA Bordeaux Comme le présente si bien Michel Serre, tout système physique ou vivant peut produire, stocker, émettre, recevoir de l'information. Cette remarque simple illumine notre compréhension des évolutions majeures de l'humanité. Nous sommes passés successivement de situations où l'information était transmise oralement, puis par l'écriture manuscrite et enfIn grâce à Gutenberg, sous forme imprimée. À chacune de ces transformations correspond une évolution majeure des sociétés humaines et aujourd'hui nos civilisations sont en pleine révolution par le passage de l'imprimé au numérique. Le mot révolution n'est pas trop fort et nous commençons seulement à en appréhender les diverses facettes et les implications profondes à tous les niveaux de nos activités et de nos sociétés. Une conséquence immédiate, majeure mais souvent peu visible a priori, concerne la sécurité. Lorsqu'ils se présentent sous une forme imprimée, nous pouvons protéger nos documents du temps, des intempéries ou des personnes en les mettant dans une armoire, un coffre ou chez une personne de confIance comme un notaire. Qu'en est-il aujourd'hui des photos numériques, de documents numériques de type pdf dont un État ou une personne privée peuvent souhaiter qu'ils restent secrets pendant cinquante ans par exemple? Clairement nous ne le savons pas bien. Qu'en est-il aujourd'hui du dossier médical de chacun? L'intérêt de le numériser est clair, notre vie peut en dépendre, celle de nos enfants dans le futur aussi grâce par exemple à la compréhension statistique des données accumulées. Mais que devient dans un tel contexte notre vie privée? L'économie de la sécurité du numérique est mal connue mais a des impacts socio-économiques et géostratégiques considérables. Comment l'évaluer et comment la réguler? Nous ne savons pas bien répondre à ces interrogations qui posent de tous points de vue des questions de recherche fondamentale et appliquée, scientifIquement intéressantes et techniquement cruciales.
La sécurité de l'individu numérisé
La révolution numérique en cours, transforme nos vies, nos relations et nos sociétés. Elle transforme donc profondément notre droit. Par exemple, dans quelles circonstances avons-nous le droit de copier un document comme une lettre, une photo, une œuvre musicale... Qui a le droit d'accéder aux données nous concernant? La numérisation rend le droit actuel caduc, souvent inapproprié ou incorrect, voire juste inexistant. C'est dans ce contexte que le ministère de la Recherche a décidé en 2003 de lancer un programme de recherche fondamentale consacré aux aspects de sécurité liés à l'informatisation globale. Le projet Asphales a été financé dans ce cadre à partir de 2004 et s'est terminé par un colloque dont le présent ouvrage rassemble la plupart des contributions.
Le travail effectué - et le recul qu'il permet de prendre - est remarquable et va permettre tant aux citoyens qu'aux décideurs de mieux comprendre les implications profondes de la sécurité numérique dans notre droit national et international. Ce que les sciences et technologies de l'information et de la communication nous apportent doit être maîtrisé par le droit approprié. Cette réflexion profondément multidisciplinaire a été conduite de manière magistrale dans le projet Asphales. Je vous laisse le plaisir et l'intérêt de la découvrir. Elle nous permet de mieux envisager l'ampleur des capacités que nous donne cette ère numérique, mais aussi la responsabilité profonde qui en découle pour la maîtriser et la comprendre.
14
Sécurité, collecte conservation
et
des données
Cas de données a priori indifférentes
Sécurité de la RFID : comprendre Gildas AVOINE
la technique
Ubuquitous computing et Droit. L'exemple Stéphanie LACOUR Quelles limites à la « googleisation Pierre TRUDEL Identité numérique et anonymat: El Hassan BEZZAZI
sans être un technicien
de la radio-identification
» des personnes?
concepts
et mise en œuvre
Sécurité de la RFID : cornprendrelatechrrique sans être un technicien GILDAS AVOINE Professeur, DCL, Louvain-la-Neuve, Belgique Il est aujourd'hui difficile de parler de RFID sans que ne viennent à l'esprit les termes de «sécurité de l'information» et de «protection des données personnelles». L'évocation même de ces notions crée généralement une réaction épidermique chez les fournisseurs et fabricants de solutions RFID. Les experts en sécurité donneraient-ils une mauvaise image de la RFID ? Comme le vieil adage le rappelle pourtant, il n'y a pas de fumée sans feu et comprendre l'étendue de l'incendie constitue leur mission. L'évolution de la technologie
RFID
Contrairement à ce que l'on pourrait croire, la RFID n'est pas une révolution technologique du vingt-et-unième siècle, mais de la première moitié du vingtième 1. Elle a cependant beaucoup évolué depuis lors et celle qui nous entoure aujourd'hui n'a plus grand-chose à voir avec la RFID de nos aïeux. Bien sûr, les principes physiques sur lesquels elle repose restent les mêmes, mais les progrès réalisés en électronique ont radicalement changé la donne: le prix d'un tag peut atteindre une quinzaine de centimes d'euros et sa taille est parfois inférieure à un grain de riz. Ces valeurs extrêmes ne doivent cependant pas cacher la réalité, car à chaque application correspond un tag qui lui est adapté: il est inutile d'utiliser un tag minuscule 2 (et donc coûteux) pour une application qui ne le nécessite pas, et il est impossible d'utiliser un tag à 15 centimes d'euros pour une application qui requiert de 1
La première application largement déployée est attribuée à la RqyalAir Forceet à son sys-
tème IdentificationFriend or Foe qui permettait de distinguer les aVions alliés des avions ennemis dès 1aSeconde Guerre mondiale. 2 Le l'lus petit tag commercialisé est le ~-tag, proposé par Hitachi, qui mesure 0,4 mm de côté. En 2007, Hitachi a également annonce la sortie d'unnouveau tag dont la taille n'est que de 0,05 mm de côté, mais l'antenne n'est pas incluse dans le tag dans ce cas-là. 17
La sécurité de l'individu numérisé
la sécurité. Il existe donc une large gamme de tags avec des caractéristiques très variées qu'il est impossible d'étudier séparément. L'une d'entre elles, pourtant, est une caractéristique discriminante de la nouvelle vague RFID : c'est la manière dont le tag est alimenté. Les tags qui possèdent une batterie intégrée sont dits « actifs ». Ils sont relativement coûteux et leur taille est évidemment contrainte par la taille de la batterie. Ils sont généralement utilisés pour des applications nécessitant des capacités de calcul ou des distances de communication importantes. On les trouve notamment pour l'ouverture des portes de voiture, pour les péages autoroutiers, pour la localisation de containers, etc. Les tags sans batterie sont dits « passifs ». Ils obtiennent leur énergie à partir du champ électromagnétique émis par le lecteur. Cela signifie que les tags doivent être présents dans le champ du lecteur pour communiquer et éventuellement effectuer des calculs. Ils répondent donc à la sollicitation d'un lecteur mais n'initient pas eux-mêmes de communication. Ils ont une distance de communication substantiellement plus faible que les tags actifs, pouvant aller de quelques centimètres à quelques mètres selon la technologie utilisée. Ce sont ces tags passifs qui sont aujourd'hui sur le devant de la scène et il est même devenu usuel d'utiliser simplement le terme « RFID » pour désigner la RFID passive et de dire explicitement « RFID active» dans le cas contraire. Les tags passifs les moins chers ne sont dotés que d'une mémoire contenant un identifiant unique 3. La communication entre le lecteur et le tag est alors très simple: sur sollicitation du lecteur, le tag envoie son identifiant, comme le ferait tout simplement une personne à qui l'on demanderait son nom. La communication peut parfois bénéficier de mécanismes légèrement plus évolués: certains tags ne fourniront leur identiftant que si le lecteur envoie un mot de passe correct, convenu à l'avance, lors de la fabrication ou de l'initialisation du tag. Le déploiement des tags à très bas coût a été renforcé et même catapulté par la création d'un consortium aux États-Unis en 1999, l'Auto-ID Center 4, qui a pour but de standardiser et de promouvoir l'utilisation de la RFID dans les chaînes logistiques, en particulier dans la 3
Le système d'information comprend alors une base de données qui contient les identifiants des tags et les données qui leur sont liées. Par exemple, la base de données qui enre~stre les chiens en Belgique est consul table librement sur Internet (www.abiec-bvirh.be) : etant donné un numéro de tag RFID d'un chien enregistré dans les fichiers de l'ABIEC, tout un chacun peut obtenir les informations concernant l'animal ainsi que les coordonnées de son propriétaire (identité, adresse et numéro de téléphone). 4 L'auto-ID Center s'est ensuite scindé pour donner naissance à l'EPC Global Network et aux Auto-ID Labs. 18
Sécurité de la RFID : comprendre la technique sans être un technicien
grande distribution.
À l'opposé,
certaines
tés individuelles comme CASPIAN
5
organisations
ou FOEBUD
6
de défense des liber-
tentent de limiter, voi-
re de stopper, leur propagation. Un autre exemple de tag, cette fois plus coûteux, est un tag qui possède des capacités de calcul importantes et capable d'effectuer des opérations 7. Celles-ci permettent cryptographiques de sécuriser le système RFID considéré notamment en chiffrant la communication entre le lecteur et le tag. Ces tags possèdent également une mémoire pour stocker des données, généralement un ou deux kilo-octets, mais des valeurs bien supérieures peuvent être atteintes, comme c'est le cas avec les passeports biométriques. Ces derniers peuvent contenir 70 kilo-octets 8 de données, soit environ 70 000 caractères - voire plus si des techniques de compression sont utilisées - ou plusieurs photos de taille et de qualité raisonnables. Un tag de ce type possède une distance de communication de l'ordre de quelques centimètres (ISO 14443) ou décimètres (ISO 15693).
Deux familles d'applications: identification et authentification S'il existe plusieurs types de tags, c'est bien parce qu'il existe aussi plusieurs types d'applications. On en distingue deux grandes familles. L'une dont le but est uniquement d'apporter des fonctionnalités nouvelles ou d'améliorer des fonctionnalités existantes et dont le souci majeur n'est pas la sécurité (remplacement des codes-barres, tatouage du bétail, etc.). L'autre dont l'objectif est de sécuriser un système (badge d'accès à un immeuble, clef de démarrage d'une voiture, abonnement aux transports publics, etc.). Le point fondamental qu'il faut retenir est que le but du lecteur RFID est d'obtenir l'identité de l'objet interrogé dans le premier cas, mais aucune preuve de cette identité n'est requise: les échanges entre le lecteur et le tag constituent alors un protocole d'identification. Dans le second cas, il est important qu'une preuve de l'identité soit fournie: on parle de protocole d'authentification. Par abus de langage, protocole RFID désigne aussi bien un
5
Consumers Against Supermarket Privary Invasion and Numbering (CASPIAN) est un groupe dont le but est de combattre les cartes de fidélité dans les supermarchés. (www.nocards.com) 6 www.foebud.org 7 Selon les modèles de tags, ces opérations cryptograpruques peuvent être réalisées en logique câblée ou par un microprocesseur. 8 La taille de la mémoire peut varier d'un pays à l'autre, selon la solution technologique retenue, mais reste de l'ordre de plusieurs kifo-octets. 19
La sécurité de l'individu numérisé
protocole d'identification qu'un protocole d'authentification, mais il faut bien garder à l'esprit que ces deux concepts ne sont pas équivalents et les problèmes de sécurité auxquels ils doivent faire face sont différents. Plus précisément, identification et authentification doivent résister aux attaques de type vol d'informations, traçabilité malveillante et déni de service, mais l'authentification doit en plus résister au vol d'identité.
Vol d'identité Comme nous l'avons dit, l'identification n'a pas pour but de prouver l'identité d'une personne ou d'un objet, mais seulement d'annoncer une identité. Quiconque écoute la communication entre un lecteur et un tag est donc en mesure« d'entendre» cette identité mais il ne s'agit pas là d'un vol. En revanche, un protocole d'authentification doit assurer au lecteur qu'il communique réellement avec la personne ou l'objet prétendu. Il existe pour cela des procédés dits «d'authentification faible» et des procédés dits « d'authentification forte », que nous introduisons ici. Dans le cas de l'authentification faible, le tag prouve son identité en envoyant une information secrète au lecteur, en quelque sorte un mot de passe. Cette information peut être écoutée par quiconque à proximité du tag, qui peut ensuite se faire passer pour celui-ci en utilisant cette information. C'est tout simplement la technique utilisée par Ali Baba pour ouvrir la fameuse caverne d'Abdul. La différence entre «identification» et « authentification faible» est donc très mince en RFID puisque la seule différence est que l'information envoyée par le tag est publique dans le cas de l'identification alors qu'elle est secrète dans le cas de l'authentification faible, mais peut être obtenue par quiconque interrogeant le tag ou écoutant une communication entre le lecteur et le tag. L'authentification forte ne permet pas de faire une «attaque à la Ali Baba », que l'on appelle plus sérieusement une « attaque par rejeu». Le principe que l'on trouve dans la majorité des tags aujourd'hui est le suivant: le lecteur envoie une question au tag telle que seul celui-ci est capable d'y répondre. Chaque fois que le lecteur souhaite authentifier le tag, il envoie une nouvelle question pour éviter qu'un pirate ayant écouté une précédente réponse ne puisse se faire passer pour ledit tag. Techniquement, chaque tag possède un secret unique partagé avec le lecteur et l'utilise pour répondre à
20
Sécurité de la RFID : comprendre la technique sans être un technicien la question 9. La réponse est obtenue en effectuant une opération cryptographique 10sur cette question à l'aide du secret partagé 11.Ainsi, il n'est pas possible de créer un tag piraté sans posséder le secret, qui est en fait protégé dans la mémoire du tag et n'est jamais révélé. L'authentification faible ne devrait évidemment pas être utilisée pour des applications sensibles. Toutefois, depuis le déploiement soudain de la RFID, il n'est pas rare de voir des locaux à accès strictement contrôlé protégés uniquement avec de l'authentification faible. Défaillance volontaire ou involontaire? Qui est le responsable? Qui est informé de cette faiblesse? Il n'est pas facile d'apporter des éléments de réponse à ces questions car le système utilisé est généralement livré « clef en main» et perçu comme une boîte noire par le client. Connaître la réelle sécurité du système nécessite d'être un fm limier car, même mandaté officiellement par le client, retrouver parmi les interlocuteurs (responsable logistique du client, responsable informatique du client, fournisseur de solutions RFID clef en main, vendeur du contrôle d'accès, fournisseur du tag, fournisseur du microcircuit, fournisseur du système d'exploitation embarqué dans le tag, etc.) celui qui connaît le contenu de la boîte dans sa globalité et qui accepte d'en parler est particulièrement difficile. Une solution serait certainement de créer un label de type « solution d'identification », « solution d'authentification faible », « solution d'authentification forte» qui permettrait de mettre un nom sur le responsable, si une solution d'identification ou d'authentification faible est vendue en lieu et place d'une solution d'authentification forte. Pour noircir le tableau, soulignons que, en pratique, de nombreux systèmes d'authentification forte utilisent des fonctions cryptographiques propriétaires pas assez expertisées. Le problème peut venir de l'utilisation de secrets trop courts, donc facilement « devinables» (c'est en fait assez fréquent) ou la fonction employée peut être tout simplement mal conçue 12. 9 Également appelée « défi» ou « challenge », la question n'est autre qu'un nombre aléatoire. 10 Il s'agit d'une signature numérique ou d'un chiffrement reposant sur de la cryptographie symétrique (plus rarement, sur de la cryptographie à clefs publiques). Cette fonction est publique et donc potentiellement connue de tous, mais le paramètre de la fonction, c'est-àdire le secret, n'est connu que du lecteur et du tag. Il Seuls les possesseurs du secret partagé sont capables de calculer et vérifier la réponse, et la connaissance de la réponse ne revèle aucune information sur le secret partagé. 12 Attaque sur les clefs de démarrage de voitures utilisant le module DST de Texas Instrument, ainsi que sur la carte de paiement américaine SpeedPass. Attaque sur les passeports biométriques : http://www.avoine.net/rfid/passports.htlm Attaque sur les dispositifs KeeLoq d'ouverture des portes de voitures, presentée par Bart Preneel à la Rump Session de la conférence Crypto 2007. 21
La sécurité de l'individu numérisé
Vol d'informations Alors que l'usurpation d'identité ne concerne que les tags qui ont pour objectif de réaliser de l'authentification (par opposition à l'identification), le problème du vol d'informations concerne potentiellement tous les tags. Il se pose dès lors que les données envoyées par le tag révèlent des informations sur l'objet qui le porte. Par exemple, un document d'identité ou une carte de paiement peut révéler des informations confidentielles. Une carte de transport public peut révéler les dates et lieux des derniers passages de son porteur. Plus préoccupant, les produits pharmaceutiques marqués électroniquement, comme préconisé par la Food & Drug Administration aux États-Unis, pourraient indirectement révéler les pathologies d'une personne, etc. Une parade consiste à ne stocker qu'un identifiant sur le tag et à stocker les données confidentielles dans une base de données. C'est ce qui se passe généralement, ne serait-ce que parce que cela réduit le coût du tag. Le risque de divulgation d'informations personnelles au niveau du tag est ainsi en quelque sorte éliminé, mais le problème se translate sur la base de données, comme nous le verrons plus loin. Une autre manière de traiter le problème est de faire en sorte que le tag chiffre les données qu'il envoie ou exige que le lecteur s'authentifie avant toute discussion. Car le problème est bien là : le tag répond à toute sollicitation sans accord exprès de son porteur. Ces deux approches nécessitent toutefois une gestion des secrets partagés 13 assez contraignante car chaque tag doit avoir son propre secret. Elle nécessite également une capacité de calcul relativement importante, que les tags à très bas coût ne possèdent pas. Cette approche est cependant aujourd'hui très répandue, par exemple pour le contrôle d'accès physique. Mais la fuite d'informations, ce n'est pas seulement le vol d'informations personnelles. Un problème rarement évoqué est l'espionnage industriel. Celui-ci peut prendre différentes formes. Au lieu de soulever la bâche d'un camion de la société concurrente, il est aujourd'hui plus facile de découvrir leur contenu en les scannant lorsqu'ils sortent de l'entrepôt ou lorsqu'ils 13
L'utilisation de cryptographie à clefs publiques est particulièrement délicate en raison des faibles capacités des tags ce qui oblige à utiliser de fa cryptographie symétrique malgré la difficile gestion des secrets: chaque tag doit posséder son propre secret, qu'il parta~e avec le lecteur. L'utilisation d'un même secret pour tous les tags d un système donné n est pas envisageable car la compromission d'un seul tag (secret révélé) mettrait en péril tous les autres tags du système. 22
Sécurité de la RFID : comprendre la technique sans être un technicien
sont stationnés sur les aires de repos. Car aujourd'hui, nombre de cartons, palettes ou containers sont déjà marqués avec des tags RFID. Mais faire de l'espionnage industriel, c'est aussi obtenir de l'information sur ses concurrents par le biais de ses clients. Par exemple, en se rendant dans la société d'un client pour y faire du démarchage, du suivi de commande ou de l'expertise, il est possible de scanner les lieux aftn de détecter la présence de tags provenant d'un concurrent. Soulignons enftn un phénomène a priori indépendant de la RFID mais qui, dans les faits, y est fortement lié, la « log-mania ». L'installation d'une solution RFID dans une société entraîne généralement une refonte de la structure informatique de gestion. Enregistrer tous les faits et gestes liés aux objets marqués électroniquement est tentant en raison de la facilité de mise en œuvre. Le moindre déplacement ou modiftcation d'un objet est alors enregistré dans les ftchiers. Le vol d'informations dans une base de données par un concurrent ou la fuite accidentelle d'informations (perte d'une sauvegarde ou d'un ordinateur portable, etc.) existe aujourd'hui avec tout système d'information, mais le risque et les conséquences sont accentués avec la multiplication des systèmes RFID et l'augmentation des informations qu'ils enregistrent. Par exemple, étant donné l'identiftant d'un tag, il est possible aujourd'hui de retrouver chez le fournisseur le lieu et l'heure de sa fabrication ou des contrôles qu'il a subis, voire l'identité de la personne qui l'a contrôlé. Au niveau de l'exploitant du système RFID, on pourra par exemple retrouver dans la base de données d'une société de transport public les lieux et heures de passage de tous les clients. La base de données RFID devient alors une cible idéale pour la concurrence. Enftn, l'individu lui-même peut souffrir de cette « log-mania» car la quantité d'informations personnelles enregistrées informatiquement tend à s'accroître. Comme nous l'avons dit, ce n'est pas une conséquence directe de l'utilisation de la RFID, mais la RFID semble bien attiser ce phénomène. Les informations ainsi recueillies peuvent ensuite être divulguées volontairement ou involontairement. Un employé ayant accès à la base de données pourrait obtenir voire vendre des informations conftdentielles 14. Nous verrons dans la section suivante le cas des transports publics de la ville de Boston aux États-Unis, mais citons ici un autre exemple, celui du tatouage animal. Chaque animal domestique possède en Europe un tatouage, de plus en 14 Dans un cadre différent, plusieurs affaires judiciaires récentes ont mis en cause des policiers et gendarmes 'lui ont vendu des informations à des détectives privés, en abusant de leurs privilèges d'acces à des fichiers confidentiels (Le Figaro, 14 avriI2006). 23
La sécurité de l'individu numérisé
plus souvent électronique. Le tag injecté sous la peau de l'animal ne contient lui-même qu'un simple identifiant, qui est enregistré dans un fichier national. À cet identifiant, correspond dans le fichier un ensemble de données sur l'animal mais aussi sur son propriétaire. Prenons le cas de la Belgique. L'organisme chargé de l'enregistrement des animaux domestiques canins est l'Association belge d'identification et d'enregistrement canins 15.À partir du numéro de tatouage, électronique ou non, il est possible d'obtenir publiquement sur le site web de l'association l'ensemble des données concernant l'animal ainsi que l'identité, l'adresse et le numéro de téléphone du propriétaire 16.
Comme nous l'avons vu, le risque de vol d'informations au niveau du tag peut être fortement réduit si des techniques cryptographiques (chiffrement ou authentification) sont utilisées. L'usage de ces techniques sur des tags à très bas coût ne peut toutefois pas être envisagé. Dans ce dernier cas, seul un identifiant est émis par le tag, mais cette donnée peut déjà constituer une information de grande valeur, notamment pour un concurrent.
Traçabilité malveillante Le problème de la traçabilité malveillante est plus délicat à traiter. Quelle que soit l'information envoyée par le tag, elle peut potentiellement être utilisée pour le tracer, par exemple pour déterminer l'heure d'arrivée et de départ d'une personne de son poste de travail. Pour ne pas permettre la traçabilité malveillante, le tag doit n'envoyer aux lecteurs que des réponses qui « semblent» être aléatoires 17sauf pour le lecteur autorisé 18. Cette technique n'est presque jamais employée car elle présente plusieurs inconvénients majeurs: (1) le tag doit avoir les capacités suffisantes pour utiliser de la cryptographie; (2) pour pouvoir lire ifficacement les données reçues, le lecteur doit connaître l'identité du tag (pour savoir quel secret utiliser), mais pour connaître l'identité du tag, il doit savoir lire les données reçues; (3) pour pouvoir communiquer, le système RFID utilise 15 http://www.abiec-bvirh.be/. 16 En France, l'accès à l'intégralité des fichiers répertoriant canins et félins semble aux professionnels. 17 La valeur renvoyée par le tag peut être par exemple l'identifiant de celui-ci, chiffré secret partagé par le lecteur et le tag. Il faut alors que le chiffrement soit randomisé, dire que chiffrer une même valeur deux fois doit produire deux résultats différents. 18 En utilisant le secret partagé, le lecteur peut déchiffrer la réponse du tag et ainsi son identifiant. 24
réservé avec le c'est-àobtenir
Sécurité de la RFID : comprendre la technique sans être un technicien un protocole d'évitement de collisions 19 qui repose souvent sur le fait que chaque tag possède un identifiant d'évitement de collisions unique et fixe (OlD) ; en conséquence, même si le protocole RFID évite la traçabilité malveillante, le protocole d'évitement de collisions peut permettre la traçabilité du tag et donc de son porteur. Le seul exemple que nous connaissons où le problème de la traçabilité malveillante est pris en compte est le passeport biométrique. En effet, dans le cas du passeport, le tag ne délivre des informations intelligibles qu'à partir du moment où le lecteur s'est correctement authentifié 20. En outre, l'identifiant d'évitement de collisions n'est pas fixe: il est généré aléatoirement chaque fois que le tag est sollicité par un lecteur. Seul bémol, même s'il n'est pas possible de tracer en théorie un passeport, sa présence peut être détectée: avant de s'authentifier auprès du passeport, le lecteur envoie une commande pour sélectionner l'application « passeport» sur le tag. Si le tag ne renvoie pas de message d'erreur, cela signifie bien que le lecteur est en présence d'un passeport. Illustrons la traçabilité, certainement pas malveillante, mais faite à l'insu des utilisateurs, par le cas du métro de Boston. La MBTA, la compagnie de transports publics du Massachusetts, enregistre depuis l'introduction de son nouveau système RFID les passages dans les portillons des voyageurs munis de la Charlie Card, sésame des transports bostoniens qui peut contenir un abonnement ou un porte-monnaie électronique. Si la Charlie Card est rechargée avec une carte de crédit, alors le numéro de la carte de crédit est associé au numéro de la Charlie Card dans les fichiers de la MBTA. Enfin, troisième élément, les stations de métro de Boston regorgent de caméras de surveillance. En associant ces trois éléments, MBTA et police ont été en mesure d'arrêter plusieurs dizaines de malfaiteurs depuis la mise en service du système, en décembre 2006. Il Y a quelques semaines, Richard Stallman proposait aux membres du CSAIL, laboratoire du MIT auquel appartient le célèbre défenseur des libertés individuelles, de se réunir pour une séance d'entre-échange de Charlie Card, juste histoire de brouiller les pistes...
19
Un protocole d'évitement de collisions permet de lire un tag même si un autre tag se trouve dans le champ électromagnétique du lecteur. Sans un tel protocole, la présence de deux tags en même temps à proXlfTlÎté d'un lecteur empêche celui-ci de fonctionner correctement. 20 Le secret permettant au lecteur de s'authentifier est imprimé dans le passeport, et lu par un dispositif optique. 25
La sécurité de l'individu numérisé
Déni de service Enfm, le piratage peut ne pas concerner un tag donné, mais un système donné en cherchant à déstabiliser son infrastructure. Cela peut être fait de manière inintéressée, au même titre qu'un pirate informatique déface un site web ou qu'un délinquant dessine des graffitis sur les murs, ou cela peut être le fruit d'un travail élaboré et prémédité. Ce dernier cas est tout à fait envisageable dans une situation de concurrence entre deux sociétés. Il pourrait être tentant de déstabiliser son concurrent en anéantissant le système RFID qui contrôle sa chaîne de production. Les techniques qui permettent de faire cela sont diverses et variées et dépendent fortement de la technologie RFID utilisée. Une technique simple est d'utiliser un brouilleur électromagnétique qui empêche la lecture des tags présents dans son environnement. Ce brouilleur peut être introduit chez la victime ou, s'il est assez puissant, placé à l'extérieur des locaux de la victime. Plus subtil, des tags falsifiés peuvent être introduits chez la victime pour '2122 pertur b er son systeme . Notons également qu'il est facile de «cacher» de manière électromagnétique un tag RFID en le plaçant dans une cage de Faraday qui peut être constituée d'une simple feuille métallique 23. Cette technique est redoutable dans un magasin qui utilise de la RFID et dont le contrôle de sortie est effectué par le client lui-même en utilisant une caisse self-service. L'étude des dénis de service dans les systèmes RFID n'en est qu'à ses premiers balbutiements. Ce domaine profite d'une longue histoire et de l'expérience dans le domaine plus général de l'informatique qui pourront être utilisées, à bon ou mauvais escient, dans le domaine plus restreint de la RFID.
Conclusion Cette succincte présentation de la sécurité de la RFID a pour but de présenter et de clarifier les menaces qui pèsent aujourd'hui sur cette technolo21
Notons que le blocker tag proposé par Ari Tuels, Ronald Rivest et Michael Szydlo dans le but de préserver la sphère privee est malgré lill aussi un outil de déni de service qill permet de perturber les systemes RFID d'autrtÙ au niveau du protocole d'évitement de collis1ons. 22 Une technique fortement étudiée depills peu est la conception de virus transportés par des tags RFID. 23 Du film alimentaire en aluminium est suffisant pour faire barrage aux ondes électromagnétiques. Des solutions plus élégantes mais dont le principe est tout aussi simple peuvent etre achetées sur Internet, par exemple sur le site www.rfid-shield.com. 26
Sécurité de la RFID : comprendre la technique sans être un technicien
gie. Sans aborder les aspects purement techniques, elle permet de distinguer ce qui est réalisable de ce qui ne l'est pas, tant en termes d'attaques qu'en termes de contre-mesures. Vol d'identité, vol d'informations, traçabilité malveillante et déni de service sont autant de menaces qu'il faut considérer sérieusement. Certaines d'entre elles trouvent incontestablement leur parade dans l'usage de la cryptographie. D'autres sont plus délicates à traiter. Mais il est un point important qu'il faut garder à l'esprit: les techniques mises en œuvre pour sécuriser la RFID repose sur le postulat que les attaques proviendront d'un pirate extérieur au système. Une menace majeure, pourtant, concerne l'utilisation abusive voire frauduleuse des données par les personnes même qui les recueillent licitement.
27
U buquitous computing 1 et Droit L'exemple
de la radio-identification
STÉPHANIE LACOUR Chargée de recherche au CECO]I-CNRS Lassée de jouer dans l'herbe du parc, Alice s'assoupit. À l'instant où elle s'endormait, son regard fut attiré par le passage d'un lapin blanc, habillé d'un costume trois pièces de marque et équipé d'une magnifique montre à gousset, qu'il consultait fébrilement. Le lapin s'inquiétait à voix haute: «Je ne vais jamais avoir suffisamment de temps! ». Intriguée par ce manège et désireuse de lui apporter son aide, Alice décida d'accompagner le lapin... Arrivé à quelques mètres de son automobile, celui-ci l'ouvrit grâce à une clé RFID. La fillette se permit alors de lui faire remarquer qu'ils gagneraient certainement du temps en prenant les transports en commun. « Qu'à cela ne tienne », répondit le lapin, et ils se dirigèrent vers le bus le plus proche. Une fois montés à bord et enregistrés sur le système par leurs cartes sans contact, les deux compères se dirigèrent vers un centre commercial. Le lapin savait en effet que le dernier album de son groupe préféré, les « Lièvres verts », était dans les bacs, et il souhaitait en acquérir un exemplaire numéroté. L'album dans sa besace, ils quittèrent le magasin en jetant un regard à la montre, qui leur conseilla au passage, grâce aux informations de son lecteur RFID, de se rendre dans le magasin de vêtements du centre pour y acquérir le tee-shirt promotionnel des Lièvres verts, qui venait d'être livré, ainsi qu'un chapeau pour Alice, dont la puce implantée signalait un risque d'insolation. Les deux amis décidèrent de ne pas tenir compte de ces conseils. Ils savaient que leurs systèmes embarqués avaient tendance à les pousser à la consommation. En outre, le lapin avait promis à Alice un verre de jus de carottes ainsi qu'une copie de l'album des Lièvres verts, qu'elle ne connaissait pas.
1
L'ubiquitous computing,expression inventée par Mark Weiser, du Xerox Parc de Palo Alto, en Californie, est un système constitué d'ordinateurs invisibles et omniprésents, embarqués dans notre environnement. Les RFID prennent une part centrale dans ce dispositif cauipassait pour futuriste il y a encore quelques mois mais semble désormais à nos portes. A ce sujet, on l'eut
lire Everyware:
The Dawning Age
New Riders Publishing, 2006.
0/ Ubiquitous
Computing de Adam
Greenfield,
La sécurité de l'individu numérisé
Dans le terrier du lapin, la porte équipée d'un lecteur RFID s'ouvrit automatiquement. Le réfrigérateur fut moins coopératif et lui indiqua qu'il ne pouvait offrir à son invitée le jus promis, la date d'expiration contenue dans l'étiquette électronique de ce dernier étant expirée depuis 2 heures. Ils se contentèrent donc d'un verre d'eau et Alice copia le disque du lapin avant de quitter celui-ci, qui devait maintenant recevoir le livreur de jus de carottes, appelé par l'ordinateur central du terrier. Elle ne savait pas, pauvre enfant, que son lecteur de disques refuserait, en l'absence de RFID valable, de lire cette copie... Il n'est pas habituel,
pour un juriste, de commencer
son exposé par une
allégorie. Il s'agissait, tout d'abord, de rendre hommage à Lewis Caroll
2
et à
son univers fantasmagorique, dans lequel on a parfois l'impression de plonger lorsque l'on travaille sur les technologies de l'information. Il s'agissait également de rappeler à nos souvenirs communs certaines des caractéristiques des deux personnages centraux de cette première partie de son œuvre. Alice, tout d'abord, est l'une des figures récurrentes qui ont hanté les travaux qui ont rassemblé le CECO]I, la DAF et les chercheurs en cryptographie de l'INRIA. Ces derniers font en effet systématiquement usage de ce nom pour désigner le premier maillon des chaînes de transmission d'informations dont ils testent la sécurité, le second étant Bob. Alice a donc régulièrement fait l'objet de nos conversations. Le Lapin, ensuite, qui a été choisi pour emblème par l'une des sociétés 3 qui a investi très tôt, en France, le champ de l'informatique ubiquitaire et qui vient de lancer, ces dernières semaines, une campagne de publicité commune avec une grande société d'édition pour promouvoir son application RFID. Ce petit lapin est en effet équipé d'un lecteur RFID qui lui permet non seulement de retrouver, selon ses concepteurs, tous les objets « pucés» qui se trouvent dans son périmètre, mais aussi d'exempter les parents de la fastidieuse corvée de la lecture du soir, puisque les livres équipés de ces « timbres» et dont les éditeurs ont adhéré à la technologie en cause seront tout simplement lus par le lapin luimême à leurs enfants... Nous ne discuterons pas, ici, du caractère souhaitable ou pas de ce genre de gadgets... En revanche, le discours de l'un des fondateurs de la société qui développe cet objet, lui, présente quelque intérêt pour qui souhaite examiner les scénarii prospectifs existant en matière de technologies de l'information et de la communication. Pour lui, les produits de sa société 2
V. Lewis Carroll, Alice au Pi!Ysdes meroeilles,traduction de Jacques Papy, illustrations de Sir John Tenniel, Gallimard Jeunesse/Denoël, 1999. 3 Pour en savoir plus sur cette société, v. http://www.nabaztag.com/en/index.html. 30
Ubuquitouscomputinget Droit. L'exemple de la radio-identification sont promis à un développement conséquent. Et pour cause, sur les 8 à 10 000 objets qui sont en général présents dans le logement d'une famille, seuls cinq objets sont, en moyenne, reliés à l'Internet. D'où la question, semble-t-il naturelle: comment relier tous les autres? Le lapin, qui lit livres et courriels, donne la météo du jour et l'état du trafic, est un premier pas en ce sens... la suite de l'opération s'appelle l'Internet des objets 4... Cette perspective appelle quelques réflexions, sur les usages auxquels ces technologies sont destinées et aussi sur leur encadrement juridique, tant cette technologie est en passe de prendre une place considérable dans le monde de demain. En effet, toutes les applications RFID qui sont décrites dans cette histoire existent déjà ou bien sont à l'étude dans nos laboratoires de recherche 5. À titre d'exemples, on trouve d'ores et déjà ces petites étiquettes, sur le territoire français, dans la plupart des livres des bibliothèques et des librairies, dans les cartes «Navigo 6» de la RA TF qui permettent d'entrer dans le métro et les bus parisiens et de valider son ticket sans contact, et 7 les plus perfectionnées. Nomaussi dans les «Cartes de vie quotidienne» bre d'emballages en contiennent, parmi lesquels ceux de médicaments connus qui souhaitent ainsi lutter contre la contrefaçon R.On les trouve éga4
V. à ce sujet, le rapport de l'Union internationale de télécommunications de l'année 2005, « The Internet of Things », 7èmcédition. 5 Au mois de mars 2007, quelque 43 projets de recherche collaboratifs sur le sujet étaient financés par l'industrie et les organisations de recherche européennes. Cela représentait alors un investissement total de 315 millions d'euros, dont) 54 millions provenant de la Commission européenne. Tous les pays de l'Union, les Etats-Unis, en particulier par l'intermédiaire du MIT, le Japon et la Corée du Sud investissent massivement dans des recherches portant sur ces technologies, qui font de plus en plus intervenir des techniques acquises grâce aux nanotechnologies et sont considérées mondialement comme des technolOgies d'avenir. 6 Selon le compteur mis en ligne par la RATP, celui-ci était, au 30 novembre 2007, en p,0ssession de 2 400 000 usagers des transports parisiens, sa diffusion est donc loin d être anecdotique en la matière. 7 Ces cartes font partie du dispositif technique lancé par l'État dans le cadre de l'administration électronique. Elles sont déjà distribuées dans un certain nombre de communes françaises et permettent de régler les abonnements aux transport en commun, des commerçants, des places de spectacle, des entrées dans les installations sportives, ainsi que de bénéficier d'un certain nombre d'inscriptions et d'abonnements à distanc« et d'aide pour des formalités administratives pour les plus perfectionnées d'entre elles. A ce sujet, lire G. Beauvais, « La carte de vie quotidienne et l'administration électronique locale», in La sécurité argourd'hui dans la sodété de l'information, contributions réunies et coordonnées par S. Lacour, L'Harmattan, 2007 8 La Food and Drug Administration des États-Unis estime que la contrefaçon représente plus de 10 % du marché mondial des médicaments (6 % selon l'OMS) et, en consequence, recommande l'implantation massive de puces RFIÙ sur les emballages de médicaments (http://www.fda.gov / oc/initiatives/ counterfeit/ report6_06.html). Des entreprises fortement atteintes par ce fléau ont déjà commencé à équiper leurs produits les plus touchés de tags RFID. C'est notamment le cas du Viagra, des laDoratoires Pfizer, mais aussi du Trizivir, des laboratoires GlaxoSmithKline, qui fait partie d'un traitement du VIH. 31
La sécurité de l'individu numérisé
lement dans les clés sans contact de quasiment tous les véhicules récents, et, plus surprenant, dans une partie du cheptel français, dans nos animaux de 9 et dans tous les arbres de Paris. Aux États-Unis, comme en compagnie Corée du Sud, elles servent déjà massivement de moyens de paiement JO.Elles entrent progressivement dans nos hôpitaux 11, dans nos aéroports, qu'il s'agisse du suivi des bagages ou encore de la gestion des passagers et sont promises à un avenir radieux dans les domaines de la distribution et du contrôle d'accès. Et pourtant... Pourtant, à l'heure actuelle, les RFID ne font l'objet 12 et le droit peine toujours à évaluer les d'aucune réglementation spécifique enjeux réels de leur développement. Nous essaierons dans cette contribution de voir comment, d'un procédé matériel qui n'est pas particulièrement récent 13, on arrive aujourd'hui à une technologie qui promet d'être révolutionnaire, aussi bien dans ses perspectives économiques que, surtout, dans le contenu informationnel qu'elle s'avère capable de véhiculer. Ces considéra9
Les articles L. 214-5 et R. 221-27 du code rural rendent en effet obligatoire l'identification des animaux domestiques (chiens et chats) gui font l'objet d'une cession à titre gratuit ou onéreux. Cette identification peut être réalisee par le biais d'un tatouage de l'animal ou par la pose d'une puce RFID. Cette dernière technologie est présentée par le Syndicat des vetérinaires français comme devant devenir la norme à l'averur. (bttp:/ /www.snvel.fr/Public/Actualite/sn-!W_actu.htm). 10 Le système le plus connu de paiement RFID est celui qui a été mis en place dans les stations-service et gui permet de remplir son réservoir et repartir sans autre contact grâce à des puces intégrees aans le porte-clés de la voiture, sur sa plaque d'immatriculation et dans les P9mpes de la station. Ce système, dénommé Paypass, fonctionne déjà à grande échelle aux Etats-Unis et permet également de régler ses notes d'épicerie, de parking et, plus étonnant, de pharmacie. Il Pour le suivi des prélèvements biologiques, notamment, mais aussi l'étiquetage des patients et des instruments de chirurgie, destiné à éviter les erreurs d'opérations par confuslOn d'identité des patients et les oublis... 12 La Commission européenne, après avoir consulté par la voie d'un sondage sur Internet, les industriels concernés mais aussi le grand public, a d'ailleurs clairement exposé les raisons pour lesquelles elle se refusait à adopter une telle législation préférant fonctionner, pour les questions laissées en suspens, par la voie de guides de bonnes pratiques. Elle semble néanmoins avoir changé d'aVls récemment, en lançant, toujours par le bIais d'Internet, une nouvelle consultation dans le but avoué de proposer des recommandations pour l'implémentation de principes concernant la protection de la vie privée, la protection des données et la sécurite des informations dans les applications supportées par la RFID. En ce sens, v. MEMO/08/145 , notes sur le discours ae Viviane Reaing, la Commissaire eurof,éenne pour la sociét~ de .l'information et les,médias, ~ruxelles, le 5 mar~, 2008. .. . Une controverse sCIentifique eXIste quant a la date reelle de leur premtere appantion, certains remontant jus~u'en 1945 et aux travaux de Léon Theremin pour le compte de l'espionnage russe, d autres la situant en 1948, dans un article de Harry Stockman, mtitulé « Communication by Means of Reflected Power », Proceedings of the IRE, octobre 1948, p. 1196-1204. Le premier brevet, américain, déposé pour cette technologie date, lui, de 1973. Il s'agit de l' « U.S. Patent 3, 713, 148» de Mario Cardullo. En toute hypothèse, quelle que soit la technologie réellement utilisée à ce moment-là, elle était très éloIgnée des spécificités physiques, et surtout de la taille des RFID d'aujourd'hui. 32
Ubuquitous computinget Droit. L'exemple de la radio-identification
tions ne sont, en effet, pas étrangères aux problématiques de sécurité, que nous traitons aujourd'hui, puisqu'elles rejoignent parfois des préoccupations de souveraineté nationale. Les RFID se multiplient ainsi que leurs applications concrètes. D'abord réservées à des applications dites en « boucle fermée 14» à la fm des années 1990, elles sont en passe de devenir, avec succès, des standards de gestion logistique en « boucle ouverte». Cette technologie a même été élue pour être intégrée dans le nouveau passeport biométrique français. Elles ne sont donc plus, aujourd'hui, une technologie confidentielle et réservée à quelques chercheurs ou de rares sociétés particulièrement téméraires mais tendent à envahir nos magasins, nos rues... nos ondes. Une intense activité de normalisation technique entoure ce développement. Cette normalisation concerne 15 aussi bien les protocoles d'échange entre la RFID et son environnement que le codage des produits eux-mêmes. Les fréquences radioélectriques qui permettent ces échanges font, quant à elles, l'objet d'une réglementation précise. Afin de cerner au mieux les enjeux juridiques que font apparaître les RFID, nous distinguerons ici les considérations relatives au support de la technologie RFID (I), qu'il s'agisse de son support matériel ou immatériel, des considérations portant sur le contenu que l'on peut leur faire porter (II). La question plus directe de la protection des données personnelles, qui est au centre de bien des débats relatifs aux systèmes RFID, ne sera abordée ici qu'en conclusion, dans l'attente d'une modification annoncée, sur ce point, 16. du droit communautaire
I - Le support technologique
des RFID
Un système RFID est composé, a minima, d'une puce électronique équipée d'une antenne, d'une mémoire et d'un microprocesseur, lequel répond aux requêtes émises par un lecteur par le biais d'ondes électromagnétiques 17.Cette présentation sommaire de la technologie RFID ne reflète pas, néanmoins, la diversité qui règne en ce domaine. 14 Les notions de boucle fermée et ouverte seront développées i'!fra. 15 Ces protocoles sont en réalité des logiciels qui permettent la transformation d'un signal radio en données numériques eXploitables. 16 Voir néanmoins, sur ce point, S. Lacour, « L'identification par radiofréquence, une technologie en mal de régulatIon juridique », Annales des télécommunications,Vol. 62, n° 11/12, nov.-déc. 2007,« Security in the digital world », p. 1241 et s. 17 P?ur davantage de renseignements techniques, se reporter à la contribution de Gildas Avotne. 33
La sécurité de l'individu numérisé
Ces systèmes peuvent en effet être de puissances, et par conséquent de portées, très variables, allant de quelques centimètres à plusieurs mètres. Leurs microprocesseurs en eux-mêmes peuvent, en outre, être très basiques et renvoyer un identifiant fixe à la sollicitation du lecteur, ou bien plus sophistiqués, c'est-à-dire capables d'être réinscrits voire d'entretenir avec le lecteur un dialogue plus complet encore. Ces étiquettes peuvent en outre être actives, c'est-à-dire pourvues de batteries, ou bien passives, c'est-à-dire ne pas posséder de source énergétique propre. Elles peuvent, dès lors, comme le souligne le document de travail que le groupe de l'article 29 a consacré à cette technologie 18, être « réveillées» plusieurs dizaines d'années après avoir été fabriquées. Malgré cette diversité de supports techniques, toutefois, la nécessité de se plier à la réglementation relative aux fréquences radioélectriques demeure un point commun à tous les systèmes RFID. C'est pourquoi nous lui consacrerons quelques développements tout d'abord (A). Nous verrons ensuite qu'indépendamment de la rareté des fréquences, d'autres éléments peuvent donner lieu à l'intervention du droit en ce qui concerne le support de la technologie RFID, même si ceux-ci relèvent encore, à l'heure actuelle, du domaine de la prospective (B). A - La réglementation desfréquences radioélectriques L'espace hertzien est intégré mis, de ce fait, aux dispositions effet d'une ressource rare, dont 21, mais gements internationaux bien que civils.
depuis 198919 au domaine de l'État et soudu code du domaine de l'État 20. Il s'agit en l'occupation répond, en outre, à des engaégalement à des impératifs militaires aussi
18
Il s'agit du groupe de travail sur la protection des données créé en vertu de l'article 29 de la directive 9S/46/CE et qui réunit des représentants des homologues de la CNIL de tous les Etats membres. V. Document de travail sur les questions de protection des données liées à la technologie RFID (radio-identification), du 19 janvier 2005, n° 10107/0S/FR, WP 105, disponible à partir du site de l'Union européenne: www.europa.eu.int/comm/privacy. 19 Cette qualification juridique a été posée par la loi n° 89-15 du 17 janvier 1989, modifiant la loi n° 86-1067 du 30 septembre 1986. Au sujet de cette qualification, V. Lanry Droit de l'inftrmatique et des réseaux, 2006, n° 1551, p. 950. 20 Article L. 41-1, al. 3 du code des postes et des communications électroniques: «Conformément à l'article L. 2124-26 du code général de la propriété des personnes publiques, l'utilisation, par les titulaires d'autorisation, de fréquences radioélecrnques disponibles sur le territoire de la République constitue un mode d'occupation privatif du domaine public de l'Etat ». 21 Au niveau mondial, le Règlement des radiocommunications de l'UIT (Union internationale des télécommunications) centralise ces engagements. 34
Ubuquitous computinget Droit. L'exemple de la radio-identification
En France, le cadre réglementaire des fréquences hertziennes a été profondément modifié par la loi du 26 juillet 1996 qui a créé l'Agence nationale des fréquences radioélectriques (ANFR). Cette agence est parfois qualifiée
de grossiste des fréquences 22. Sur le plan national, elle affecte en effet des bandes de fréquences aux départements ministériels qui ont des besoins propres et à ceux que l'on peut nommer, par opposition, les « détaillants de fréquences )) que sont le Conseil supérieur de l'audiovisuel et l'Autorité de régulation des communications électroniques et des postes. Les systèmes RFID correspondant à la définition des communications électroniques telle qu'elle est posée par l'article L. 32 du code des postes et des communications électroniques 23, c'est à l'ARCEP que revient, en application de l'article L. 32-1, II, 110 du même code, le soin de veiller, entre autres, à l'utilisation et à la gestion efficaces des fréquences radioélectriques les concernant. Plusieurs bandes de fréquences intéressent directement les fabricants et utilisateurs de systèmes RFID. Ces bandes présentent des caractéristiques différentes et permettent, en conséquence, des applications ciblées. Pour simplifier, on peut distinguer quatre types de fréquences utilisées pour des systèmes RFID : Les étiquettes basses fréquences (LF), autour de 135 kHz, sont couramment utilisées pour l'identification animale mais ne permettent que de faibles distances de lecture 24 et ne contiennent, en général, que peu de données. Les étiquettes hautes fréquences (HF) sont d'ores et déjà déployées, notamment dans les domaines des librairies et bibliothèques, du suivi des bagages. Elles se situent autour de 13.56 MHz et permettent des distances de lecture de l'ordre du mètre ainsi qu'une capacité en termes de données plus intéressante. Les étiquettes ultra hautes fréquences (UHF), présentent, semble-til, les meilleurs résultats en termes de logistique. On les trouve dans la bande de 863 à 915 MHz.
22
V. La lettrede l'Autorité, lettred'informationbimestriellede l'ARCEP, n° 46, septembre-octobre 2005, dossier fréquences, p. 3. Cette lettre peut librement être téléchargée sur le site de l'ARCEP, www.arcep.fr. 23 Article L. 32, 10 du code des postes et des communications électroniques. « On entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique.» 24 Environ 50 cm. 35
La sécurité de l'individu numérisé
Enfin, Les puces de type micro-ondes (SHF), de 2.45 GHz ou encore 5,4 GHz, sont encore le plus souvent expérimentales à l'heure actuelle même si on en trouve déjà des applications notamment dans le domaine des péages automatiques d'autoroutes. Elles permettent des distances de lecture, lorsqu'elles sont actives, de plusieurs dizaines de mètres. Comme nous avons déjà pu le voir, c'est dans la zone de l'ultra haute fréquence que se situent les plus grandes potentialités des RFID dans le domaine de la logistique, qui est présenté comme l'avenir de cette technologie. Dans cette zone, en France, seules les fréquences situées entre 868 et 870 MHz étaient disponibles, sous conditions, aux appareils de faible portée. Les industries de la RFID réclamaient néanmoins l'ouverture de nouvelles bandes de fréquences qui leur soient réservées. La première d'entre elles dans une perspective d'interopérabilité, la bande de 915 Mhz, fréquence utilisée en UHF aux États-Unis, est réservée, en Europe, à la téléphonie mobile 25, ce qui l'exclut des bandes autorisées aux RFID. C'est donc sur le canal situé entre 865 et 868 MHz que se sont rabattues les prétentions des acteurs du domaine. Ce canal était jusqu'à présent occupé exclusivement par l'armée. Néanmoins, sous la pression des industriels, et après une négociation avec le ministère de la Défense, l'ARCEP est parvenue à trouver une solution. La bande située entre 865,6 et 867,6 MHz est donc désormais utilisable pour les systèmes RFID en dehors d'un nombre limité de zones militaires sensibles, après homologation par l'arrêté du 6 septembre 2006 26 de la décision que l'Autorité a prise durant l'été 2006 par le ministre en charge des télécommunications et ceci jusqu'à une puissance de 2 watts 27. 25
Conseil
général
des technologies
de l'information,
~.6 3. Arrêté du 6 septembre 2006 homologuant
rapport
n° II-B.9-2004,
janvier
2005,
la décision n° 2006-0841 de l'Autorité de ré-
gulation des communications électroniques et des postes en date du 25 juillet 2006 fixant res conditions d'utilisation des fréquences radioélectriques pour les applications d'identification par radiofréquences dans la bande 865-868 MHz. Ces deux textes (arrêté et décision) ont fait l'objet de modifications purement techniques en 2007, v. Décision n° 2007-0684 de l'Autorité de régulation des communications électroniques et des postes en date du 24 juillet 2007 modifiant la décision n° 06-0841 relative aux conditions d'utilisation des fréquences radioélectriques pour les applications d'identification par radiofréquences dans la bande 865-868 MHz et Arrêté du 19 septembre 2007 homologuant la déCIsion n° 2007-0684 de l'Autorité de régulation des communications électroniques et des f7ostes.. . . . , . . c ette pmssance dOit etre comparee' aux 4 watts autonses aux E' tats- U filS. N eanmOinS, ' l'unité de puissance utilisée sur les deux continents étant différente (en France, les données spnt expnmées en Watts ERP, autrement dit Effective Radiated Power, tandis que les Etats-Unis expriment cette puissance en Effective Isotropie Radiated Power, EIRP, les 36
Ubuquitous computinget Droit. L'exemple de la radio-identification
Au-delà de ces précisions purement techniques, ce que l'on peut retenir de cette évolution, c'est que le marché des RFID est en train de se libéraliser sur notre territoire, sous la pression conjuguée des industriels du secteur, qui souhaitent développer rapidement des solutions logistiques fondées sur cette technologie, et de la Communauté européenne, qui a adopté cette bande fréquence dans ses recommandations 28. Pas d'exception culturelle française en ce domaine, donc, les systèmes RFID destinés à la logistique et qui devraient, si l'on s'en tient aux promesses des acteurs de ce marché, remplacer les traditionnels codes-barres dans les dix ans à venir, vont trouver là le ferment de leur développement à grande échelle en toute légalité. B - La feuille de route des RHD,
une source d'inquiétudes?
Si, comme on vient de le voir, sur le plan des bandes de fréquences, la situation est en train de se normaliser en France et, plus largement, en Europe, la libéralisation obtenue par l'industrie ne doit pas, pour autant, effacer d'autres sources d'inquiétudes relatives au support de cette technologie. Tout d'abord, en effet, les RFID fonctionnent sur la base d'ondes électromagnétiques, dont on sait qu'elles peuvent, dans certaines conditions, représenter un danger pour la santé. Qu'en sera-t-il des milliers de tags et de lecteurs qui peupleront nos biens de consommations et nos parcours les plus quotidiens, lorsque nous serons parvenus au monde de l'ubiquitous computing ? La réglementation relative à la protection du public contre les champs électromagnétiques s'appuie sur le décret du 3 mai 200229 qui transpose la recommandation européenne du 12 juillet 1999 30. Des normes harmonisées
ont par ailleurs été défInies par le CENELEC
=
31
dans le cadre de la mise en
rapports entre les deux étant le suivant: 1 W ERP 1,62 W EIRP), nous parviendrons à une puissance très proche de la leur dans les mois à venir. 28 L'Institut européen des normes de télécommunication créé par la Conférence européenne des administrations des postes et télécommunications, l'BTSI, est chargé de produire des normes et des spécifications techniques de terminaux, de réseaux et de services de télécommunication. Dans le cadre de cette mission, cet institut avait adopté, en 2004, une norme EN 302-208 qui concerne spécifiquement l'UHF et qui autorise une puissance de 2 Watts ERP dans la bande de fré'1uence 865,6-867,6 MHz. En France, les canaux situés entre 865 et 865,6 Mhz seront limites à une puissance de 100 mW et ceux situés entre 867,6 et 868 Mhz à 500 mW. 29 Décret n° 2002-775 pris en application du 12° de l'article L. 32 du code des postes et télécommunications et relatif aux valeurs limites d'exposition du public aux champs électromagnétiques émis par les équipements utilisés dans les réseaux de télécommurucation ou les installatio~s radioélectriques. fr~r , .. . . Recommandation n° 1999/519/ CE relative a la limitation de I exposition du pubhc aux champs électromagnétiques (de 0 Hz à 300 GHz). 31 Comité européen de normalisation électro-technique. 37
La sécurité de l'individu numérisé
œuvre de la directive du 9 mars 1999 32. Concernant les équipements de faible portée, dont les RFID, il s'agit de la norme EN 50364:2001 qui vise la limitation de l'exposition humaine aux champs électromagnétiques émis par les dispositifs fonctionnant dans la gamme de fréquences de 0 Hz à 10 GHz, utilisés pour la surveillance électronique des objets, l'identification par radiofréquence (RFID) et les applications similaires et de la norme EN 50371:2002, qui est une norme générique pour démontrer la conformité des appareils électriques et électroniques de faible puissance aux restrictions de base concernant l'exposition des personnes aux champs électromagnéti33. ques Le respect de ces normes entraîne une présomption de conformité du système à la réglementation européenne. Cette dernière devra être prouvée si leurs exigences ne sont pas remplies. On le voit, les effets des RFID sur la santé, y compris la santé des travailleurs, qui pourraient être exposés massivement à leurs ondes dans des en34, trepôts par exemple sont déjà pris en considération en ce qui concerne leurs aspects radioélectriques, même si l'état actuel de nos connaissances sur le sujet n'est pas totalement satisfaisant 35. Mais les effets des transmissions engendrées par les systèmes RFID ne sont pas les seules conséquences de leur développement massif qui peuvent susciter l'intervention du droit. Par ailleurs, en effet, la feuille de route des RFID croise déjà celie des 36. Au-delà même des possibilités de miniaturisation nanotechnologies ex32 Directive 1999/S/CE du Parlement et du Conseil du 9 mars 1999 concernant les équipements hertziens et les équipements terminaux de télécommunications et la reconnaissance mutuelle de leur conformité. 33 Normes publiées auJOCE du 7 décembre 2002/C304-16. 34 La directive n° 2004/40/CE, du 29 avril2004 concernant les prescriptions minimales de sécurité et de santé relatives à l'exposition des travailleurs aux risques dus aux agents physiques (champs électromagnétiques) devra être transposée dans la législation française avant 2008. 35 De nombreuses études scientifiques portent encore aujourd'hui sur la question des effets réels ou supposés des ondes électromagnétiques sur la santé humaine. L'étude REFLEX, menée sous l'égide de l'Union européenne, n'est que l'une d'entre elles et conclut, semble-til, à l'existence d'effets réels de telles ondes sur notre ADN. Plus généralement, les études étant souvent parcellaires ou même aboutissant à des résultats contradictoires, il convient de ne surtout pas prendre la réglementation actuelle comme un fait acquis, l'évolution des connaissances pouvant très bien la modifier rapidement. 36 En ce sens, v. Conseil général des technologies de l'information, rapport n° II-B.9-2004, 2005, p. 10; v. également le rapport du sénateur Claude Sauruer pour l'Office parj"anvier ementaire pour l'évaluation des choix scientifiques et technologiques, OPECST, sur l'évolution du secteur des semi-conducteurs et ses liens avec les micro et nanotechnologies, rapport établi le 8 avril 2003 et qui fait l'objet, aujourd'hui d'une actualisation qui devrait prendre en considération bien plus profondément les questions liées à la protection des données personnelles, l'exemple des RFID étant cité par le sénateur Saunier à l'appui de l'étude de faisabilité, sur ce pomt. 38
Ubuquitous computinget Droit. L'exemple de la radio-identification
trême que ces perspectives ouvrent et qui doivent être considérées au regard de nos règles de protection de la vie privée et des données personnelles, les nanotechnologies sont également porteuses d'inquiétudes en elles-mêmes. Leur impact toxicologique et éco-toxicologique demeure en grande partie inconnu à l'heure actuelle, malgré les études et recherches menées sur le sujet. Cette afftrmation est d'autant plus vraie que l'on cherche à s'intéresser à cet impact en termes d'analyse de l'ensemble du cycle de vie des nanoproduits, la nanoélectronique étant l'un des exemples les plus massivement distribués de ces produits à l'heure actuelle. Le Comité de la prévention et de la précaution a rendu public un avis au sujet des nanotechnologies en mai 200637, de même que l'AFSSET 38 au mois de juin de la même année. Cette dernière s'apprête par ailleurs à publier un autre rapport relatif à la sécurité au travail, sur la même thématique. Pour les deux organismes, il est urgent d'adopter très vite des mesures de précaution et d'intégrer la prise en compte de la spécificité des nanomatériaux par l'Union européenne dans le cadre de la réglementation REACH 39. Ces considérations restent en outre en deçà des risques sanitaires que l'on pourrait craindre s'il s'avérait que, comme c'est déjà le cas aux ÉtatsUnis, les industriels des systèmes RFID entament, en France, une campagne pour l'insertion d'implants RFID sous la peau d'êtres humains. De tels implants ne sont en effet plus du domaine de la science-fiction, et si la plupart d'entre eux sont encore réservés à des usages ludiques et tout à fait volontaires ~\ leurs promoteurs souhaitent les voir se multiplier dans les domaines ., . 41 d e Ia secutlte et d e Ia geo notamment. 42 ' ' Ioca lisahon d es personnes,
37
Avis du Comité de la prévention et de la précaution (CPP) ; « Nanotechnologies, nanofsarticules ; _quels.danger~ ? qu~ls risques? ». , . . . _ \gence trançalse de secun!e samta1re de I en\'lrOnnel11Cnt et du Ira\,;l11. 39 Règlement (CE) n° 1907/2006 du Parlement européen et du Conseil du 18 décembre 2006 concernant f'enregistrement, l'évaluation et l'autorisation des substances chimiques, ainsi que les restrictions applicables à ces substances (REACH), instituant une agence européenne des produits chimiques, modifiant la directive 1999/45/ CE et abrogeant le règlement (CEE) n° 793/93 du Conseil et le règlement (CE) n° 1488/94 de la Commission ainsi que la directive 76/769/CEE du Conseir et les directives 91/155/CEE, 93/67/CEE, 93/105/CE et 2000/21/CE de la Commission,JOCE, L136, 50e année, 29 mai 2007. 40 Le Baja Beach Club, une boîte de nuit située à Barcelone, utilise ainsi ce genre d'implants pour identifier ses clients VIP, qui utilisent en retour le RFID comme un moyen de paiement. 41 La ville de Mexico a implanté 170 de ces tags RFID sur ses officiers de police afin de contrôler l'accès aux bases de données et aussi dans le but de mettre en œuvre des moyens de localisation en cas de kidnapping. 42 À ce sujet, lire Anne-Sophie Ginon et Thierry de Rochegonde, « Des peurs sans objet; lecture critique de l'avis du Groupe européen d'éthique sur les implants TIC dans le corps 39
La sécurité de l'individu numérisé
Concernant le support technologique des RFID, on vient de le voir, de nombreuses questions restent ouvertes qui, en l'état des recherches actuelles, relèvent du domaine du principe de précaution. L'ouverture de nouvelles bandes de fréquences UHF aux systèmes RFID ne résout qu'une partie des problèmes. On peut, à cet égard, se demander si cet élargissement des fréquences disponibles pour la RFID, tant souhaité par les industriels, intervient réellement à propos, au regard des incertitudes qui pèsent encore sur la technologie en cause.
II - Le contenu informationnel des RFID D'autres aspects des systèmes RFID font l'objet, depuis quelques années, d'une intense activité de normalisation, cette fois plus privée. Il s'agit de déterminer quel sera le contenu informationnel des étiquettes, autrement dit de déterminer comment ces dernières seront codées en rapport avec les produits ou les personnes sur lesquels elles seront apposées ou dans lesquels elles seront insérées. Il va de soi, en effet, que l'apposition d'étiquettes RFID et leur lecture n'a aucun sens si leur contenu ne renvoie pas à une base de données répertoriant les biens ou personnes étiquetés 43. Au sujet du contenu informationnel des systèmes RFID, deux grandes sources de préoccupations peuvent être recensées. La première concerne la destination du système et, conséquemment, la sécurité des contenus informationnels dont ce dernier est porteur (A). La seconde concerne, de manière plus globale, les destinataires réels des contenus échangés, autrement dit les propriétaires réels de l'information contenue dans les systèmes en cause, dont nous verrons qu'ils peuvent être très éloignés de leurs utilisateurs immédiats (B). A - La destination du {YstèmeRFID Les systèmes RFID peuvent être destinés soit à l'identification, soit à l'authentification des personnes ou des biens. Ces deux termes sont entendus ici dans leur sens informatique, qui se distingue assez nettement de leur
humain », Cahiers Droit, sciences et technologies, n° 1, dossier logies », CNRS éditions, 2008. 43
thématique
La question de savoir comment les ondes électromagnétiques
et son lecteur sont transformées fera pas l'objet de développements
en données ici.
numériques
40
« Droit
et nanotechno-
échangées entre l'étiquette
est, elle aussi, centrale,
mais ne
Ubuquitouscomputinget Droit. L'exemple de la radio-identification
signification pour des juristes, comme l'a démontré l'étude Asphales 44 au sujet de la preuve électronique notamment. Dans le premier cas, le système RFID va avoir pour objet d'identifier une personne ou un objet sans que son identité n'ait réellement besoin d'être prouvée, au sens large du terme. Ce sera le cas dans la majorité des hypothèses d'application de cette technologie, qui concernent la logistique, la gestion des stocks ou encore le tri sélectif. Dans toutes ces hypothèses, la sécurité du système peut être assurée de manière très relative. En conséquence, l'emploi de tags d'un coût assez peu élevé est tout à fait envisageable. Néanmoins, toute considération de sécurité n'est pas exclue dans de telles configurations. En effet, imaginons, par exemple, un supermarché entièrement équipé d'un système RFID, dans lequel chaque produit porte une étiquette, laquelle, lue par le système lors de la sortie du client, va automatiquement, c'est-à-dire sans passage en caisse, permettre la facturation, voire le prélèvement immédiat du montant des achats sur le compte en banque de ce dernier 45. On voit immédiatement le profit que pourrait tirer un «pirate» informatique de ce genre de système s'il n'est pas suffisamment sécurisé. Il achète du beurre, change l'étiquette chez lui par une autre étiquette, qu'il a lui-même achetée et modifiée. Il revient ensuite au supermarché et rachète à nouveau le même produit (avec l'étiquette RFID modifiée), qui infectera toute la base de données du magasin, changeant ainsi tous les prix par exemple. Ce scénario a été dévoilé par une équipe de recherche en informatique de l'Université d'Amsterdam 46, qui est parvenue à créer ce genre de virus. Dans le second cas, si le système vise l'authentification, c'est qu'il est destiné à assurer la sécurité. Ce sera le cas lorsque l'étiquette RFID sert de badge d'accès à un immeuble ou à un poste de travail, d'abonnement aux transports publics, de moyen de paiement ou bien est inséré dans un titre d'identité tel qu'un passeport. On imagine aisément les raisons pour lesquelles de tels systèmes doivent impérativement être sécurisés de manière beaucoup plus fiable que les précédents, tant les conséquences d'une attaque 44
Les documents issus des travaux menés dans le cadre de ce programme de recherche de l'ACI sécurité informatique sont déjà en partie disponibles sur le site www.asphales.net. Pour des développements supplémentaires sur la notion d'intégrité, v. les actes des séminaires de recherches de ce programme, in La sécuritéatU0urd'huidans la sociétéde l'information, contributions réunies et coordonnées par S. Lacour, L Harmattan, oct. 2007. 45 Un supermarché de ce type a déjà été installé, à titre expérimental, à Rheinberg en Allemagne, par la chaîne Métro, sous la dénomination « Supermarché du futur ». 46 Le New-York Times a d'ailleurs consacré un article à ces recherches le 15 mars 2006, intitulé « Stutfy S~s Chips in ID TagsAre Vulnerable to Virnses», sous la plume de John Markoff. 41
La sécurité de l'individu numérisé
peuvent être désastreuses pour le porteur de l'étiquette. Néanmoins, de tels systèmes, qui existent déjà à l'heure actuelle 47, font parfois appel à des composants, et notamment à des étiquettes, qui ne permettent pas, comme 48, le développement le démontrent les travaux d'informaticiens d'algorithmes de chiffrement assurant cette sécurité. En ce domaine, les normes manquent encore, qui devraient imposer l'emploi d'étiquettes ayant une capacité suffisante pour supporter ces algorithmes. 49 que présente la technologie RFID lorsPar ailleurs, avertis des risques qu'elle est appliquée à des fonctions d'authentification, certains utilisateurs de systèmes, dont l'État français, préfèrent parfois assortir le chiffrement des données transmises par les tags d'autres verrous de sécurité. Ainsi en est-il, a priori, de notre nouveau passeport électronique. En effet, on peut s'apercevoir, dans l'avis publié par la CNIL au mois de novembre 200550 à son sujet, que de nombreuses barrières ont été prévues pour protéger le contenu de la puce RFID. Selon la CNIL, « les sécurités développées autour de l'accès
aux données
de la puce
sont
les suivantes:
1 ° la lecture
des don-
nées du composant électronique suppose l'ouverture physique du passeport (<
47
Le système de contrôle des badges d'entrées au MassachusettsInstitute iifTechnologies(MIT), par exemple, ou encore une partie des clés électroniques des automobiles de marque Ford, fonctionnent sur ce modèle, dont l'insécurité est démontrée aujourd'hui. 48 V. notamment, sur le sujet, G. Avoine, « RFID et sécurité font-elles bon ménage? », S);ffiposium sur La sécuritédes technologiesde l'infol7Jlationet des communications,2006, édité par l'Ecole supérieure et d'application des transmissions, 2006, p. 401 et s. 49 Au sujet de ces risques, on peut lire « Le passeport biométrique belge recalé au BAC... Vos informations personnelles sont en danger! », par Gildas Avoine, Kassem Kalach et Tean-Jacques Quisquater, DCL Crypto Group, Louvain-la-Neuve, Belgique, http:7 /www.dice.ucl.ac.be/crypto /passport/ index_fr.html. 50 V. Délibération de la CNIL n° 2005-279 du 22 novembre 2005. 42
Ubuquitous computinget Droit. L'exemple de la radio-identification
puisse être utilisé par un tiers, même s'il l'a copié 5\ on voit en effet qu'il sera atteint, ne serait-ce que parce que l'accès au contenu de la puce sera nécessairement lié à l'ouverture physique du passeport par les autorités chargées de le contrôler. Le contenu de la puce sera donc systématiquement confronté par les douaniers et la police des frontières notamment, au contenu papier du passeport. On ne peut s'empêcher, néanmoins, au vu de pareil arsenal, de se demander quelle va être la réelle utilité du dispositif RFID contenu dans le passeport 52. Néanmoins, la sécurité technique du contenu de la puce RFID n'est qu'un aspect des inquiétudes que peut susciter le développement de cette technologie en ce qui concerne son contenu informationnel. La maîtrise de ce contenu est en effet, à l'heure actuelle, le centre des préoccupations d'un grand nombre d'acteurs de ce marché. B - La maltrise du contenu informationnel des !Jstèmes RFID L'utilisation d'un système RFID peut se faire en boucle fermée ou ouverte. Dans le premier cas, la personne, physique ou morale, qui a installé le système attribue seule à chaque code contenu sur les étiquettes une signification. Cette solution est celle qui prévaut dans la majorité des systèmes utilisés à l'heure actuelle. Un badge d'accès à des locaux sécurisés, par exemple, répondra à la base de données de l'entreprise concernée dans laquelle le nom de chaque salarié sera relié au code contenu dans l'étiquette de son badge, code par ailleurs reconnu comme valable par le système RFID. Néanmoins, dans un certain nombre d'hypothèses, le système RFID aura intérêt à être utilisé en boucle ouverte. Ainsi en sera-t-il lorsqu'une administration, par exemple, demandera à tous ses fournisseurs d'équiper les biens qu'ils lui fournissent de tags RFID dans le but de simplifier ses opérations de logistique. C'est ce qu'a déjà fait le département américain de la Défense. Dans ce cas, le codage des étiquettes et son interprétation devra être, au moins pour partie, commun au fournisseur et à son client. De la même manière, si l'on envisage, comme le font déjà un certain nombre de grands laboratoires pharmaceutiques, sous l'impulsion de la Food 51
Des informaticiens allemands ont en effet prouvé, d'ores et déjà que le « craquage» de ce type de puce et que la copie de son contenu etaient tout à fait possibles techniquement. Sur ce sujet, on peut lire le long article de Kim Zetter, du magazine Wired du mois d'août 2006, à l'adresse suivante http://www.wired.com/news/technology/0.71521-0.html. 52 Si tant est que toutes ces spécifications aient une portée réelle, ce ,dont les travaux des experts europeens de la FID1S permettent néanmoins de douter. A ce sujet, voir leur « Déclaration de Budapest» du mois de septembre 2006. http://www.fidis.net/press-events
/ press-releases 43
/ declaration
-de-budapes
t/ .
La sécurité de l'individu numérisé
and Drug Administration américaine 5\ de se servir des RFID comme moyens de lutte contre la contrefaçon des médicaments, le système implique également que les pharmacies, destinataires finales des boîtes étiquetées, partagent le code et une partie au moins de sa « traduction» avec les laboratoires et les intermédiaires. EnfIn, et l'argument n'est pas aussi trivial qu'il pourrait le paraître, le coût d'un système RFID est étroitement lié à l'utilisation que l'on en a. Mettre en place un système RFID en boucle fermée implique d'investir non seulement dans la création de la base de données, mais également dans les recherches nécessaires au choix du matérielle plus adapté en termes de fréquences, de puissance, de capacité de stockage de l'information, etc. En outre, le choix d'un système en boucle fermée ne permet pas, ou beaucoup plus difflcilement, de bénéfIcier des meilleurs prix en ce qui concerne les étiquettes RFID, ces prix étant obtenus grâce aux économies d'échelle réalisées par leurs fabricants. Dans les applications de systèmes RFID destinées à la logistique, notamment celle des biens de consommation, les logiques de mondialisation des échanges et de coût tirent en conséquence le marché vers des systèmes en boucle ouverte. Au-delà des activités de normalisation du domaine plus classiques, telles que celles de l'ISO, plusieurs réseaux d'entreprises se sont emparés de la question. L'un d'entre eux, dont les normes publiées sont particulièrement suivies d'effets, s'appuyant sur les travaux de l' « Auto-ID Center» du MIT, propose le développement de ce que l'on appelle déjà un Internet des objets 54, porté par l'évolution des réseaux Internet, et notamment le passage à l'IPV6 55. Il s'agit d'une entité américaine à but non lucratif, EPCglobal Inc. 56, qui se propose de « gérer les Electronic Product Codes (EPC) au niveau mondial et de fournir un service d'interconnexion aux serveurs contenant les informations relatives aux objets 57» ainsi identifIés, telles que sa localisation notamment. Autrement dit, c'est d'un système 53
On peut lire le rapport de la FDA en ce sens sur le site de cette institution à l'adresse suivante: http://www.fda.gov / oc/initiatives/ counterfeit/ report6_06.html 54 V. à ce sujet, le rapport de l'Union internationale de télécommunications de l'année 2005, « The Internet of Things », 7èmeédition. 55 Le protocole IPV6 est actuellement développé pour répondre, entre autres, à la pénurie d'adresses disponibles sur l'Internet. A titre d information, une adresse IPv6 est longue de 16 octets, soit 128 bits, contre 4 octets (32 bits) pour IPv4, ce qui permettra l'augmentation de 232à 2128du nombre d'adresses disponibles. 56 Le site de cette entité, qui re~oupe la plupart des grands acteurs mondiaux du commerce aroalimentaire, est disponible a l'aaresse SU1vante: I1ttp:/ /www.epcglobalinc.org 5 V. Conseil général des technologies de l'information, rapport n° II-B.9-2004, janvier 2005, p. 4 et s. 44
Ubuquitous computinget Droit. L'exemple de la radio-identification
mondial qu'il est ici question, dans lequel chaque tag renvoie à un serveur racine Internet qui autorise l'accès aux bases de données permettant d'identifier l'objet sur lequel il est apposé et d'obtenir à son sujet de très nombreux renseignements, notamment en termes de traçabilité. Comme le relève très justement le Conseil général des technologies de 58, il importe de remarquer que cette entité a, avec l'accord l'information discret du gouvernement américain, confié la gestion de son réseau et, conséquemment, des adresses des objets étiquetés, à la société américaine VeriSzgn, qui gère déjà les noms de domaines Internet (DNS pour Domain Name System) et se voit confier ainsi également la gestion pratique du système d'adressage de ces objets, l'ONS (Ol?ject Numbering System) le plus prometteur en termes de marché. On comprend fort bien quel intérêt une entreprise peut trouver dans un système de ce genre. Délestée du poids que représente la gestion de son système RFID, elle pourrait ainsi, facilement, obtenir une amélioration sensible de sa logistique. Néanmoins, on ne peut que s'inquiéter de la délocalisation des informations que ce type de réseau suppose. Au-delà même des spécificités techniques de l'ONS, il s'avère que, par ce biais, les informations relatives aux produits et à leur localisation ne demeureront pas en possession de l'utilisateur du système RFID mais seront laissées aux soins d'un tiers dont on mesure malles garanties de confiance que l'on peut lui accorder. Cet état de fait soulève un certain nombre de questions en termes économiques (quid de la compétitivité d'une entreprise dont les informations vitales sont mises en ligne) mais également juridiques. Le contenu de ces informations peut en effet, malgré les apparences, révéler beaucoup sur chacun d'entre nous et il est, dès lors, soumis à des traitements si divers dans leurs formes que la protection des données personnelles semble au moins en partie compronuse.
Difficile à sécuriser, invisible, ubiquitaire, l'informatique de demain demeure une source inépuisable de questionnements pour les juristes. Ces quelques éléments d'analyse doivent être complétés par l'étude de la pertinence des dispositions protectrices des données à caractère personnel de la loi de 1978, en France. Des questions aussi basiques que le caractère loyal de la collecte des données, la détermination du responsable du traitement ou encore la durée de conservation des données à caractère personnel traitées prennent en effet 58
Conseil général des technologies de l'information, 45
rapport n° II-B.9-2004, janvier 2005.
La sécurité de l'individu numérisé
un jour tout à fait nouveau dans le cadre d'une technologie invisible, dont la communication reste bien souvent inconnue de la personne concernée, et qui est amenée à se développer de manière massive du fait des économies d'échelle que permet, aujourd'hui, la nanoélectronique. La simple qualification des données traitées par de tels systèmes, données à caractère personnel ou pas toujours, est déjà un problème juridique au niveau communautaire, puisque la France, par la voix de la CNIL, a courageusement adopté une solution globale, faisant de toutes les données contenues dans des puces RFID des données à caractère personnel, par principe, tandis que d'autres États de l'Union européenne ont adopté une .. 59 d emarc h e p Ius caSU1Stlque . ' Dans le concert des solutions envisageables pour faire de la RFID une technologie socialement acceptable, et juridiquement conforme aux valeurs fondatrices de notre droit des données à caractère personnel, la norme juridique ne sera certainement qu'un élément, la technologie elle-même GO,ainsi que l'adoption préconisée au niveau communautaire de guides de bonne conduite et autres normes techniques, doivent également être étudiées. Les juristes, peu habitués à une telle gymnastique, auraient tort de se priver d'une telle multiplicité dans les sources normatives.
59
V. Document de travail sur les questions de protection des données liées à la technologie RFID (radio-identification), du 19 janvier 2005, n° 10107/0S/FR, WP 105, disponible à partir du site de l'Union européenne: www.europa.eu.int/comm/privacy. GO Dont on ne rappellera jamais assez suffisamment que selon les modalités mêmes de sa conception, elle peut constituer tout à la fois un grand risque mais aussi une solution dans le cadre de ces problémati9.ues. En l'occurrence, la technologie se développe principalement dans des pays ne béneficiant pas d'une approche holistique en matière de protection de la vie privée et des données à caractère personnel, le facteur risque y est sans doute, en conséquence, plus prégnant, comme le notait la CNIL dans sa communication de 2003. V. en ce sens, la communication de Philippe Lemoine, CNIL, datant du 30 octobre 2003, (http://www.cnil.fr/index.php?id=1063).ainsiqueMarcLangheinrich.Privary lry Design PrinciplesofPrivary-Aware Ubiquitous Systems, Privary lryDesign - PrinciplesofPrivary-Aware Ubiquitous Systems, Lecture Notes in Computer Science, Sprmger Berlin / Heidelberg, Volume 2201/2001,2001. 46
Quelles limites
à la« googleisation» des personnes?
PIERRE TRUDEL * Professeur titulaire de la Chaire L.R. Wilson sur le droit des technologies de l'information et du commerce électronique, Centre de recherche en droit public, Faculté de droit, Université de Montréal Le phénomène Google évoque à lui seul un vaste ensemble d'enjeux et inquiétudes suscités par le développement d'Internet. Fondé en 1998, Google s'est imposé comme le principal moteur de recherche sur le net. Forte de ce succès, l'entreprise a étendu ses activités à plusieurs autres fonctions d'Internet. À l'égard des personnes, les activités d'une société comme Google présentent des enjeux importants: qu'advient-il des données générées par les multiples requêtes que les internautes introduisent quotidiennement sur le moteur de recherche? Quels enjeux pour les droits des individus découlent des activités telles que Google Earth qui diffuse des vues aériennes des multiples lieux sur la planète? Que dire de Google Street View qui capte des images des rues des grandes villes pour les rendre disponibles sur le web? Qu'il s'agisse de la collecte de données personnelles ou de la mise à disposition d' œuvres protégées par le droit d'auteur, les enjeux juridiques posés par les moteurs de recherche, et singulièrement par le plus important d'entre eux, sont majeurs. Sur Internet, la régulation s'applique en réseau et selon un mode réseautique; elle est pensée et produite dans les nœuds de normativité d'Internet que sont les instances étatiques, les lieux de conception des normes techniques, de même que les différents acteurs. Ces derniers relaient à leurs partenaires les exigences et les risques qu'ils ont à gérer. Ainsi envisagée, la régulation des moteurs de recherche sur Internet est essentiellement une démar-
*
[email protected]
.
La sécurité de l'individu numérisé
che continue de prise en compte et de gestion des risques perçus à l'égard des activités de recherche. Par leur activité, les moteurs de recherche et les autres fonctions d'Internet génèrent des risques pour les internautes. Les solutions techniques et les configurations peuvent augmenter ou minimiser les risques pour les usagers. La réglementation étatique peut venir augmenter les risques des internautes ou ceux des exploitants de moteurs de recherche. Alors ces derniers auront à gérer les risques de se retrouver en non-conformité avec la législation nationale d'un État ou de plusieurs. Il revient à l'entreprise et aux usagers de gérer ces risques. En somme, la régulation d'Internet peut s'envisager comme un ensemble de règles découlant de la technique ou des normes étatiques et non étatiques. Ces normes créent des risques pour les usagers et les autres acteurs. Ceux-ci gèrent les risques associés à leur activité sur le réseau. Il en résulte une régulation caractérisée par le souci des acteurs de transférer ou relayer les risques qu'ils perçoivent vers les autres participants au réseau. Dans un réseau, les régulateurs et les acteurs sont en position d'accroître ou de réduire les risques pour eux-mêmes ou pour d'autres. La technique produit des situations qui augmentent ou diminuent les risques. Il en est de même pour les lois étatiques principalement celles des entités dominantes comme l'Union européenne ou les États-Unis. Les acteurs du net envisagent les contraintes et possibilités techniques de même que les lois qui sont susceptibles de s'appliquer à leurs activités comme autant de risques à gérer. La régulation agissante dans le cyberespace est essentiellement la résultante des stratégies de gestion des risques des acteurs et des régulateurs.
Introduction Internet serait d'un usage inftniment plus difficile sans les divers outils permettant aux usagers de repérer les pages d'informations pertinentes à leurs intérêts. Les moteurs de recherche rendent visibles ce qui serait pratiquement introuvable sur le réseau. C'est une ressource essentielle pour assurer une réelle possibilité d'accès aux informations par les utilisateurs 1. En rendant visibles des informations qui ne le seraient pas autant, les outils de recherche contribuent à braquer les projecteurs aussi bien sur les informations qui font partie du domaine public que celles qui s'inscrivent 1 James Grimmelmann, «The Structure of Search Engine Law», [2008] 93 Iowa LRev. à paraître ; Bos~an Bercic, «Protection of Personal Data and Copyrighted Material on the Web: The Cases of Google and Internet Archive », [2005] 14 Inftrmation & Communications TechnologyLaw, 17-24. 48
Quelles
limites à la « googleisation
» des personnes?
dans des domaines réservés. Les outils de recherche accroissent les risques pour les usagers d'Internet et même pour d'autres personnes 2. Une proportion considérable des requêtes de recherche effectuées sur Internet le sont sur les sites de Google, l'entreprise a connu une progression fulgurante 3. Sa valeur boursière s'est multipliée par des facteurs à faire rêver les investisseurs les plus audacieux. L'entreprise a mis en avant divers projets dont plusieurs soulèvent d'importants enjeux pour la vie privée des personnes 4. Il n'en faut pas plus pour poser la question des limites au phénomène de googleisation de l'individu. Jusqu'où est-il envisageable de tolérer qu'une seule entreprise détienne autant de données sur les internautes de la planète entière ? Dans quelle mesure est-il acceptable que l'on diffuse à la grandeur de la toile des images des allées et venues des individus circulant dans les rues des villes du monde entier? À la vérité, Google, à l'instar des autres moteurs de recherche, apparaît comme une infrastructure critique d'Internet: elle en possède l'ubiquité et se révèle emblématique des enjeux et risques que pose le réseau des réseaux. Les multiples applications de Google sont en voie de se généraliser et de se banaliser. Yves Poul1et observe qu'Internet favorise une double globalisation. Dans un premier sens, par la dimension internationale des réseaux et leur convergence et, dans un second sens, dans la mesure où l'ensemble des activités est traduit en information numérique 5. Internet prend l'aspect d'un lieu d'interactions ayant vocation à embrasser la presque totalité des dimensions de la vie sociale. !Devant une telle globalisation 6, - qui tend vers une « googleisation» on ne peut s'en tenir à considérer que la simple exégèse des textes promulgués du droit étatique suffit à rendre compte de la réglementation qui prétendrait instituer les limites à la « googleisation » des individus dans le cyberespace et ailleurs. Le droit étatique n'est pas seul à encadrer les activités des moteurs de recherche sur Internet: la normativité de ces ressources procède 2
Laurent Caron, « Protection des données personnelles et moteurs de recherche: quels sont les réels enjeux?» Ugipresse, n° 244, septembre 2007, p. 111 ; Jayni Foley, « Are Google Searches Private? An Ori~alist Interpretation of the Fourth Amendment in Online Communication Cases », [200/j 22 Berkelry Tech, L]., 447-475. 3 AFP, « Google leader écrasant de la recherche sur internet mondial », 9 octobre 2007, http://afp.google.com/ article/ ALeqM5hmg2WxR4pLsvDGhzplle3bZWfcxg. 4 Voir, « Who's afraid of Google ?» The Economist, September 1, 2007. 5 Yves Poullet, « Mieux sensibiliser les personnes concernées, les rendre acteurs de leur propre protection », [2005] 5 Rtvue Ltmry Droit de IYmmatériel,47, note 66. 6 Le mot est ici utilisé pour désigner le processus d'interconnexion croissante des économies et sociétés résultant du développement des technologies de l'information. Cynthia Ghorra-Gobin, Dictionnairedesmondialisations,Paris, Armand Colin, 2006, p. 185. 49
La sécurité de l'individu numérisé
aussi de ce que la technique permet ou prohibe de même que des pratiques observées par les différents acteurs. À l'instar de plusieurs observateurs, il faut parler d'une multirégulation, de coexistence sur le réseau de plusieurs types de régulation répondant à des objectifs différents, par des méthodes différentes et également légitimes7. La régulation des activités se déroulant sur Internet peut être envisagée selon le modèle du réseau. Le cyberespace, constate Thomas Schultz, constitue un laboratoire intéressant des phénomènes juridiques contemporains 8. Le fonctionnement de la régulation doit être examiné en portant attention aux flux de normativité qui constituent la base du droit effectivement appliqué dans le cyberespace. Il existe des phénomènes contribuant à moduler les normativités énoncées par les États ou les divers acteurs d'Internet et qui empêchent leur application de bout en bout du réseau. Malgré le caractère global du réseau, les appréciations et les valeurs présentent encore d'importantes différences dans les multiples milieux culturels dans lesquels s'appliquent les règles 9. De tels phénomènes préviennent l'application de règles qui pourraient être décontextuées par rapport à la situation ou au substrat culturel dans lequel la norme s'applique. L'un de ces phénomènes paraît bien être le risque juridique: l'évaluation que font les acteurs des possibilités concrètes d'application effective de lois nationales ou d'autres règles à leurs activités permet d'expliquer que même si Internet est un réseau global, personne ne se sent tenu de se conformer à la totalité des lois nationales qui peuvent théorique. 111 ment trouver app licatlOn . Philippe Amblard observe que la régulation de l'Internet se caractérise par le pluralisme de son processus normatif qui tendrait à promouvoir l'efficacité sociale d'un droit vivant par opposition à « l'artificialité positiviste de la loi étatique» Il. Michel Vivant, après avoir pris acte des divers mo7 Thomas Schultz, Réguler le commerceélectroniquepar la résolutiondes litiges en ligne, Bruxelles, Bruylant, 2005, p. 162. Cet auteur rapporte les points de vues de la Mission interministérielle français sur l'Internet et du Conse11 supérieur de l'audiovisuel français. Il relate les observations de Marc Maesschalck et Tom Dedeurwaerdere, « Autorégulation, éthique procéduraIe et gouvernance de la société de l'information », dans Jacques Berleur, Christophe Lazaro et Robert Queck, Gouvernance de la sociétéde l'Ùiformation, Bruxelles, Bruylant-Presses Universitaires de Namur, 2002, 77-103. 8 Thomas Schultz, « La régulation en réseau du cyberespace », [2005] 55 RI.EJ-, 31, p. 32. 9
Jack Goldsmith
et Tim Wu,
Who Controls the Internet? Illusions
if.a
Borderless World, New
York, Oxford University Press, 2006, chapitre 9 « Consequences of Borders ». 111 Voir, pour une méthod9logie d'analyse des risques juridiques: Franck Verdun, La gestion des risquesjuridiques, Paris, Editions d'organisation, 2006, pp. 39 et ss. Il Ph~ppe Amblard, Régulation de l'Internet l'élaborationdes règlesde conduitepar le dialogueinternormatij,Bruxelles, Bruylant, 2004, na 80. 50
Quelles limites à la « googleisation » des personnes?
dèles de régulation agissant sur Internet, constate que « c'est bien de régulations - au pluriel - qu'il convient de parler, de modes de régulation qu'il convient d'articuler au mieux, de combiner en raison. 12» Envisagée dans la logique du réseau, la régulation des outils de recherche sur Internet s'exprime par une normativité agissante résultant des décisions de gestion des risques prises par les régulateurs et les acteurs actifs sur le net. Sur Internet, les États, les usagers, les entreprises et les autres acteurs gèrent des risques. Par leurs décisions et leurs comportements, l'ensemble des producteurs de normativités créent et relaient les risques issus de la normativité qui leur est applicable à leurs cocontractants et partenaires. Les producteurs de normes ne peuvent prétendre à la souveraineté dans le cyberespace, mais ils conservent une pleine capacité de formuler des règles qui engendrent des risques pour les acteurs.
I - Les risques découlant des activités des moteurs de recherche La problématique des outils de recherche doit être abordée en tenant compte du fait que leur usage suppose la collecte et la conservation de données pouvant être rattachées à des personnes. Il faut aussi garder à l'esprit que les usagers d'Internet sont forcément impliqués à divers degrés dans la vie de la cité et mènent de ce fait des activités qui concernent les autres. Ces derniers peuvent avoir un intérêt légitime à accéder aux informations, même celles que l'on voudrait camoufler afin de mieux paraître. À l'instar de l'environnement physique, le cyberespace est constitué de lieux publics et de lieux privés, l'expectative légitime de vie privée devrait varier en fonction du contexte dans lequel se trouve l'usager. Les moteurs de recherche ont le potentiel de briser les lignes séparatrices entre ce qui est tenu pour privé ou partagé uniquement dans un cercle limité et les ressources publiques. L'agglomération de données sur les requêtes de recherche introduites par les internautes augmente les risques de transfert préjudiciable de ces informations. Au nombre des risques souvent signalés à cet égard, il y a la constitution de répertoires d'informations disponibles aux forces de police. Il faut tenir compte des possibilités réelles que les forces de police demandent d'accéder à ces données à des fms d'enquête ou dans le cadre d'activités visant à prévenir le crime. Afm de protéger le lien de confiance entre les moteurs de recherche et les usagers, il paraît approprié de conser12
Michel Vivant, « Internet et modes de régulation », dans Étienne Montero, Internetface au droit, Bruxelles, Story Scientia, 1997,215, p. 229. 51
La sécurité de l'individu numérisé
ver les renseignements uniquement pour les besoins démontrés du système de recherche et de les détruire dès que ces besoins sont satisfaits. L'agglomération et la persistance de l'information emportent la constitution de répertoires qui pourraient devenir accessibles aux autorités policières; c'est là un risque d'Internet. Mais le droit des forces de police d'exiger de telles informations est une question qui relève essentiellement de la régulation de la police. Réclamer des mesures de censure des informations circulant sur Internet au seul motif que celles-ci pourraient intéresser les forces de police, c'est imposer à tous les usagers légitimes de l'information, des contraintes découlant des possibles abus de quelques-uns. Si les informations peuvent être conservées et mises à disposition, il y a risque de décontextualisation de ces données et une réelle possibilité de perte de confiance dans les environnements du cyberespace. L'accumulation et l'agglomération de données sur les personnes par les moteurs de recherche et d'autres fonctions disponibles sur Internet emportent la constitution de répertoires importants d'information, potentiellement disponibles aux activités de surveillance de toutes sortes. C'est un risque qui paraît inhérent au mode de fonctionnement actuel des outils de recherche sur Internet. C'est dire à quel point une approche fondée sur la gestion des risques apparaît comme étant la plus à même de faciliter l'identification de stratégies pour la régulation efficace des activités des moteurs de recherche. 1.1 - La
vie privée
et la protection
des données personnelles
Sur Internet, il y a des activités publiques tandis que d'autres supposent un certain nombre d'intérêts relatifs à la vie privée. Pour fonder une approche conforme à l'impératif d'équilibre entre l'ensemble des droits fondamentaux, il faut tenir compte de l'aspect en continuum des situations publiques et des situations privées. Dans le cyberespace, tout n'est pas que public ou que privé comme s'il n'y avait que le noir et le blanc. L'intensité publique et privée des situations est en nuances variables selon les contextes et les circonstances. C'est dans ce cadre que doit être abordée la régulation des outils de recherche et autres infrastructures d'Internet. Le droit à la vie privée est parfois présenté comme un droit omnipotent à être protégé contre un ensemble infini d'inconvénients de la vie sociale. Tant et si bien que pour échapper aux exigences d'équilibre que comporte le droit à la vie privée, on en est venu à mettre en avant la notion de « protection de la vie personnelle» afm de justifier des régulations faisant prévaloir le désir des personnes de contrôler toutes les informations qui leur déplaisent. À ce jour, l'approche induite par le droit de la protection des
52
Quelles
limites à la « googleisation
» des personnes?
données personnelles est loin de constituer une régulation suffisamment nuancée pour assurer les équilibres essentiels entre le privé et le public. À moins d'en faire le droit qui éclipse tous les autres, le droit à la vie privée est un rempart garantissant la dignité des personnes dans des contextes multiples et infiniment variables. Ainsi compris, le droit à la vie privée est un droit aux contours flous faisant appel à des seuils mobiles de compatibilité dans le temps et dans l'espace 13. La régulation équilibrée des outils de recherche doit tenir compte à la fois de la nécessité d'assurer l'accès des usagers aux informations et la protection de la vie privée des personnes. Il est donc essentiel de tenir compte du caractère essentiellement nuancé du droit à la vie privée plutôt que de privilégier une conception de celui-ci qui conduit à éclipser les autres valeurs. 1.1.1- Un sens variable selon les époques
et les tissus culturels
Le droit à la vie privée connaît un sens qui varie selon les époques et les cultures. Son contenu est variable selon les circonstances, les personnes 14. Généraleconcernées et les valeurs d'une société ou d'une communauté ment, on inclut dans la vie privée les informations relatives à la vie sentimentale ou sexuelle, l'état de santé, la vie familiale, le domicile et même les opinions religieuses, politiques ou philosophiques lorsqu'on choisit de ne pas les exprimer publiquement. On peut également y inclure l'orientation sexuelle d'une personne, son anatomie ou son intimité corporelle. La vie privée se présente comme étant la « zone d'activité» qui est propre à une personne et qu'elle est maître d'interdire à autrui 15. On admet aussi généralement que le domaine de la vie privée d'une personnalité publique peut, en certaines circonstances, être plus restreint que celui d'un simple citoyen 16. Or, il y a sur Internet des situations dans lesquelles une personne est en position publique. On ne peut se mettre à publier son proftl personnel sur Internet et exiger que cela n'emporte aucun risque. Pour établir s'il y a atteinte à la vie privée, il est nécessaire de déterminer si une divulgation d'information ou une intrusion porte sur un élément de la vie privée. Le domaine de la vie privée regroupe certains types 13 Jean-Louis Halperin, « L'essor de la 'privacy' et l'usage des concepts juridiques », Droit et Société,61/2005, 765, p. 781. 14 Pierre Trudel et France Abran, Droit du public à l'Ùiformationet vieprivée: deux droits irréconciliables ?, Montréal, Thémis, 1992. 15 Bernard Beignier, «Vie privée et vie publique », (sept. 1995) 124 Ligipresse67-74. 16 André Bertrand, Droit à la vieprivée et droit à l'image,Paris, Litec, 1999. 53
La sécurité de l'individu numérisé
d'informations qui y sont, en principe, rattachées mais il connaît aussi des variations selon les qualités et la situation des personnes. Le contenu concret du domaine de la vie privée varie suivant les personnes, la position qu'elles occupent dans la société et d'autres circonstances. Cette prise en compte du contexte est inhérente à la notion de vie privée. Cela permet de délimiter le contenu du domaine de la vie privée en fonction des circonstan-
ces, notamment la participation de l'individu à la vie de la collectivité
17.
Tout ce qui touche les personnes ne peut logiquement relever de leur vie privée. Le droit à la vie privée concerne les informations qui affectent l'autonomie d'une personne, sa capacité à exercer un contrôle sur les informations qui concernent son intimité ou ses choix de vie. Mais dès lors qu'une personne exerce des activités qui en concernent d'autres, le champ de sa vie privée est forcément restreint par les intérêts légitimes des autres. Il est bien établi que les personnalités publiques ont une vie privée plus limitée que les autres citoyens. Les personnalités publiques sont celles qui décident, de leur propre chef ou en raison de circonstances particulières, de participer à des activités se déroulant en public ou pour lesquelles elles recherchent la confiance ou l'attention du public. Il peut s'agir de membres du gouvernement, de personnalités artistiques ou sportives, mais également de dirigeants d'organisations ou de professionnels qui interviennent dans l'espace public. Cette distinction pourtant essentielle en démocratie est souvent ignorée dans l'application des lois sur la protection des données personnelles. Par exemple, le fait de prendre part à une compétition sportive en public suppose que l'on accepte de respecter les règles du jeu. L'information de nature à assurer la probité du déroulement de compétitions sportives devrait avoir un caractère public. Malheureusement, l'application stricte de certains principes du droit de la protection des données personnelles tend à faire prévaloir une conception de la vie privée laissant peu de place aux impératifs de transparence. Par exemple dans un avis rendu en juin 2005, la CNIL censure la diffusion d'un annuaire recensant plus de 1 000 coureurs cyclistes ayant reconnu s'êtres dopés ou avoir été contrôlés positifs 18.
17
Patrick A. Molinari et Pierre Trudel, « Le droit au respect de l'honneur, de la réputation et de la vie privée: aspects généraux et application,s », Barreau du Québec, Appltcation des charlesdes droits et fiberlésen matièrecivile,Cowansville, Editions Yvon BIais, 1988, 211. 18 CNIL, Suite à lïnftrmation donnéesur son sitepar l'intéressélui-même,la CNIL confirmequ'elle a mis en demeurele responsablede cesite de cesserlapublication d'un annuaire du dopage,Communiqué du 30 juin 2005, http://www.cnil.fr/index.php?id= 1843&news[uid] =271&cHash= a9b6482b22. 54
Quelles limites à la « googleisation » des personnes?
Le sort qui a été fait à une liste de notaires publiée sur Internet fournit une autre illustration du caractère excessif de certaines applications du droit de la protection des renseignements personnels. La publication d'une liste noire de notaires sur un site Internet sans permettre à ces professionnels de s'opposer à ce que leurs coordonnées y figurent a été jugée contraire à la loi française «Informatique et libertés ». La cour d'appel de Bourges, dans un arrêt du 11 janvier 2007, a confirmé la condamnation prononcée par le tribunal correctionnel de Bourges le 5 juillet 2006 contre la Ligue européenne de défense des victimes de notaires. Cette association, aujourd'hui liquidée, avait autorisé sa secrétaire générale à créer et mettre en place un site web au nom de l'association. L'objectif du site était critique à l'égard de certains membres de la profession notariale. Sur la page d'accueil, on pouvait lire que la profession de notaire faisait courir «les plus grands risques aux clients ». Ce propos était accompagné d'une liste de 2 500 notaires dont il était afftrmé que « le fait d'être inscrit sur le site de la Ligue européenne de défense des victimes de notaires n'implique aucun préjugé ni pré jugement; cela implique simplement que notre association a un dossier concernant un client ou plusieurs clients de l'étude de ce notaire ». Certains offtciers publics qui n'ont pas accepté de voir leur compétence et leur honnêteté mises en doute ont écrit au site pour faire retirer leur nom de cette liste. Mais la secrétaire générale de l'association a refusé d'accéder à leur demande car cette diffusion servait les buts qu'elle s'était fixés. Saisie de cette affaire, la Commission nationale sur l'informatique et les libertés (Cnil) a dénoncé les faits au parquet. La Commission a estimé que l'association n'avait pas respecté le droit des personnes à s'opposer, pour des motifs légitimes, à ce que leurs coordonnées soient traitées, droit énoncé à l'article 38 de la loi « Informatique et libertés )). Le tribunal puis la cour de Bourges ont confirmé l'analyse de la Commission 19. Cet exemple indique que le droit de la protection des données personnelles est si peu nuancé et si biaisé en faveur du respect des caprices des individus exerçant des charges publiques qu'il peut être détourné afin de faire taire les activités relevant de la liberté de critique sur Internet. La conception démocratique de la vie privée postule que les personnes occupant une fonction publique ou exerçant une activité sollicitant la confiance du public sont en général soumises à un devoir plus intensif de transparence. Les personnes impliquées de leur plein gré ou involontaire19
Gisèle N., Ligue européenne de défense des victimes de notaires / Ministèrepublic, Cour
Bourges 2e chambre Arrêt du 1 f janvier 2007,
http://www.legalis.net/jurisprudence-imprimer. php3 ?id_article=1903. 55
d'appel
de
La sécurité de l'individu numérisé
ment dans un événement public doivent aussi s'attendre à une vie privée moins étendue, du moins tant que dure cet évènement. Or, sur Internet, il existe des lieux et des évènements publics. On s'y engage avec les avantages qu'on en retire mais aussi avec les risques et inconvénients qui les accompagnent. La vie privée possède une intensité variable selon les contextes. Sur Internet, cotntne ailleurs, l'intensité du droit à la vie privée varie en fonction d'une pluralité de facteurs. Selon les contextes, il existe des situations différenciées délimitant des espaces de vie privée et l'évaluation de la présence d'impératifs de dignité de la personne et des exigences d'information auxquelles les autres peuvent légitimement prétendre conduit à reconnaître que certains espaces et informations sont publics. Ce phénomène est d'ailleurs pris en compte selon les systèmes juridiques au moyen de divers concepts et standards. Par exemple, en droit pénal canadien, on a recours à des notions cotntne l'expectative raisonnable de vie privée afIn de délimiter les situations où doivent prévaloir le droit à la vie privée ou d'autres impératifs 20. 1.1.2 - Les intérêts différenciés
à connaitre
des usagers d'Internet
La vie privée se présente avec des intensités variables dans les multiples contextes qui coexistent sur Internet. Les situations relationnelles dans lesquelles chacun est engagé engendrent des intérêts différenciés à connaître certaines informations pour les personnes se trouvant dans l'environnement. Par exemple, le conjoint a un intérêt légitime à connaître certains éléments de la vie de l'autre conjoint alors que cet intérêt n'est pas présent chez le voisin de palier. De même, l'employeur a intérêt à connaître certaines informations relatives à l'employé pour certaines fIns mais pas pour d'autres. Ces intérêts différenciés à connaître constituent autant de facteurs de limitation de la vie privée. Lorsque de tels intérêts existent, c'est-à-dire lorsque sont réunies les conditions y donnant ouverture, le droit à la vie privée cède le pas puisqu'il existe un intérêt légitime à connaître. Ce phénomène peut être illustré en représentant les informations protégées par le droit à la vie privée en cercles concentriques. De tels cercles délimitent les informations qui peuvent demeurer du domaine privé et par le fait même, celles qui peuvent licitement circuler. Ces informations ne coïncident pas nécessairement avec ce que nous consentons à rendre disponible. Kayser démontre bien que le consentement n'est pas le concept approprié 20
La Reine c. Dyment, [1988] 2 R.eS. 417. L'arrêt Dyment a reconnu une facette informationnelle au drOit à la Vle privée. Voir à cet égard KarlfI! Benyekhlef, La protectionde la vieprivéedans les échangesinternatzonaux d'infirmation, Montréal, Editions Thémis, 1992, p. 29. 56
Quelles limites à la « googleisation » des personnes?
aftn de rendre compte de la légitimité de la circulation des informations concernant les personnes. Il écrit que l'explication consistant à postuler que la personne consent tacitement à des investigations et divulgations est inexacte puisque « la personne qui sort de sa vie privée pour se livrer à une activité publique ne songe pas à donner son consentement à la divulgation de cette activité. Elle pense encore moins à donner son autorisation à des recherches relatives à ses activités publiques. » Kayser ajoute que: « L'explication présente le défaut plus grave de se révéler inexacte car, si elle rendait compte de la réalité, une personne pourrait s'opposer, par une manifestation de volonté, à des investigations et à des divulgations relatives à ses activités publiques. Elle pourrait de même s'opposer à la réalisation et à la publication d'images la représentant dans une de ces activités. Or, elle , . 21 n a pas ce POUVOir.» . La doctrine s'est attachée à décrire le cercle de la vie privée en rapport avec la vie publique 22. Une jurisprudence abondante examine les critères permettant de déterminer si l'on se trouve dans une situation publique ou privée 23. Ainsi, lorsque l'on s'engage dans une activité publique, on sort du champ de sa vie privée. On ne peut, sans ignorer l'existence de la liberté d'expression, revendiquer la protection de la vie privée allant jusqu'à conférer un droit de veto sur l'information relevant de la vie publique. Par exemple, on ne peut à la fois se présenter comme un vendeur fiable sur un site d'enchères en ligne et s'opposer à ce que les autres fassent part de leur expérience lorsqu'ils ont transigé avec nous 24. On peut aussi relever qu'il existe des situations qui, sans se rattacher à la vie publique, supposent un intérêt à connaître pour un tiers. Par exemple, le droit à l'intimité peut être balisé par le droit des enfants à connaître leurs origines; ce qui peut aller jusqu'à connaître l'identité de leurs parents biolo21 Pierre Kayser, La protectionde la viePrivéepar le droit, 3e ed., Paris Economica-Presses universitaires d Aix-Marseille, 1995, n° 134. 22 Voir notamment: Frederick Schauer, «Internet Privacy and the Public-Private Distinction », [1998] 38 Jurimetrics, 555-564; Daniel Solove, Marc Rotenberg & Paul M. Schwartz, Information PrivacyLaw, 2d ed. 2006 ; François Rigaux, La proteaion de la vieprivée et des autres biens de la personnalité,Bruxelles, Bruylant, Paris LGDT, 1990; Emmanuel Dreyer, « Le re~pect de la Vle privée, objet d'un droit fondamental », Communicationcommerceélectroni-
f~e, maJ ~0~5, pp. 21-26.
, . .. .. . Cette )unsprudence est analysee en drOit françaJs par P1erre Kayser, La protectIonde la Ille privéepar le aroit, 3e ed., Paris Economica-Presses uruversitaires d'Aix-Marseille, 1995 ; voir aussi: Nathalie Mallet-Poujol, «Vie privée et droit à l'image: les franchises de l'histoire », Légicom, 1994/4,51. 24 Bob Rietjens, «Trust and Re utation on eBay: Towards a Le~l Framework for Feedback Intermediaries », (2006) va .15, no. 1, Information & CommunzcationsTechnologyLaw 55.
f
57
La sécurité de l'individu numérisé
giques. L'employeur peut, en raison des impératifs de l'emploi, avoir un intérêt légitime à connaître certaines informations relevant autrement de la vie privée d'un employé. Mais pour les personnes situées en dehors du cercle parental ou de la relation d'emploi, l'information demeure confidentielle. La variation dans le caractère public ou privé d'une information peut découler des choix que fait l'individu. Ces choix peuvent différer selon les personnes et selon les contextes. Par exemple, on pourra trouver normal de se confier à un ami intime davantage qu'à son employeur! Ces phénomènes expliquent qu'une information peut légitimement circuler dans un cercle familial ou un cercle d'amis ou un milieu de travail alors qu'elle sera tenue pour une intrusion dans la vie privée lorsqu'elle circule auprès de personnes appartenant à un cercle plus large. Sur Internet, il est possible de rendre disponibles certains renseignements à certaines personnes mais pas à d'autres. Par exemple, dans les sites dits de «réseautage social» diverses fonctionnalités permettent d'autoriser différents niveaux de divulgation des renseignements que l'on choisit de . ~ consigner sur son espace personne. l Le champ de la vie privée peut être représenté comme étant constitué en espaces publics, semi-publics et semi-privés. Cela reflète la diversité des cercles de partage d'information associés à chacun des milieux de vie comme le cercle familial ou ceux découlant du milieu de travail ou professionnel. Dans ces cercles, on observe une intensité variable du caractère privé et public de l'information. La délimitation de la vie privée résulte aussi de la présence de cercles d'informations découlant des évènements ponctuels. Les personnes, même si elles n'exercent aucune charge publique, peuvent se retrouver dans l'espace public à l'occasion d'évènements ayant un caractère public. La portée du droit à la vie privée est ainsi fonction de la détermination de l'intérêt qui peut exister à la divulgation. On va se demander à quelle fin et pour servir quels intérêts fait-on la divulgation. On postule que la seule existence d'une information n'est pas en soi suffisante pour en rendre la diffusion licite. C'est dire l'importance que prennent les processus de détermination de ce qui est tenu pour correspondre à l'intérêt à connaître. De ces processus, découle l'ampleur qui sera respectivement donnée au droit à la vie privée et au droit de divulguer.
25 Alain Lefebvre. « Guide pratique des réseaux sociaux virtuels », ln Placedes réseaux. http://www.placedesreseaux.com/dossiers/ reseau-relationnel! reseaux-sociaux-virtuelssommaire.htm, (page consultée le 23 mai 2007). 58
Quelles limites à la « googleisation » des personnes?
La variabilité de l'intensité du caractère privé de certaines informations doit se refléter dans les résultats produits par les outils de recherche. Cela suppose des règles réduisant la visibilité de certaines informations en fonction de l'intensité de leur rattachement à la sphère privée des individus.
1.2 - La diversité des cerclesd'intimité sur Internet Internet n'est pas un environnement univoque: on y trouve des lieux de toutes sortes. Certains comportent plus de risques pour la vie privée des personnes qui les fréquentent. Par exemple, les sites de réseautage social, nommés « social networking websites » en anglais, permettent la rencontre et la mise en relation de personnes via leurs réseaux sociaux. Des sites tels MySpace (http://www.myspace.com)etLinkedIn (http://www.linkedin.com) proposent un service en ligne qui permet de mettre en relation tous ces gens. De tels sites peuvent servir à agrandir son cercle d'amis, à créer des relations professionnelles, faire connaître des groupes musicaux, mettre en relation des gens qui partagent les mêmes intérêts, retrouver des anciens camarades de classe, etc. Il suffit de choisir le site qui répond à nos besoins et de s'y inscrire pour être potentiellement relié à des millions de gens. Le formulaire d'inscription permet en général de créer un profil de base, qui peut contenir le nom de l'usager, sa ville de résidence ainsi que son occupation. Par la suite, l'usager peut compléter les informations qui le concernent de façon plus détaillée, en ajoutant sa photographie, son curriculum vitae ou encore ses centres d'intérêts. Tous ces renseignements seront regroupés dans un espace personnel. Pour pouvoir profiter de la mise en relation avec d'autres personnes, les usagers peuvent ajouter des contacts à leur carnet d'adresses. Pour ce faire, ils peuvent rechercher des individus qui sont déjà membres du site et leur proposer d'entrer en relation. L'usager peut prendre contact avec quelqu'un qui n'est pas membre en l'invitant à s'inscrire et à prendre contact. Certains sites vont offrir d'importer la liste de contacts d'une adresse de courriel déjà existante dans le but d'envoyer à toutes ces personnes des courriels d'invitation. Si les personnes concernées se joignent au site, elles apporteront à leur tour leurs contacts et le réseau grandit de cette façon. Ces cercles différenciés d'intimité sont diversement protégés par des barrières techniques, des protections a priori, etc. Mais l'existence de ce type d'activités dans lesquelles les usagers décident de consigner certaines informations personnelles donne à penser qu'il est nécessaire de poser la prémisse qu'il existe sur Internet, à côté des informations relevant de la vie intime de chacun, des informations relevant de la vie collective. Par contraste, ce 59
La sécurité de l'individu numérisé
qu'on fait sur Internet, les données de connexion et les mots-clés que l'on a utilisés sont a prion' privés et en général n'ont aucunement vocation à devenir publics. Ces lieux diversifiés sur Internet de même que la puissance de certaines fonctions de traitement des informations mènent au constat que l'environnement cyberspatial induit des risques accrus qu'il importe de gérer au sein du réseau. Par exemple, on a fréquemment signalé l'importance des effets d'agrégation et des capacités des moteurs de recherche 26. L'information - même de caractère public - peut plus facilement être trouvée puis agglomérée de manière à déduire des informations qui, elles, relèvent de la vie privée. De ce fait, les risques pour la vie privée changent d'échelle sur Internet. Ce phénomène appelle une gestion des risques qui s'opère forcément en réseau.
2 - La gestion réseautique des risques L'encadrement normatif d'Internet peut s'envisager dans le contexte des risques que la technologie paraît induire. La régulation d'Internet se présente comme un ensemble de décisions de gestion des risques perçus par les acteurs au sein du réseau. L'espace auquel on a affaire est un ensemble interconnecté constitué de pôles interagissants de normativités. Il est constitué d'espaces dans lesquels prévalent en tout ou en partie des normes qui s'imposent aux usagers. Un ensemble de systèmes de normes se discute et s'applique dans le cyberespace. Aux réglementations étatiques et des acteurs s'ajoutent des processus ayant vocation à procurer les encadrements pour des activités qui ne peuvent être entièrement régies par les droits territoriaux. La technique, et les contraintes qu'elle induit, est aussi source de normativité dans les réseaux. L'ensemble des normativités agissantes sur Internet peut être représenté selon un modèle réseautique. Les activités se déroulant sur Internet sont ainsi encadrées par une normativité en réseau dont le caractère effectif est largement fonction de la capacité des producteurs de normes à créer des risques suffisants pour les autres entités afin de motiver chez les autres acteurs une volonté de les gérer. Tout se passe comme si le réseau était un vaste lieu au sein duquel les acteurs gèrent les risques qu'ils perçoivent en produisant ou en relayant des obligations à ceux avec lesquels ils viennent virtuellement en contact. 26
Daniel
J. Solove,
« Access and Aggregation:
tion, » [2002] 86 Minn. L Rev., 1137-1218. 60
Public Records, Privacy and the Constitu-
Quelles limites à la « googleisacion » des personnes?
Le risque en tant que construction sociale sera apprécié de façon différente selon les époques et selon le contexte culturel, politique ou socia127. Les représentations des dangers et des bienfaits des technologies contribuent à la construction des perceptions collectives des risques et des bénéfices des objets techniques. Ces perceptions varient dans le temps: elles ne sont pas identiques à toutes les époques. Elles diffèrent également selon les contextes sociaux: le droit et les autres normativités procèdent en grande partie de ces perceptions variables reflétant les contextes sociétaux et histonques. Les acteurs d'Internet évaluent les risques qu'une mesure ou une règle s'applique à leur activité. La décision de se conformer à telle règle et pas à d'autres procède d'une démarche d'évaluation des risques juridiques. Le potentiel d'application du droit de tel ordre juridique est évalué par chacun des acteurs en fonction de divers facteurs tels que les possibilités effectives de poursuites, la possession d'actifs sur le territoire étatique concerné, le désir d'inspirer confiance ou de se comporter en « bon citoyen ». Ces facteurs concourent aux analyses par lesquelles les acteurs orientent leurs stratégies de gestion de risques. 2.1 - Le risque Internet est un environnement entièrement construit par la technique. Les risques qu'il comporte sont nécessairement le résultat de décisions normatives comme celles qui donnent lieu à des configurations techniques. La régulation d'Internet trouve une grande partie de ses justifications dans les risques perçus à l'égard de ce que peut causer son utilisation mal encadrée. Maryse Deguergue relève que le risque peut être classé parmi les notions axiologiques qui traduisent le réel tout en portant sur lui un jugement de valeur, lequel permet de poser des règles juridiques 28. Dans l'environnement en réseau, le risque concerne aussi bien le péril justifiant la mise en place de la norme elle-même que les sanctions et autres contraintes qu'engendre cette dernière. C'est la normativité qui crée, accentue, réduit ou transfère les risques. Les risques à gérer sont à ce titre des risques juridiques. Les perceptions diverses ou convergentes au sujet des risques d'Internet contribuent à construire les légitimations sur lesquelles se fondent les règles de droit qui prétendent en encadrer le fonctionnement. L'anticipation, la 27
Christine Noiville, Du bongouvernementdes risques, Paris PUF, coll. «Les voies du droit», 235 p. 28 Maryse Deguergue, « Risque» dans Denis Alland et Stéphane Rials, Dictionnairede la culturejuridique, Paris, (,,!uadridge, Lamy, PUF, 2003, p. 1372. 61
La sécurité de l'individu numérisé
gestion et la répartition des risques figurent parmi les grandes tions des systèmes juridiques. Ulrich Beck explique que:
préoccupa-
« La société moderne s'est transformée en société du risque (...) parce que le fait de discuter des risques que la société produit elle-même, le fait de les anticiper et de les gérer est progressivement devenu l'une de ses principa. . 29 les preoccupations.» .
La normativité relative à Internet est en grande partie motivée par le souci de réduire, gérer et répartir les risques découlant de la disponibilité d'informations sur le réseau. Dans son acception générale, le risque peut être envisagé comme un objet social. Yvette Veyret observe que « le risque objet social se définit comme la perception du danger. Le risque n'existe que par rapport à un individu, à un groupe social ou professionnel, une communauté, une société qui l'appréhende [...] et le traite par des pratiques spécifiques. Il n'y a pas de risque sans une population ou un individu qui perçoit et pourrait subir ses effets» 30.Le risque n'existe pas dans le vide: il découle forcément d'un contexte sociétal donné. La protection des informations faisant partie de la vie privée relève bien d'une logique de gestion de risques. Les conséquences de la circulation des informations ne sont pas nécessairement connues des protagonistes lorsque l'information est mise en circulation. C'est souvent l'agglomération d'informations qui est considérée comme porteuse de dangers. Par exemple, une information personnelle anodine peut être diffusée puis se retrouver combinée avec un autre élément d'information et entraîner de ce fait une divulgation d'un élément de l'intimité d'une personne. Dans une pareille situation, l'intéressé a consenti à la divulgation ou encore le caractère public de la situation faisait sortir l'information du champ de la vie privée. Mais l'intrusion dans la vie privée survient quand même. Une fois reconnu, le risque emporte des obligations de précaution. Le risque juridique découle en effet des situations où la violation des droits d'autrui est susceptible de se produire. Même s'ils sont différents, il y a une étroite proximité entre le risque technologique et le risque juridique: lorsque le risque technologique est avéré, il naît presque toujours une obligation d'en tenir compte et de se comporter de façon conséquente. Le risque juridique peut aussi découler de la possible non-conformité à une loi ou à une 29
Ulrich Beck, « Risque et société» dans Sylvie Mesure et Patrick Savidan, Le dictionnairedes scienceshumaines,Paris, Quadrige, PUF, dicos poche, 2006, p. 1022. 30 Yvette Veyret, «Les risques », Dossier des images.économiquesdu monde, FEDES, cité par Franck Verdun, La gestion des risquesjuridiques, Pans, Editions d'organisation, 2006, p. 11. 62
Quelles limites à la « googleisation » des personnes?
autre sorte d'obligation également applicable. Le risque juridique, en toute hypothèse, résulte des situations dans lesquelles la responsabilité d'une personne peut être mise en cause. Ceux qui prennent part à des activités dans le cyberespace le font avec plus ou moins d'intensité selon qu'ils ont ou non conscience qu'ils auront à supporter plus ou moins de risques. La régulation des outils de recherche sur Internet s'inscrit dans le tissu des impératifs de modulation et de gestion des risques. 2.2 - Le changement de l'échelle des risques Les outils de recherche contribuent à modifier les repères spatiaux et temporels. Ils donnent accès à des informations qui étaient, il y a peu de temps, tenues pour n'avoir vocation à circuler que dans des espaces restreints. Les balises conçues dans un monde dans lequel les réseaux prenaient moins de place sont prises en défaut 31. Le Rapport sur l'application transfrontière de la législation relative à la vieprivée de l'OCDE relève que la circulation accrue de l'information notamment sur Internet accroît les risques pour la vie privée. On ajoute que: « La multiplication des flux transfrontières de données, à des débits plus élevés, couvrant des zones géographiques plus étendues, et englobant des données alphanumériques, de la voix et des images entre une multiplicité croissante d'acteurs est susceptible d'augmenter le nombre et le coût des violations de la vie privée subies par les individus et les organisations. » 32. Les risques pour la dignité humaine se présentent à des échelles différentes. Il y a reconstruction des cercles de la vie privée. Il y a décentrage et recentrage des cercles de la vie privée. On observe un décentrage spatial: l'espace physique semble se dissoudre dans le cyberespace : le lieu dans lequel est située l'information a désormais peu d'impact sur son accessibilité. Dès lors qu'un document est disponible sur un serveur, les outils de recherche couramment utilisés sur Internet ou certains outils spécialisés sont en mesure de le retrouver. L'éloignement dans l'espace de même que le passage du temps semblent avoir beaucoup moins de prise sur la disponibilité effective de l'information.
31
Frederick Schauer, « Internet Privacy and the Public-Private Distinction », [1998] 38 Jurimetrics555. 32 OCDE, Rapport sur l'application transfrontièrede la législation relative à la vie privée, Paris, OCDE, 2006, p. 8, http://www.oecd.org/fmdDocument/0.3354.fr _2649 _34255_Cll9666_1_1_1,00.html. 63
La sécurité de l'individu numérisé
Internet banalise la diffusion: l'information peut aisément se être diffusée en dehors des cercles de circulation légitime, d'où sement des risques. Certes, le cyberespace est constitué de lieux de lieux privés. Mais les repères permettant de délimiter le privé sont brouillés. Belgum rappelle que:
trouver à l'accroispublics et du public
« Personal data, such as address, phone number, income, property value, and marital status have always been available to those willing to dig. The Internet can make it possible for a much wider class of persons - essentially all Internet users - to gain access to similar types of personal information at little or no cost. » 33. Internet modifie l'échelle spatiale à partir de laquelle s'apprécient les risques pour la vie privée. En dehors du monde en réseaux, l'accessibilité à une information demande des ressources qui peuvent être importantes. Sur Internet, on a l'impression que beaucoup d'informations sont à portée d'une requête de moteur de recherche. Solove observe que: « Until recently, public records were difficult to access. For a long time, public records were only available locally. Finding information about a person often involved a treasure hunt around the country to a series of local offices to dig up records. But with Internet revolution, public records can be easily obtained and searched from anywhere. » 34. La problématique de l'accès aux documents rendant compte du déroulement des processus judiciaires est emblématique des changements quantitatifs et qualitatifs générés par Internet. Natalie M. Gome-Velez relève que: « Providing Internet access to court records increases exponentially the availability of court records, including any sensitive information they contain. Examples of sensitive information that might be found in court records include: social security numbers, home addresses, names of minor children, fmancial account numbers, and medical information. » 35. Il y a aussi décentrage temporel: la persistance de l'information emporte que celle-ci traverse les cercles dans lesquels elle était tenue pour légitime. Par exemple, une information peut être légitimement disponible au public en raison de l'actualité de l'événement. L'archivage et la disponibilité virtuel33 Karl D. Belgum, « Who leads at Half-time ?: Three Conflicting Visions of Internet Privacy Policy [1999] 6 Rich. J.L & Tech. 1. 34 Daniel J. Solove, « Access and Aggregation: Public Records, Privacy and the Constitution,» [2002] 86 Minn. L Rev., 1137-1218, p. 1139. 35 Natalie M. Gomez-Velez, « Internet Access to Court Reports- Balancing Public Access and Privacy,» [2005] 51 Ù!Jo!a LRev., 365-438, p. 371. 64
Quelles limites à la « googleisation » des personnes? lement permanente sur Internet iraient au-delà de ce qui est nécessaire aftn de rendre compte de l'actualité. Les capacités d'agglomération d'informations permettent la constitution de gisements d'informations sur les personnes qui peuvent du coup devenir disponibles pour des forces de police de même que devenir des enjeux pour des malfaiteurs. En somme la disparition des efforts à consacrer pour trouver l'information emporte la disparition d'une protection par défaut pour la vie privée. Cela porte à revoir les raisonnements qui permettaient de déterminer si on se trouvait dans le domaine de la vie privée ou dans le domaine de l'espace public. Tous ces changements dans les dimensions des enjeux relatifs à la vie privée indiquent des modiftcations dans les niveaux de risques causés par la circulation de l'information dans le réseau. Ces dimensionnements nouveaux des risques pour la vie privée induisent des mutations au niveau de la raison d'être des règles de droit. Là où l'on prenait pour acquis que le niveau de risques pour la vie privée demeurait faible ou aisément maîtrisé, les mutations dans l'échelle qualitative et temporelle qu'induit la généralisation d'Internet, conduisent à postuler que les risques sont accrus. D'où les revendications pour un renforcement de la protection de la vie privée des personnes lors de la mise en place des environnements de traitement de l'information. Mais un tel renforcement doit se concevoir dans le contexte d'une normativité en réseau. 2.3 - La normativité en réseau La gestion des risques s'inscrit dans un processus de régulation en réseau 36. Les réseaux sont le résultat d'interactions entre personnes se trouvant en relation. Le phénomène de réseautage suppose des environnements interconnectés unissant les acteurs, les régulateurs de même que les entités jouant un rôle dans la gouvernance d'Internet 37. Dans l'espace constitué par les réseaux, le cyberespace, la normativité s'élabore et s'applique selon un 36
Katherine J. Strandburg, Gabor Csardi, Jan Tobochnik, Peter Érdi & Laszlo Zalanyi, « Law and the Science of Networks: An Overview and an Application to the 'Patent Explosion' », [2006] 21 Berkelry TechnologyL]., 1293-1351; Andrea M. Matwyshyn, « Of Nodes and Power Laws: A Network Theory Approach to Internet Jurisdiction through Data Privacy», (2003) 98 Nw.U.LRev., 494-544 ; Avitai Avirarn, « Regulation by Networks », [2003] Brigham Young U. LRev., 1180-1238; Lior Jacob Strahilevitz, « Asocial Networks Theory of Pnvacy», [2005] 72 U. Chi.LRev., 919-988. 37 Manuel Castells, La sociétéen réseaux.L'ère de l'injôrmation,Paris, Fayard, 1998; François Ost et Michel de Kerchove, De la pyramide au réseau:pour une théoriedialectiquedu droit, Bruxelles, Publications des Facultés universitaires Saint-Louis, 2002. 65
La sécurité de l'individu numérisé
mode réseautique 38. Renaud Berthou voit en Internet « un facteur de développement d'une pluralité de processus réseautiques ». Sans être la seule cause du développement réseautique que connaissent les processus de création du droit à l'ère postmoderne, il est un outil majeur d'évolution 39. Au sein du réseau, l'acteur gère ses risques et va chercher à les limiter ou les transférer à un partenaire. Par exemple, l'exploitant d'un site de réseautage social va prévoir des mises en garde afin d'amener les usagers à accepter consciemment les risques découlant de la mise en ligne de leur profù personnel. D'autres acteurs pourront songer à mettre en place des mécanismes afIn de consigner les consentements aux traitements de données personnelles aux fIns de limiter leurs risques résultant de l'application des lois nationales sur la protection des données personnelles qui seraient susceptibles de trouver application dans le cadre de leurs activités. Les régulations peuvent découler de normativités technologiques, de normativités gestionnaires ou de normativités juridiques. Rien n'indique que la normativité juridique ou une autre logique normative soit invariablement en position dominante. Il y a en effet concurrence entre les diverses logiques en vertu desquelles se produisent les régulations: les logiques technologiques, celles du marché et les logiques du droit ne concordent pas toujours. Dans certaines situations, les référents juridiques demeurent absents des débats qui sont perçus comme relevant essentiellement d'une problématique de gestion ou d'agencement technique. Dans d'autres contextes, l'enjeu technique est fortement capté par les logiques juridiques. L'État ou un autre acteur peut agir afin d'augmenter les risques de certains comportements ou activités ou réduire les risques associés à une conduite saine. Par exemple, lorsque l'État adopte une loi sévère contre certaines pratiques, cela accroît les risques associés à celles-ci. À l'égard des usagers qui se livrent à des activités légitimes, l'État ,Peut baliser, voire limiter les risques des acteurs. Si dans le cyberespace, l'Etat semble avoir perdu de son pouvoir, il conserve habituellement encore une importante influence sur les entités situées sur son territoire et même sur celles qui sont susceptibles d'être indirectement visées par ses lois. Dans un réseau, chacun des acteurs en mesure d'imposer sa volonté dispose d'une capacité d'accroître les risques des autres. Ainsi, un État peut
.
. . . . . P terre T ru d e,1 « U n " d rott en reseau " pour 1e reseau: le contra ' Ie des communications et la responsabilit~ sur Internet, » dans Institut canadiçn d'études juridiques supérieures, Droits de lapersonne: Ethique et mondialisation,Cowansville, Editions Yvon Blats, 2004, pp. 221-262. 39 Renaud Berthou, L'évolution de la créationdu droit engendréepar Internet: vers un rôle de guide structurelpour l'ordrejuridique européen,Thèse pour le doctorat de l'Université de Rennes I, mention Droit, Rennes, 2 juillet 2004, p. 373. .38
66
Quelles limites à la « googleisation » des personnes?
imposer des devoirs aux citoyens qui se trouvent sur son territoire. Ces derniers auront alors à gérer leurs risques découlant de ces obligations. Ils chercheront à s'assurer que leurs partenaires agissent en conformité avec les obligations auxquelles ils sont eux-mêmes tenus et à l'égard desquelles leur responsabilité peut se trouver engagée. En somme, le système de régulation vise à rétablir les équilibres entre les risques et les précautions. Il doit fonctionner de façon à inciter l'ensemble des acteurs à minimiser les risques qui relèvent de situations sur lesquelles ils sont effectivement en mesure d'avoir une prise, et à accroître le plus possible les risques des acteurs qui choisissent d'avoir des comportements dommageables ou qui augmentent indûment les risques des usagers légitimes. C'est dans une telle logique que s'inscrit la régulation des outils de recherche. 2.3.1- Les relations
multiples
entre les normativités
Internet peut être envisagé comme un univers constitué de nœuds et de relais de normativité qui sont en lien d'inter-influence. L'enjeu n'est pas de savoir si c'est la loi, la technique ou l'autoréglementation qui assure le mieux la protection des équilibres. La normativité effective est une résultante du dialogue entre les acteurs et de leur capacité à relayer les normes et principes. Pour connaître les normes qui ont vocation à régir un environnement raccordé à Internet, il faut identifier les nœuds au sein desquels s'énonce la normativité qui s'applique effectivement 40. Par exemple, un État énonce des lois qui seront obligatoires pour ceux qui sont situés sur son territoire. Ainsi, une stratégie d'encadrement des activités d'Internet comme les moteurs de recherche s'envisage comme un ensemble de mesures conçues de manière à se renforcer les unes et les autres afin de limiter les risques tels que ceux relatifs à la vie privée des internautes qui s'adonnent à des activités licites. La stratégie doit se déployer en réseau: imposer des règles aux acteurs et inciter ces derniers à relayer ces exigences à tous ceux à l'égard desquels ils exercent une influence. Dans une logique de gestion de risques, les mesures étatiques seront plus efficaces si elles sont assorties de politiques dynamiques de surveillance et de poursuites dans les cas où cela est possible. Une législation notoirement inappliquée pourra plus aisément être perçue par les acteurs comme engendrant moins de risques. 40
Pierre Trudel, « Un 'droit en réseau' pour le réseau: le contrôle des communications et la responsabili~é sur Internet », dans Institut canadiçn d'études juridiques supérieures, Droits de lapersonne: Ethique et mondialisation,Cowansville, Editions Yvon Blats, 2004, pp. 221-262. 67
La sécurité de l'individu numérisé
Pour les acteurs, dans le cyberespace, le droit énoncé et appliqué par les États fournit une part importante du cadre délimitant leurs actions et prescrivant l'étendue de leurs obligations. C'est pour gérer leurs risques et limiter la mise en cause possible de leur responsabilité que les acteurs, tant collectifs qu'individuels, se donnent des règles de conduite. Ainsi, se relaient les exigences énoncées dans les pôles de normativité. Au niveau de chaque environnement, les principes énoncés dans les pôles de normativité comme les lois des États et les principes largement reconnus sont relayés en microrégulation ou en auto-réglementation. La structure en réseau du droit du cyberespace permet de rendre compte des relations multiples qui existent entre les différents ordres normatifs agissant sur le net. Le paradigme de la gestion du risque procure une hypothèse explicative au regard de l'effectivité des normes. L'effectivité des règles serait fonction de leur capacité à promouvoir une gestion optimale du risque qu'elles permettent aux acteurs de visualiser. Le risque concerne ici aussi bien le péril justifiant la mise en place de la norme elle-même que les sanctions et autres contraintes qu'engendre cette dernière. Les moteurs de recherche, par leurs façons de faire, leurs modes de fonctionnement ou les outils techniques utilisés, peuvent accroître ou limiter les risques des internautes. À ce titre, ils mettent en place une normativité « par défaut» qui est d'application immédiate. Une telle normativité est forcément porteuse de risque pour les usagers. De leur côté, les usagers ont à gérer les risques découlant de la normativité accompagnant le fonctionnement des outils de recherche. Les États sont en mesure d'intervenir dans les processus de gestion des risques inhérents aux environnements d'Internet comme les outils de recherche. La réglementation étatique peut moduler les risques: par exemple rendre obligatoire la divulgation des risques découlant des fonctions des outils de recherche. Les législations peuvent également interdire la collecte ou la conservation de données. À l'inverse, les États peuvent augmenter les risques en imposant des obligations de conservation de données afin que celles-ci demeurent disponibles aux forces de police. 2.3.2 - Les normes sont proposées,
imposées
et relayées
Dans le réseau, on observe des inter-relations diversifiées entre les normes. Les normes sont proposées, voire imposées dans divers nœuds de normativité ; ces nœuds de normativité sont en concurrence ou en complémentarité avec d'autres. Les relais de la normativité assurent l'application ef-
68
Quelles limites à la « googleisation
» des personnes?
fective des règles. Dans les relais s'explicitent et se diffusent les normativités et les conséquences de celles-ci. On peut identifier plusieurs rapports entre les normativités. Dans la plupart des situations, on se trouvera en présence d'un rapport d'obligation: une loi est obligatoire à l'égard d'une personne située sur le territoire d'un État; cette dernière - au risque de devoir subir des sanctions - doit forcément relayer les obligations découlant de la loi. On voit ici l'importance du risque découlant de l'effectivité de la loi. Une loi non appliquée par les autorités pourra être perçue comme engendrant un risque négligeable. C'est dire l'importance de limiter la quantité de lois à ce qu'on est en mesure d'appliquer effectivement. La multiplication des textes ne visant que des effets d'annonce sans les ressources assurant l'effectivité de leur application contribue à affaiblir l'efficacité de la loi étatique. Dans d'autres situations, l'application indirecte de normes émanant en tout ou en partie d'autres ordres juridiques sera envisagée comme un risque. Par exemple, les directives européennes ont des effets non seulement sur le droit des pays membres mais aussi sur les obligations des acteurs situés dans des pays entretenant des relations importantes avec les ressortissants de cette entité. Il en est de même des lois américaines: plusieurs sites exploités partout dans le monde considèrent qu'il est de bonne pratique de se conformer à certaines lois américaines puisqu'ils ambitionnent de rejoindre des ressortissants de ce pays. En fm de compte, lorsqu'on s'engage dans une activité sur Internet, il faut habituellement envisager les risques de possible non-conformité à une gamme étendue de normes. Si les lois du territoire sur lequel on se trouve s'imposent d'office, on peut aussi avoir à composer avec des règles légales, techniques ou des pratiques qui émanent d'un vaste ensemble de lieux normatifs engendrant plus ou moins de risques juridiques.
Conclusion La question des limites à la « googleisation » des personnes peut être envisagée selon un modèle de gestion des risques. Sur Internet, l'usager gère ses risques: il les accepte ou les transfère, il peut choisir de les limiter ou de les minimiser. La portée et la teneur effective des réglementations balisant la collecte et l'utilisation des données par les outils de recherche sont la résultante des décisions de gestion des risques. Les usagers et autres acteurs ont à décider s'ils acceptent les risques pour la vie privée ou le cas échéant comment ils les transfèrent. Pour leur part, les États peuvent mettre en place des mesu69
La sécurité de l'individu numérisé
res afIn d'accroître ou de limiter les risques que peuvent avoir à prendre les internautes à l'égard desquels s'appliquent leurs lois. Mais encore là, pour les acteurs du net, les lois des États se présentent à leur tour comme des risques à gérer. Le droit des États et les autres normativités - comme les normes issues de la technique - créent plus ou moins de risques pour la vie privée ou pour les autres intérêts des acteurs du net. L'approche selon le modèle du risque indique que la question n'est pas tellement de savoir si la loi ou l'autoréglementation devrait être utilisée dans le cadre de stratégies de régulation comme si l'une excluait l'autre. Au contraire, comprise comme un ensemble de risques à gérer, la régulation d'Internet se comprend comme un ensemble de normes qui sont forcément relayées via une pluralité de processus. L'incitation à relayer les exigences d'une règle de manière à obliger l'autre est fonction de la capacité de cette règle à générer un risque qui sera perçu comme signifIcatif par les acteurs concernés. La normativité issue de la technique peut engendrer des risques ou procurer des solutions en limitant l'incidence. L'État et les autres régulateurs peuvent accroître ou limiter les risques tels que ceux qui découlent des activités d'une entité telle Google. Les décisions de gestion des risques qui se prennent dans les divers lieux en mesure d'imposer leur volonté engendrent des normes qui à leur tour sont relayées par les autres acteurs. Les États peuvent imposer des obligations qui limitent les risques pour la vie privée. Sur Internet, ces mesures seront à leur tour généralement perçues par les acteurs comme autant de risques à gérer et à transférer aux cocontractants. Sur Internet, la régulation s'élabore et s'applique selon un mode réseautique. Les acteurs sont en mesure d'accroître, de transférer ou de limiter les risques. L'efficacité de la régulation est fonction de la capacité effective d'accroître les risques de ceux qui mènent des activités à risque et à gérer les risques des utilisateurs légitimes. Plus on comprend les relations qui existent entre ces divers processus de gestion de risques, plus on accroît les chances d'une régulation effective des activités qui engendrent des risques sur Internet.
70
Identité numérique et anonymat: concepts et mise en œuvre EL HASSAN BEZZAZI IREENA T, Université de Lille 2 Introduction Le travail interdisciplinaire mené dans le programme de recherche Asphales a été l'occasion pour des chercheurs issus du monde du droit et de celui de l'informatique de commenter un certain nombre de concepts et d'en débattre. Parmi ces concepts, liés à la sécurité juridique et à la sécurité informatique, le concept de donnée personnelle a été le concept qui nous a le plus frappé. Sans doute parce que nous nous sentons immédiatement concernés mais aussi parce qu'il est transversal et donc lié à d'autres concepts considérés, tels que l'intégrité, l'archivage ou l'effacement. Le concept de donnée personnelle est au cœur de la notion d'identité numérique et de son dual qu'est l'anonymat. La défmition de l'identité numérique reposera donc sur la défmition d'une donnée personnelle pour laquelle il existe une référence juridique dans la loi. L'anonymat est important, parfois nécessaire, pour la protection de la vie privée. Son concept est intimement lié à celui de l'identité. En effet, l'anonymat est souvent défmi comme étant l'état d'être non identifiable par un ensemble de sujets. Ces concepts prennent de nouvelles dimensions dans le monde numérique où il est question de la personnalité numérique par opposition aux personnalités publique et privée de l'individu. Globalement et sommairement, l'identité numérique d'une personne physique serait la somme de ses données personnelles dans le monde numérique. Il devient alors nécessaire de recenser les différents intérêts suscités par ces notions ainsi que leur mise en œuvre pour approcher une ontologie de l'identité numérique qui profitera, entre autres, à leur définition juridique. Nous nous proposons dans cet article de procéder à une approche descendante et modulaire dans la définition d'un modèle pour appréhender ces deux notions et certaines autres qui viennent se greffer autour d'elles. L'efficacité du modèle dépend de sa capacité à intégrer les éléments de la réalité qui sont pertinents
La sécurité de l'individu numérisé
pour son utilisation. Comme tout modèle, notre modèle sera réducteur à commencer par la vision d'un individu comme un ensemble de données. L'objectif de cet article est d'avancer une pseudo formalisation du concept de l'identité numérique qui pourrait ouvrir la voie à la mise en place d'une ontologie formelle de ce concept partageable par les différents acteurs. Un certain nombre de propositions ont été faites dans la littérature [Cam06, Cla94, HWV03], notre proposition s'en distingue tant au niveau du formalisme utilisé qu'au niveau de l'appréhension globale des concepts et des relations connexes. L'identité numérique dans son approche juridique D'après la loi « Informatique et libertés» : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. » [...] « La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement. » (art. 2).
La définition distingue deux cas: . le cas d'une personne identifiée et dans ce cas toute information la concernant qui vient s'ajouter à son identifiant (simple ou composé) est considérée comme une donnée à caractère personnel;
.
le cas d'une personne X qui n'est pas identifiée et pour laquelle on dispose d'un ensemble de données parmi lesquelles certaines données suffisent à l'identifier éventuellement à l'aide de moyens dont peut disposer une personne cherchant à l'identifier.
La notion d'identifiant, le nom par exemple, n'est pas liée à sa nature seulement mais aussi au contexte implicite. En effet, le médecin d'une commune de moins de 500 habitants est plus facilement identifiable qu'un médecin dans une commune de plus d'un million d'habitants. Ainsi le nom ne constitue pas dans l'absolu nécessairement un identifiant mais le contexte ou sa valeur peuvent en faire un. On peut alors considérer le contexte et la valeur comme des moyens implicites permettant ou non l'identification 72
Identité
numérique
et anonymat:
concepts
et mise en œuvre
d'une personne le long d'un certain processus d'inférence. À l'inverse, une donnée est anonyme quand l'établissement d'un rapport à une personne physique exige la mise en œuvre d'un ensemble de moyens techniques, financiers, humains de manière déraisonnable. L'identité numérique, si elle doit être unique, peut être conçue comme l'ensemble de toutes ces identités numériques partielles. Chacune de ces identités partielles est supposée être cohérente. Sans moyen de chainage de deux identités partielles, un observateur - qui peut être un programme - distinguera deux individus. Si l'observateur arrive à chainer les deux identités, il devra en tirer une synthèse cohérente car des faits peuvent se contredire. Une approche prudente exclura tout simplement de tels faits. Ces identités numériques peuvent être créées par une personne, un organisme ou un programme et peuvent ne faire référence à aucune personne physique réelle quand bien même un lien entre elle et son créateur est établi. Cependant, dans ce dernier cas, cette identité pourra être considérée comme une donnée de son auteur au même titre qu'un billet dans un blog décrivant son auteur. Ceci étant, nous élaborerons notre étude sur la base du cercle restreint des identités partielles dont les faits sont vrais, éventuellement après nettoyage, pour une personne physique réelle. Un modèle
pour les identités
numériques
Notre modèle est, selon une démarche descendante, d'abord une ontologie pseudo formelle et sera complété dans le paragraphe suivant par une définition logico-ensembliste de l'identité numérique. La figure ci-dessous donne une vue globale du modèle de l'identité numérique pour une personne donnée X. La classe I représente l'ensemble de ces identités qui pourront être classées à nouveau dans l'une des deux sous classes disjointes, la classe IT des identités totales qui permettent l'identification de X et la classe Ip des identités partielles qui ne permettent pas cette identification. La figure met aussi en évidence les principales opérations qui s'appliquent sur les identités numériques.
73
La sécurité de l'individu numérisé
Collecte Traitement Stockage Accès Partage Transfert
~ Chaîna.
Notons qu'au niveau de l'implantation, les identités l peuvent être structurées ou non. Elles sont structurées quand elles sont issues de bases de données telles que les fichiers logs. Elles le sont moins quand elles sont issues d'un texte tel que le contenu d'une page web. La représentation logicoensembliste que nous proposerons pour une identité numérique fera abstraction de ces détails. Le dépôt des données pour alimenter l'identité peut provenir de la personne physique ou de sources externes. Même quand elles proviennent de la personne, celle-ci peut ne pas en être consciente, c'est typiquement le cas des traces. Le chainage de deux identités peut être rendu possible en raison d'informations communes qui en sont issues et qui sont réputées uniques telle que l'adresse email, l'adresse ip ou un cookie. L'opération d'identification fait intervenir un ensemble de connaissances, celles de l'observateur, et comme nous le verrons peut aboutir ou non en ne permettant que la personnalisation ou le profllage des individus. La collecte, le stockage, le partage, le transfert des données à caractère personnel et leur traitement sont encadrés par la loi, notamment par rapport au consentement, à la finalité, à la proportionnalité et à durée de rétention. En particulier, la finalité doit être licite, déterminée, explicite et légitime. Le caractère légitime est déterminé par le consentement de la personne concernée ou une nécessité démontrée. Ces actions échapperont à la réglementation si les données, par exemple à la suite d'une anonymisation, ne permettent pas l'identification par tout moyen raisonnable, par chaînage ou inférence par exemple. L'accès aux données peut être protégé ou non. Dans le cas où il
74
Identité
numérique
et anonymat:
concepts
et mise en œuvre
est protégé, les personnes autorisées doivent s'identifier authentification. Elles peuvent avoir des droits différents.
et procéder
à une
Une définition logico-ensembliste lex) est l'ensemble des assertions vraies pour l'individu x et Id(x) le sousensemble de I(x) constitué des faits qui l'identifient. Soit D(x) un sous ensemble de I(x)-Id(x), il est dit identifiant de x pour un observateur a si les connaissances générales - et non spécifiques à x dans la mesure où ces données sont dans D(x)-K(a) - de a lui permettent d'identifier x : K(a)UD(x)-'i(x) avec i(x)Eld(x). Le symbole -. désigne une inférence générale pouvant prendre plusieurs formes: déductive, inductive, abductive ou probabiliste. Il doit être clair que dans ce cas K(a)UD(x)-'i(y) avec i(y)Eld(y) pour x;o!y.Remarquons cependant que cette identification n'est pas infaillible dans la mesure où les connaissances de a peuvent ne pas être assez suffisantes pour lui permettre de noter que d'autres individus vérifient D(x). Si D(x) n'est pas identifiant de x pour a, deux cas se présentent:
.
les connaissances K(a) de a ne sont pas suffisantes pas de moyens suffisants pour identifier x ;
ou il ne dispose
.
ses connaissances lui permettent de recenser plusieurs individus pour lesquels D(x) est vrai. Le processus d'identification peut se présenter sous deux formes:
. .
à partir de D(x) pour trouver
x, par exemple remonter
à une person-
ne à partit de fichiers logs; à partir d'un x connu en faisant varier D(x), par exemple retrouver une ancienne cherche.
connaissance
sur le web en utilisant un moteur
de re-
Les processus que nous venons de voir sont subjectifs. Leur objectivation consiste à idéaliser tous les observateurs dont le processus d'identification est infaillible et disposent tous des mêmes moyens nécessaires pour identifier x sur la base de D(x) si celui-ci suffit à identifier x dans l'absolu, c'est-à-dire s'il n'existe pas deux individus distincts pour lesquels D(x) est vrai. Typiquement, ceci est représenté par l'utilisation d'une base de connaissances K commune à l'ensemble des observateurs. Par ailleurs, il est intéressant de noter que, à notre connaissance, la définition de l'anonymat rencontrée dans la littérature est basée sur le premier processus. Pourtant une personne que je connais et dont j'ai perdu la trace depuis quelques an75
La sécurité de J'individu numérisé
nées devient anonyme pour moi. Identifier cette personne représentera une tâche plus ou moins délicate. À supposer que cette personne ait une identité numérique sur le web, il s'agira pour moi de fournir au moteur de recherche des éléments d'information issus de mes souvenirs sur cette personne pour espérer par discriminations successives (nom approximatif, prénom, lycée, ville, compétences...) et feedback (Photo) l'identifier. Une mesure pour l'anonymat dans ce cas est à proposer. On peut même envisager un système expert qui aide sur la base d'une telle mesure l'utilisateur à isoler une identité numérique éventuelle pour une personne perdue de vue. L'intérêt qui est porté plus sur le premier processus peut s'expliquer par sa pertinence pour les entreprises qui procèdent à des profilages ou à des personnalisations. Quantifier l'anonymat L'utilisateur peut avoir plusieurs identités numériques mais certaines données personnelles divulguées dans ces proflls telles que l'adresse email peuvent servir à coupler les profils d'un même utilisateur ouvrant ainsi la voie à l'identification. Dès lors l'utilisateur doit être à même de mesurer la capacité d'un service à assurer la protection de ses données personnelles et de son anonymat. Une telle quantification est relativement possible à l'aide, par exemple, de la théorie de l'information comme le propose [Dia02] dans le cadre d'un système à N utilisateurs. Chaque utilisateur Ujgénère un ensemble de requêtes. Soit R le nombre total des requêtes produites sur un intervalle de temps donné et (R1,...,RN) l'ensemble des requêtes. L'analyse de la base de données permet à l'attaquant d'affecter à chaque utilisateur une probabilité sur son lien avec une requête donnée Rj. Le degré maximal d'anonymat relativement à cette requête a lieu quand un attaquant juge équiprobable la pertinence de cette requête pour tous les utilisateurs. Le concept d'entropie permet de mesurer l'information contenue dans cette distribution de probabilités et sera donc utilisé pour calculer le degré d'anonymat présenté par les utilisateurs. L'entropie du système après analyse H=-~(I,N) pjlog(PJ est comparée à l'entropie maximale HM=logz(N) pour calculer la quantité d'information gagnée par l'attaquant HM-H qui lui permet une certaine distinction entre les utilisateurs par rapport a la requête Rj. Le degré d'anonymat pour la requête Rj est alors dj=l- (HM-H)/HM=H/HM' Le calcul de la moyenne de ces degrés définit le degré d'anonymat de l'ensemble du système analysé.
76
Identité
numérique
et anonymat:
concepts
et mise en œuvre
Les acteurs
Les concepts d'identité et d'anonymat numériques ainsi défInis, nous allons maintenant aborder le contrôle et la marge de manœuvre ainsi que leurs déterminants que peut avoir chacun des acteurs en rapport avec ces concepts. Nous avons distingué principalement cinq groupes d'acteurs autour du concept de l'identité numérique. Ils n'utilisent pas toujours les mêmes termes et n'ont pas toujours la même acception d'un même terme, d'où l'intérêt de la déftnition d'une ontologie médiatrice. Cette formalisation devra pour chaque groupe clarifIer ses concepts et les rapprocher à d'autres concepts dans les autres domaines (identité, anonymat, données personnelles, fInalité, proportionnalité.. .). La typologie des acteurs que nous proposons est sans doute perfectible. Par exemple nous aurions pu distinguer la classe des « acteurs attaquant»» qui agissent à l'encontre de la confIdentialité de l'identité numérique et de l'anonymat. Nous pensons qu'une telle classe n'est pas réellement opportune dans la mesure où ces attaques peuvent être potentiellement le fait de n'importe quelle autre classe d'acteurs de notre typologie. Les utilisateurs L'ontologie doit éclairer l'utilisateur et l'assister dans ses différents rôles dans le monde numérique pour une meilleure appréhension de son identité numérique à défaut d'un réel contrôle. Les métaphores sont souvent utilisées à cet effet, comme par exemple le système à tiroirs prévu pour l'eadministration en France ou le portefeuille des cartes d'identité dans Cardspace [Cha06]. Les données à caractère personnel peuvent être collectées de façon explicite ou implicite. L'individu exhibe un comportement sur le net à commencer par le pseudo utilisé, la réactivité, la fréquence et la nature de ses contributions et leur style. Le cumul de ces signaux aboutit dans le temps à une approximation de la personnalité. Dans un contexte commercial, le profIlage est la première fonction consommatrice de ces données et n'a a priori pas besoin de l'identité mais seulement de la personnalité. Notons alors que le fait qu'il n'y ait pas d'identifIcation directe ou indirecte annule le caractère personnel des données collectées au sens de la réglementation informatique et libertés. L'importance de l'anonymat pour l'utilisateur est à relativiser en fonction de sa culture, sa nature, son niveau intellectuel, ses compétences et de son activité numérique qui peut être licite ou illicite. L'utilisateur averti pourra recourir à des outils d'anonymisation dans sa navigation et prendra
77
La sécurité de l'individu numérisé
un certain nombre de précautions lors de son inscription à un service en ligne en utilisant des pseudonymes ou des adresses email jetables et en étant vigilant quant aux faux sites pratiquant le phishing. L'utilisateur doit être conscient que la possession et l'utilisation d'outils d'anonymisation sont légales, c'est l'activité entreprise qui peut être illégale. Enfin l'utilisateur doit s'informer sur ses droits en rapport avec sa vie privée en se référant notamment à des services dont le but premier est de l'assister en la matière tels que ceux offerts par la CNIL. Les or;ganismes Qu'ils soient des entreprises, des administrations ou autres associations, les organismes doivent proposer des ontologies claires sur leur politique et leur engagement relatifs à la collecte et au traitement des données personnelles à défaut de se situer par rapport à une ontologie partagée. Ils doivent informer l'utilisateur sur l'existence d'un droit d'opposition à la diffusion de ses renseignements, d'un droit d'accès, de modification et de radiation de ces renseignements et la manière de les exercer. Le fournisseur de service doit aussi porter à la connaissance de l'utilisateur le niveau de sécurité du site web et afficher la ou les législations auxquelles il est assujetti. Enfin, le recours éventuel à un sceau de certification ou à une technologie de protection de la confidentialité [pri] accroîtra la confiance dans le site. L'importance du respect de la confidentialité pour une entreprise ou un gouvernement est à relativiser en fonction des lois nationales à laquelle elle est soumise, des moyens dont elle dispose, techniques (logiciels et protections adaptées) ou humains (correspondants CNIL). Les pouvoirs publics doivent à la fois veiller au respect du droit et à la dynamique de l'économie. Par ailleurs les données personnelles collectées par ces services peuvent être utilisées par des tiers dans des buts louables telles que des statistiques pour optimiser la production des médicaments par exemple. L'anonymisation doit alors être mise en œuvre ainsi que des opérations préservant la confidentialité. Cette anonymisation a cependant ces limites dans certains domaines tels que la publication des décisions de justice dans la mesure où les moteurs de recherche peuvent servir à l'identification éventuelle des partis. En effet, les faits divers de la presse locale relatent souvent les événements liés aux décisions de justices et permettent facilement, au moyen des moteurs de recherche, de lever l'anonymat. Les juristes Le problème
de la clarté
et de l'accessibilité
78
des textes
juridiques
est es-
Identité
numérique
et anonymat:
concepts
et mise en œuvre
sentie! pour la sécurité juridique et les concepts techniques utilisés ne semblent pas toujours bien mesurés. Les interprétations qu'en peuvent donner les juges, l'entreprise, le simple citoyen mais aussi le gouvernement dans la rédaction des décrets d'application doivent coïncider autant que possible pour un meilleur respect de la norme. Pour ce faire, il est important qu'une expertise globale et pertinente précède l'adoption de nouvelles normes utilisant des termes techniques. Les atteintes à la vie privée peuvent venir de la législation même souvent justifiée pour des raisons de sécurité. L'importance du respect de la confidentialité pour le législateur est fonction de ses motivations économique et sécuritaire et des contraintes posées par la hiérarchisation des normes. Dans le cas du stockage des logs et de la vidéosurveillance prévus dans la loi contre le terrorisme c'est l'opposition de deux droits et la façon de les concilier qui interpellent:
. .
le droit de l'individu à la protection d'un État à le protéger;
contre le terrorisme
le droit de l'individu à la protection des données vie privée et le devoir d'un État à les protéger.
et le devoir
personnelles
et à la
L'article 8 de la convention européenne des droits de l'homme et des libertés fondamentales reconnaît à toute personne le droit au respect de sa vie privée et familiale, de son domicile et de ses correspondances. Cet article protège aussi l'individu contre des intrusions arbitraires des pouvoirs publics dans sa vie privée. Elles ne sont tolérées qu'en tant que mesure exceptionnelle explicitement prévue dans la loi et nécessaire dans une société démocratique sur des sujets touchant à l'ordre public et aux droits de l'individu. Les développeurs d'applications Le développement technologique devrait se faire en respectant le droit existant. Les normes technologiques qui sont souvent définies a posteriori doivent alors formaliser la conformité avec le droit. Sur la base des ontologies ci-dessus, les développeurs seront à même d'offrir aux entreprises un produit de qualité au niveau de la légalité de son exploitation et de l'ergonomie de l'interface homme-machine. Le W3C a développé une plateforme P3P (platform for privacy preferences) pour mettre en place un standard répondant aux préoccupations en matière de vie privée lors d'échange entre internautes et sites web ou encore entre sites web dans Ie cas des web services. Le but est que l'utilisateur ait plus d'information et de contrôle sur les 79
La sécurité de l'individu numérisé
données personnelles collectées par les sites visités donc une meilleure transparence sur la base d'un langage standardisé définissant les questions relevant de la vie privée. La politique en matière de vie privée du site ayant adhéré au standard P3P est codée dans un fichier XML lisible par les navigateurs intégrant ce standard. Ce fichier fournit la réponse à un certain nombre de questions sur la collecte ou non des données personnelles. Le navigateur vérifie alors si ses réponses satisfont les préférences de l'utilisateur pour l'en informer et lui donner la possibilité éventuellement d'un réglage ad hoc pour pouvoir visiter le site mais en connaissance de cause. Sur le plan pratique, une organisation va mettre sur son site sa politique en matière de vie privée au format XML. Elle doit indiquer entre autres quelles sont les informations collectées, comment elles sont utilisées, la durée de conservation et qui a accès à l'information. Pour une prise en compte rationnelle de la protection de la confidentialité dans les applications, les développeurs de logiciels doivent se référer aux normes prévues à cet effet dans les critères communs et qui ne cessent d'évoluer [Tro02]. Par exemple, dans le développement d'un logiciel d'anonymisation pour une application donnée, des choix devront être opérés selon une démarche méthodique respectant les normes pour assurer la réversibilité, l'irréversibilité ou l'inversibilité des informations [ADTC04]. Les difenseurs Dans ce groupe, on mettra pêle-mêle les autorités indépendantes telles que la CNIL, des organismes de défense des consommateurs, les forums d'internautes, et surtout les développeurs de logiciel, notamment libre, dédié à la protection de la confidentialité et des personnes qui mettent à disposition des ressources dédiées à cette même cause comme des serveurs d'anonymisation [tor]. Il convient de signaler dans ce paragraphe le projet européen en cours EuroPriSe impliquant neuf partenaires européens dont la CNIL pour mettre en place un sceau européen en faveur des produits des technologies de l'information qui auront fait preuve du respect de la confidentialité. Le produit obtiendra le label à l'issue d'une procédure de certification [eur].
L'authentification Si l'anonymat est, à différents degrés, une revendication légitime pour un certain nombre de services, l'identification l'est tout aussi bien pour d'autres services qui l'exigent tels que l'e-administration et l'e-santé. Des solutions 80
Identité
numérique
et anonymat:
concepts
et mise en œuvre
informatiques pour la gestion de l'identité numérique qui assurent son intégrité et sa confidentialité doivent alors être mises en œuvre. Les solutions UProve SDK de Credentica, IDEMIX et dans une moindre mesure Cardspace en sont les meilleurs exemples [cre, ide, CH02, Cha06]. Par exemple le produit U -Prove permet aux organismes de protéger les assertions liées à l'identité tout en offrant la possibilité à l'utilisateur, à l'aide de fonctions de contrôle et d'une authentification forte sans l'implication en temps réel d'un fournisseur d'identité, de prouver des assertions qui n'étaient pas anticipées et le transfert de données entre comptes non chaînables. Pour assurer une divulgation sélective des assertions ils mettent en œuvre des algorithmes cryptographiques conséquents [BraOO,BCL04] pour implanter par exemple la signature aveugle et le protocole de la preuve à divulgation nulle de connalssances. Conclusion Nous avons proposé dans cet article quelques éléments pour la modélisation des concepts liés à l'identité numérique en rapport avec ses acteurs. Dans le cas de l'authentification, il convient de retenir qu'un système d'authentification qui protège la confidentialité est un système qui permet d'exprimer des assertions vérifiables, minimales et non chaînables. La définition d'une ontologie formelle sera opportune à la fois pour disposer d'un support permettant le développement de sa définition et pour situer et comparer les acteurs par rapport au respect de la confidentialité. Références [ADTC04] A. ABOU EL KALAM, Y. DESWARTE, G. TROUESSIN, E. CORDONNIER, «Une démarche méthodologique pour l'anonymisation de données personnelles sensibles », Actes du 2éme Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC 2004) 2004. [BCL04] E. BANGERTER, J. CAMENISCH, A. LYSYANSKAYA, «A cryptographic framework for the controlled release of certified data », Twelfth International Workshop on Security Protocols, 2004. [BraOO] S.A. BRANDS, Rethinking Public Kry Infrastructures and Digital Certificates: Building in Privary, MIT Press, 2000. [Cam06] K. CAMERON, The Laws ofIdentiry, 2005.
81
La sécurité de J'individu numérisé
[CH02] J. CAMENISCH,E. VAN HERREWEGHEN, «Design and implementation of the idemix anonymous credential system », citeseer.ist.psu. edu/ camenisch02design.html, 2002. [Cha06] D. CHAPPELL,http://msdn2.microsoft.com/en-us/library/ aa480189.aspx,2006. [Cla94] R. CLARKE,« The Digital Persona and its Application to Data Surveillance », 1994 http://www.anu.edu.au/people/ Roger.Clarke/ DV /DigPersona.html. [cre] http://www.credentica.com/. [Dia02] C. DIAZ, S. SEYS, J. CLAESSENS,B. PRENEEL, «Towards measuring anonymity », LNCS 2482, 2002. [eur] http://www.european-privacy-sea1.eu/. [HWV03] G. HOGBEN, M. WILIKENS, I. VAKALIS,« On the ontology of Digital Identification », Springer LNCS 2889,2003. [ide] http://www.zurich.ibm.com/security
/idemix/.
[Lau07] B. LAURIE, «Selective disclosure» files/ selective-disclosure. pd£. 2007.
http://www.links.org/
[pri] PRIME - Privacy and Identity Management for Europe, https: / /www.prime-project.eu/ . [tor] Tor: Un système de connexion http://www.torproject.org/index.html.fr. [Tro02] G. TROUESSIN, «L'évolution lettred'Adefi, n° 49,2002.
82
anonyme
à Internet.
des normes de sécurité », La
Sécurité, collecte conservation
et
des données
Cas de données sensibles en elles-mêmes
Dossiers personnels ubiquitaires et sécurisés Nicolas ANCIAUX, Morgane BERTHELOT, Martine DE LA BLACHE, Luc BOUGANIM, Laurent BRACONNIER, Georges GARDARIN, Philippe KESMARSZKY, Sophie LARTIGUE, Jean-François NAVARRE, Philippe PUCHERAL,
J ean-J acques VANDEWALLE
Les données de santé, l'exemple Caroline ZORN
du dossier médical personnel
La donnée biométrique et le document le point de vue du praticien Nicolas DELVAUX
de voyage:
La donnée biométrique et le document le point de vue du juriste Claudine GUERRIER
de voyage:
Dossiers
personnels
ubiquitaires
et sécurisés
NICOLAS ANCIAUXI , MORGANE BERTHELOT2 , MARTINE DE LA BLACHE3, Luc BOUGANIMt, LAURENT BRACONNIER3, GEORGES GARDARIN\ PHILIPPE KESMARSZKY5,SOPHIE LARTIGUE6, JEAN-FRANÇOIS NAVARRE3, PHILIPPE PUCHERAL1,\ JEAN-JACQUES VANDEWALLE7
1- Introduction Les solutions existantes de partage de données (médicales, sociales, administratives, commerciales, professionnelles, etc.) sont classiquement basées sur une approche serveur. L'approche serveur apporte en effet des propriétés essentielles telles que: complétude (c'est-à-dire, l'information est complète et à jour), disponibilité (l'information est accessible 7 j/7 et 24 h/24 via l'Internet), usage (l'information est organisée, facilement interrogeable et eXploitable), cohérence(respect des contraintes d'intégrité, atomicité des mises à jour, isolation des traitements concurrents), durabilité (tolérance aux pannes) et sécurité (protection vis-à-vis des accès illégitimes). Les solutions serveur souffrent cependant de deux carences. La première tient à l'impossibilité d'accéder aux données sans une connexion fiable, sécurisée, permanente et rapide au serveur, un ensemble de conditions difficile à réunir dans tous les environnements. La seconde réside dans la défiance des utilisateurs envers une gestion centralisée de leurs données personnelles.
I
INRIA Rocquencourt 78153 Le Chesnay Cedex, France
@inria.fr SANTEOS SA Tour Manhattan - 5,6 Pl. de l'Iris 92926 Paris la Défense Cedex, France @santeos.com 3 Yvelines district council Hôtel du Département - 2 Pl. A. Mignot 78012 Versailles Cedex, France @cg78.fr 4 PRISM Laboratory Universi!f of Versailles - 45 avo des Etats-Unis 78035 Versailles Cedex, France @cogitey.com 7 Gemalto, 6 Rue de la Verrerie 92190 Meudon, France @gemalto.com 2
85
La sécurité de l'individu numérisé
Cette défiance s'explique tout autant par l'absence de garantie de sécurité dès lors que les données quittent la zone sécurisée du serveur que par une perte de contrôle de l'utilisateur sur la façon dont ses données sont partagées et exploitées par différents acteurs. Ce document décrit la conception d'une nouvelle forme de dossier personnel ubiquitaire et sécurisé et son expérimentation dans un contexte 8. L'objectif est de pallier les carences d'échange de données médico-sociales précitées, non pas en se substituant à l'approche centralisée classique, mais plutôt en la complétant de manière appropriée. L'approche proposée s'articule autour d'un nouveau composant matériel appelé ici SPT (Secure Portable Token), qui associe la sécurité intrinsèque d'une carte à puce à la capacité de stockage d'une clé USB (à terme plusieurs giga-octets) et à l'universalité du protocole USB (lecture à partir de tout terminal équipé d'un port USB : station de travail, PC portable, assistant personnel, téléphone cellulaire, etc.). Notamment, un SPT peut héberger un réplica de tout ou partie d'un dossier de données personnelles géré par le serveur pour permettre des traitements déconnectés. Par ailleurs, les capacités sécuritaires du SPT peuvent être exploitées pour mettre en œuvre de nouveaux schémas de partage des données, fortement sécurisés et directement contrôlables par l'utilisateur. Plus précisément, le problème attaqué revêt quatre dimensions. Les trois premières sont relatives aux appréhensions introduites par la centralisation des informations personnelles, la dernière découle directement du problème de l'accès déconnecté.
1) Expression du consentement:rendre à l'individu la possibilité de contrôler directement la divulgation d'informations particulièrement sensibles le concernant, comme s'il détenait ces données à domicile, dans un dossier papler. 2) Conseroationdes données: rendre à l'individu la maîtrise de la durée de conservation de ses données, et ainsi lui permettre de détruire définitivement certaines données (droit à l'oubli). 3) Continuité de la sécurité: garantir le même niveau de sécurité quel que soit l'endroit où les données sont hébergées (serveur ou terminal) et quelle que soit la façon dont elles sont manipulées (accès connecté ou non). 8
Cette initiative est financée pour partie par l'Agence nationale de la recherche dans le cadre du projet RNTL-PlugDB et pour partie par le Conseil général des Yvelines dans le cadre du projet DMSP. 86
Dossiers
personnels
ubiquitaires
et sécurisés
4) Accès déconnecté:permettre des accès déconnectés aux données tout en garantissant une cohérence à terme de ces données. Au-delà de la résolution de ces quatre dimensions, ce projet s'attache à l'intégration de l'équipement nomade dans une infrastructure globale. Le principe de dossier portable sécurisé ne peut en effet se concevoir en isolation. Le contenu d'un dossier portable a vocation à être intégré dans un système d'information global, qu'il l'alimente ou qu'il soit alimenté par ce dernier. De plus, tout équipement portable présente une vulnérabilité intrinsèque face aux risques de perte, de vol ou de destruction, imposant une réplication des données sur un serveur pour en assurer la durabilité et la disponibilité. Le document est organisé comme suit. La section 2 détaille l'analyse des besoins qui a permis de fIxer avec précision les dimensions du problème, préalable indispensable à la spécifIcation de l'architecture fonctionnelle proposée. La section 3 introduit l'ensemble des composants de l'architecture, leur rôle respectif et leurs interactions. La section 4 conclut cet article. 2 - Analyse des besoins et dimensions
du problème
2. 1 - Perception des utilisateurs et législation
Nombre d'analyses ont été publiées sur les risques associés à l'accumulation de données à caractère personnel dans des bases de données et sur la perception des individus vis-à-vis de la préservation de leur vie privée. Il ressort de ces analyses qu'une forte proportion d'individus (de 70 % à 80 % selon les pays) a la sensation d'avoir perdu tout contrôle sur l'usage qui est fait de leurs données personnelles par des sociétés commerciales [IBM]. De même, aux USA, 70 % des patients pensent que leurs données de santé sont mal protégées face aux attaques et qu'elles sont consultées sans qu'ils en aient connaissance, arrivant même à la conclusion (pour 48 % des patients) que le risque de violation de la vie privée l'emporte sur le bénéfIce escompté en terme de suivi médical, tout en reconnaissant ce bénéfIce [West05]. La législation relative à la protection des données à caractère personnel [EuD95, HIPAA] introduit des garde-fous importants. Par exemple, la directive européenne 95 146 IEC [EuD95] édicte les principes de licéité,finalité, exactitude, droit d'accès, itiformation et consentement, non-discrimination, sécurité, et dérogation. Malheureusement, ces principes généraux sont diff1ciles à traduire en termes informatiques (par exemple, la notion de consentement est sujette à de multiples interprétations). Ces principes sont également diff1ciles à ga87
La sécurité de l'individu numérisé
rancir dans un contexte de forte criminalité informatique [CSI06]. Les travaux sur les SGBD Hippocratiques [AKSX02] vont dans le sens d'une meilleure prise en compte des principes législatifs dès la conception des noyaux de SGBD. Cependant, un long chemin reste à parcourir. Par exemple, il a été montré qu'une opération aussi simple que la destruction d'une donnée dans une base, sans laquelle le principe de conservation limitée perd son sens, n'est supportée de façon effective par aucun SGBD commercial [MLS07]. En effet, des réminiscences des données détruites apparaissent à de multiples endroits (index, journaux de reprise après panne, journaux d'audit, etc.). Le projet n'a pas l'ambition d'apporter une réponse globale à ces problèmes dont chacun peut ouvrir une problématique de recherche à long terme. Par contre, des solutions convaincantes peuvent être apportées à des cas particuliers d'usage dont l'importance pratique est très significative et qui peuvent ouvrir la voie à des généralisations importantes. C'est dans cet esprit que la phase de spécification du projet a été conduite. L'étude a démarré par l'analyse des besoins concrets rencontrés sur le terrain par les professionnels de santé et les professionnels de l'action sociale au sein des deux coordinations gérontologiques yvelinoises (l'ALDS et la COG ITEY) participant au projet. Cette analyse a ensuite été généralisée à l'accès aux données médicales dans un contexte élargi et une réflexion a également été menée concernant l'accès à des données personnelles sensibles autres que médicales et sociales. Cette analyse a permis de préciser les dimensions du problème que se propose d'attaquer le projet. Sur cette base, de nouveaux scénarios d'échange de données sensibles rendus possibles par la technologie introduite ont été établis. Les sous-sections suivantes relatent les étapes de cette analyse. 2.2
-
Partage de données au sein d'une coordination gérontologique
Le vieillissement de la population rend crucial le suivi sanitaire des personnes âgées à domicile. Dans ce contexte, des informations personnelles d'ordre médical et social doivent être échangées entre acteurs (médecins, infrnnières, assistantes sociales, aides-ménagères, entourage) ayant des droits différents sur les données. Il est indispensable que ces données soient accessibles au chevet du patient, sans pouvoir tabler sur une connexion permanente et rapide à un serveur externe, rare chez les personnes âgées. Dans cet objectif, l'ALDS a déjà mis au point un « dossier médical commun» au format papier, afin de permettre aux professionnels et intervenants du secteur médico-social de consigner les faits importants du suivi des 88
Dossiers
personnels
ubiqtÙtaires
et sécurisés
personnes âgées. Ce dossier papier est conservé par le patient à domicile et le suit dans ses éventuels déplacements auprès des différents intervenants de son circuit médico-social. Chaque intervenant dispose, dans ce dossier, d'un espace privilégié dans lequel consigner les faits marquants survenus et devant être partagés avec les autres intervenants. Ainsi, les aides-ménagères, aides-soignants, assistantes sociales, auxiliaires de vie, IDE, kinésithérapeutes et médecins, d'une part, peuvent consulter le dossier et utiliser une feuille « tableau de bord» pour porter toute indication significative. Les médecins - hospitaliers ou spécialistes - peuvent quant à eux utiliser la feuille qui leur est réservée « séjours hospitaliers et consultations spécialisées» pour consigner les informations importantes. Les différents intervenants du circuit médico-social du patient disposent également, individuellement, en règle générale, de leur propre outil de production : logiciel de cabinet médical, logiciel de service hospitalier, logiciel infirmier, logiciel de coordinations gérontologiques, logiciel du réseau Emile, etc. Si elle a prouvé son efficacité au quotidien, l'utilisation de ce dossier papier se heurte à des difficultés majeures: Absence totale de confidentialité puisque tous les intervenants (médecins, infirmières, assistantes sociales, aides à domicile, entourage) ont accès à l'intégralité du dossier. L'ALDS doit pourtant faire face quotidiennement à des situations humainement complexes, comme par exemple: un patient se sachant en fm de vie mais ne voulant pas le dévoiler pour des raisons humaines et/ou financières (risque de détournement d'héritage) ; un patient désirant cacher une addiction (e.g, alcoolisme) ; un patient désirant cacher une pathologie particulière à ses proches, du fait de sa gravité (e.g., cancer) ou de son caractère dégradant (e.g., incontinence). Impossibilité d'accéder au dossier à distance. quence, le dossier n'est pas systématiquement suivi moins précis et une redondance de soins. distante (e.g, praticien interrogé au téléphone) s'appuyer efficacement sur ce dossier. Ressaisies ultérieures des données multiples applications informatiques te de temps qui s'ensuivent.
Par voie de conséà jour, générant un La prise de décision ne peut pas non plus
intégrées à ce dossier dans de avec le risque d'erreur et la per-
La solution envisagée passe naturellement par une dématérialisation « dossier médical commun» papier. Pour autant, la dématérialisation 89
du du
La sécurité de l'individu numérisé
dossier à elle seule ne répond pas à l'ensemble des manques identifiés cidessus. Ainsi, centraliser une copie électronique du dossier sur un serveur permet des accès à distance, la mise en place d'une politique de contrôle d'accès, la synchronisation avec d'autres outils de production. Mais la question des accès au dossier en mode déconnecté reste posée. Par ailleurs, la centralisation du dossier introduit de nouvelles craintes au regard de la confidentialité. Comment expliquer une politique de contrôle d'accès à une personne âgée? Comment la persuader que tous les accès à son dossier seront parfaitement légitimes alors que ces accès sont eux-mêmes « dématérialisés» et difficilement contrôlables par le patient? Les situations humaines complexes rencontrées par l'ALDS rendent la perception de la perte de contrôle des données médico-sociales particulièrement aiguë. 2.3
-
Partage général
de données
de santé
La situation rencontrée dans les coordinations gérontologiques gérées par l'ALDS et la COGITEY est représentative des problèmes liés à l'échange de données médicales dans un contexte de réseau de soins spécialisé. Dans ce contexte particulier, le contenu des dossiers et la liste des intervenants habilités à interagir avec ce dernier sont connus. Le problème est encore plus complexe lorsqu'il s'agit d'organiser un dossier médical général amené à suivre le patient au cours de toute son histoire, et ce quelles que soient les facettes de cette histoire. Au cours des dix dernières années, de nombreux pays ont lancé des programmes ambitieux de dossiers médicaux informatisés, dénommés usuellement systèmes EHR (Electronic Healthcare Record) dans l'objectif d'accroître la qualité des soins tout en diminuant leur coût. L'intérêt de centraliser l'information dans un système EHR est multiple: complétude (information complète et à jour), disponibilité (information accessible 24 h sur 24 via un réseau), usage (information organisée, décrite, facilement interrogeable), cohérence(respect des contraintes d'intégrité, atomicité et isolation des transactions), durabilité (tolérance aux pannes) et sécurité (protection contre les accès illégaux). Cependant, les craintes liées à la protection des données, au droit à l'oubli mais aussi aux modifications des relations patients-médecins sont à l'origine de réactions, parfois virulentes, des professionnels de santé et des associations d'usagers et de malades [IC 03]. Nous identifions quatre raisons principales à cette défiance: Difficulté d'expression du consentement: le patient est censé donner son consentement sur une politique de contrôle d'accès régulant «qui» 90
Dossiers
personnels
ubiquitaires
et sécurisés
(individu ou rôle) peut accéder à quelle partie de son dossier. Même avec l'aide d'un praticien, il paraît difficile d'obtenir un consentement éclairé. Ceci est dû à un nombre important d'acteurs pouvant potentiellement accéder légitimement à un dossier (Plus de 150 en cas d'hospitalisation, selon le Los Angeles Times [LAT06]), à la complexité de l'information médicale et à la difficulté intrinsèque de préciser a priori quelle donnée élémentaire peut révéler quelle pathologie. En conséquence, le patient est souvent amené à consentir à la mise en place d'une politique de contrôle d'accès qu'il ne maîtrise pas. Des outils d'audit sont prévus pour permettre à un patient un contrôle a posteriori mais la complexité d'interprétation du journal d'audit augmente avec sa taille [ABP+04], rendant illusoire un contrôle efficace par le patient lui-même. Conservationmal bornéedes données: la conservation des données bornée dans le temps est un principe fondateur de la législation protégeant les données personnelles [EuD95]. Toute donnée doit ainsi être détruite après que la durée de rétention légale ait expiré. Cependant, cette durée doit permettre l'accomplissement de l'objectif pour lequel la donnée est collectée. Elle peut de ce fait être particulièrement longue, par exemple de 40 à 50 ans [ACA05], et n'est pas toujours justifiée du fait que la satisfaction de l'objectif lui-même peut être difficile à apprécier. Par ailleurs, nous avons déjà évoqué la difficulté technique pour un SGBD de détruire physiquement une donnée [MLS07]. Ceci renforce le sentiment du patient que tous les événements de son histoire sont enregistrés à jamais. L'effet de bord est que le patient peut avoir tendance à écarter de son dossier une donnée (synonyme de dossier incomplet et de suivi des soins imparfait) s'il a un doute sur la sensibilité de cette donnée. -
Absence de sécuritéen dehorsde la sphèredu seroeur:les données médicales sont sujettes à extraction et peuvent être hébergées sur un terminal vulnérable (par exemple, celui d'un médecin ou du patient). Il s'agit même de la situation par défaut lorsque les données doivent être utilisées hors connexion (par exemple au chevet du patient). Cette situation risque de perdurer longtemps, du moins jusqu'à ce que l'intégralité du territoire soit couverte par un réseau sécurisé, rapide, fiable et gratuit. Malheureusement, un terminal est beaucoup plus vulnérable que le serveur aux virus, chevaux de Troie et autres espions, introduisant une importante brèche de sécurité dans l'architecture. 91
La sécurité de l'individu numérisé
Pas d'accès déconnectéau dossier: les systèmes EHR ont été conçus pour un usage en ligne. Ceci constitue une barrière importante pour une large catégorie de patients (ex.: personnes âgées, nécessiteux), le pré-requis pour consulter son dossier étant d'utiliser un terminal mis à disposition dans un lieu public ou de posséder un PC, de maîtriser son usage (tâches d'administration comprises) et de payer pour une connexion Internet. Dans le cas contraire, un médecin prodiguant des soins à domicile devra préalablement à sa visite télécharger du serveur toute donnée susceptible d'être utile à son diagnostic (une tâche fastidieuse et conduisant au trou de sécurité mentionné cidessus) . 2.4 - Partage d'autres !ypes de donnéespersonnelles La liste des données à caractère personnel susceptibles de subir des traitements informatisés est longue et la variété de ces mêmes traitements importante. Notre projet s'intéresse aux situations dans lesquelles des informations personnelles sont centralisées et l'utilisateur concerné est directement partie prenante dans la façon dont l'échange d'information s'organise. Nous pensons qu'à chaque fois que des informations personnelles sont centralisées et que la personne concernée doit exprimer son consentement, les deux premières difficultés mentionnées dans la section 2.3 apparaissent (Difficulté d'expression du consentement et Conservation mal bornée des données). Les deux autres difficultés mentionnées (Absence de sécurité en dehors de la sphère du serveur et Pas d'accès déconnecté au dossier; sont présentes ou non selon le contexte applicatif. À titre d'exemple, considérons un environnement virtuel, usuellement dénommé VHE (Virtual Home Environnement), permettant à un utilisateur de retrouver son environnement (mail, bookmarks, cookies, agenda, carnet d'adresses, etc.) quel que soit le terminal auquel il se connecte. Le contenu du VHE peut être géré sur un serveur, typiquement chez un fournisseur de services. Le VHE d'un utilisateur peut être partagé entre plusieurs personnes (ex. : agenda partagé) et surtout entre plusieurs applications (éditeurs, navigateurs, logiciels de courrier, etc.). L'expression du consentement se pose vis-à-vis des applications, d'où l'apparition de normes telles que P3P du W3C [CLM+02] dont la mise en œuvre s'avère moins simple qu'espérée initialement. La question de la durée de conservation des données se pose également envers le fournisseur de services hébergeant les données. L'accès au contenu du VHE à partir d'un terminal non sécurisé est bien entendu un
92
Dossiers
personnels
ubiquitaires
et sécurisés
problème important, de même que l'accès à un VHE en mode déconnecté (si l'on veut une continuité de service hors connexion). Le contexte d'intelligence ambiante fournit un autre exemple. Considérons un environnement de télésurveillance destiné à prévenir des situations à risque, par exemple chez des personnes dépendantes (ce contexte n'est pas sans rapport avec celui de la coordination gérontologique même si le problème à traiter est différent). Des capteurs accumulent des données sur l'environnement de la personne et l'activité de cette dernière. Ces données sont ensuite utilisées soit par des applications dont l'objectif est de déclencher une alerte, soit par des personnes de l'entourage ou des référents assurant un suivi à distance. On comprend aisément que les difficultés mentionnées préalablement apparaissent dans ce scénario, à l'exception du traitement en mode déconnecté qui n'a pas de sens dans ce contexte. 2.5 - Dimensions du problème En conclusion,
.
.
le projet considère
un contexte
dans lequel :
des données personnelles sont accumulées sur un serveur, l'individu
concerné
est partie prenante
dans la façon dont ses don-
nées sont partagées. Les dimensions du problème adressées par le projet sont les suivantes. Expression du consentement:rendre à l'individu la possibilité d'établir un contrôle strict, compréhensible et observable sur la façon dont ses données sensibles sont échangées. Conseroationdes données: rendre à l'individu la maîtrise de la durée de conservation de ses données, en distinguant les notions de conservation et de durabilité. Continuité de la sécurité: garantir le même niveau de sécurité quel que soit l'endroit où les données sont hébergées (serveur ou terminal) et quelle que soit la façon dont elles sont manipulées (accès connecté ou non). -
Accès déconnecté: permettre des accès déconnectés aux données en garantissant une cohérence à terme de ces données.
tout
2.6 - Principes de base Sans rentrer dans la description technique de l'architecture et des challenges associés, nous illustrons ci-dessous comment la technologie proposée peut répondre au problème posé. Le principe est le suivant. On suppose 93
La sécurité de l'individu numérisé
que chaque utilisateur U possède (1) un dossier de données personnelles géré par un serveur central et (2) un SPT personnalisé. Ce SPT contient le certificat de U lui permettant une authentification forte auprès du serveur lorsqu'il accède à son dossier en mode connecté. Ce SPT contient également un replica du dossier personnel de U ainsi que des composants logiciels embarqués (notamment serveur Web et SGBD) donnant accès au dossier, en mode déconnecté, à partir de tout terminal équipé d'un port USB et d'un navigateur Web. Pour que U puisse échanger des données avec des partenaires P, ceux-ci doivent également être équipés d'un SPT personnalisé. Le SPT d'un partenaire P est similaire à celui de U du point de vue logiciel et matériel, mais son rôle dans les interactions avec le dossier de U est particulier. Le SPT de P contient le certificat de P lui permettant une authentification forte auprès du serveur, qu'il soit central ou embarqué, lorsqu'il accède au dossier de U. Dans les deux cas, P subit la politique de contrôle d'accès fixée par U, identique sur le serveur central et le serveur embarqué. Si P accède à des données de U et décide de les répliquer sur son terminal, par exemple pour y accéder en mode déconnecté sans la présence de U, ces données seront chiffrées avec une clé connue du SPT de P uniquement. Quand P interroge ces données, le SGBD embarqué dans son SPT y accède et les déchiffre pour répondre à la requête. Un principe similaire permet à U de déposer des données chiffrées sur le serveur central à destination de P qui pourra alors y accéder grâce au SGBD embarqué dans son SPT. La différence pour U entre déposer des données en clair ou en format chiffré sur le serveur central est la suivante. Dans le premier cas (données en clair), le partage des données est contrôlé par la politique de contrôle d'accès à laquelle U a consenti (avec les réserves mentionnées préalablement). Dans le second cas (données chiffrées), la politique de contrôle d'accès est doublée d'une obligation de partage physique de clés de chiffrement, partage qui ne peut s'organiser que nominativement et sous le contrôle total de U. Pour organiser le partage, l'utilisateur U peut ainsi choisir différents statuts pour ses données: Données régulières:les données dites régulières sont répliquées sur le serveur central et le serveur embarqué, protégées par la même politique de contrôle d'accès. La motivation de répliquer des données régulières dans le dossier embarqué est d'en assurer la disponibilité en mode déconnecté. Données secrètes:les données dites secrètes sont exclusivement stockées sur le SPT de U. Au même titre que pour un dossier papier, U 94
Dossiers personnels ubiquitaires et sécurisés
garde la liberté de donner accès à son SPT, et donc aux données secrètes, au partenaire P qu'il a physiquement en face de lui. Il a la garantie que personne ne peut accéder à ces données sans sa connaissance. La durabilité des données secrètes reste par contre à la charge deU. Donnéessecrètesdurables: il s'agit de données secrètes répliquées sur le serveur central dans un format chiffré par des clés de chiffrement connues exclusivement du SPT de U. Le serveur en assure la durabilité au même titre que pour des données régulières mais U garde la garantie que personne ne peut accéder à ces données sans détenir le SPT de U. Seule la durabilité des clés de chiffrement reste à la charge de U (plusieurs solutions simples existent à ce problème). Donnéesrestreintes:il s'agit de données que U souhaite partager de façon exclusive avec un petit cercle de partenaires P de confiance, avec la garantie que personne d'autre ne peut accéder à ces données. Pour ce faire, U dépose sur le serveur central, via son SPT, des données chiffrées dont les clés sont connues exclusivement par les SPT du cercle de confiance. À tout moment, U garde la possibilité de changer le statut de ses données. S'il est possible d'abaisser le niveau de sécurité d'une donnée pour faciliter son partage, le processus inverse est plus incertain. Par exemple, une donnée régulière que l'on rendrait secrète aura déjà traversé un état partagé, et donc aura pu être consultée, copiée, etc. Au-delà de la mise en œuvre d'un consentement mieux contrôlé par l'usager, ces différents statuts permettent également de contrôler la durée de conservation des données, du moins tant qu'elles n'ont pas été placées dans l'état de données régulières. Enfin, la réplication de données entre serveur central et serveur embarqué pose le délicat problème de la synchronisation. Lorsque les deux serveurs se trouvent connectés ensemble, la synchronisation se déroule de façon traditionnelle. Cependant, cette situation peut ne jamais se produire (ex. : un patient U ne sortant jamais de son domicile). Dans ce cas particulier, un protocole de synchronisation par procuration est mis en place, dans lequel les SPT de participants P rentrés en contact avec U vont servir de réseau en embarquant des messages chiffrés déchiffrables uniquement par U et le serveur central.
95
La sécurité de l'individu numérisé 2.7 - Scénarios
À titre illustratif, nous détaillons certains des principes ci-dessus à travers des scénarios concrets dans le contexte médico-social, schématisés sur la figure 1. Nous illustrons notamment la synchronisation entre le serveur central et le SPT, l'approvisionnement du dossier en données (mêmes non régulières), le partage avec le cercle de confiance, et la sécurité offerte aux composants non sûrs (comme un terminal). Accés déconnecté
Figure 1 - Échange
de données
médico-sociales
utilisant
les techniques
proposées.
2.7.1- Intégration d'un nouvel événement dans le dossier au chevet du patient Avant de visiter ses patients, le professionnel médico-social P se connecte au serveur central (authentification forte grâce au certificat contenu dans son SP}) et récupère les nouveaux éléments intégrés dans les dossiers de ses patients. Ces données sont chargées automatiquement dans le SPT de P sans que ce dernier y ait accès. Le SPT de P est utilisé comme canal de communication avec les SPT des patients, canal par lequel peuvent transiter des données auxquelles P n'a pas droit. Arrivé au domicile du patient U, le professionnel P connecte son SPT et celui de U dans un terminal mobile. Il s'authentifie auprès de son SPT par un PIN code, puis son SPT s'authentifie auprès du SPT du patient grâce au certificat de P (il y a donc authentification forte de P auprès du serveur embarqué). Le SPT de U intègre les mises à jour le concernant en provenance du serveur central. P interagit ensuite avec le dossier de U en local via un navigateur Web. Il peut faire toutes consultations et mises à jour autorisées par la politique de contrôle d'accès. Les mises à jour sont signées grâce au 96
Dossiers personnels ubiquitaires et sécurisés
certificat de P. En fm de visite, les mises à jour présentes dans le SPT de U et non présentes sur le serveur central sont chargées dans le SPT de P afm d'être communiquées au serveur central (le SPT de P sert donc de canal de communication bidirectionnel). Plus précisément, la synchronisation entre le serveur embarqué et le serveur central ne concerne que les données régulières. Les données secrètes ne sortent jamais du SPT de U. Les données secrètes durables et les données restreintes sont quant à elles chargées dans le SPT de P mais chiffrées avec des clés connues uniquement du SPT de U. 2.7.2 - Intégration d'un nouvel événement dans le dossier hors de la présence du patient Il peut s'agir par exemple de l'intégration d'un résultat d'analyse biologique. Ce résultat se réfère à une donnée déjà existante (une prescription) et hérite donc du statut de cette donnée. S'il s'agit d'un statut de donnée régulière, le résultat est classiquement intégré au dossier sur le serveur central et sera reporté sur le dossier embarqué à la prochaine synchronisation. Dans les autres cas, le résultat doit être chiffré avec une clé secrète k (choisie par le cabinet d'analyse), elle-même chiffrée avec la clé publique du patient concerné avant d'être intégré au serveur 9. Lors d'une prochaine synchronisation, le SPT du patient accédera à ce résultat et le chiffrera avec les bonnes clés, en fonction de son statut (i.e., secret durable ou restreint) ou le supprimera du serveur (si le statut est secret). Rappelons que seul le patient a la possibilité de chiffrer ses données avec une clé secrète connue de son seul SPT. 2.7.3 - Échange de données restreintes dans un cercle de confiance Le patient U a décidé de partager une donnée D exclusivement avec son médecin référent P. Pour ce faire, le SPT de U chiffre D avec une clé secrète k et stocke sur le serveur central la version chiffrée de D, ainsi que la clé k, elle-même chiffrée avec la clé publique de P. Le médecin P peut être amené à consulter D sans la présence du patient. Le SPT de P récupère et déchiffre alors la clé k (grâce à la clé privée de P), ce qui lui permet ensuite de déchiffrer D. 2.7.4 - Interrogation du dossier centralisé Le professionnel P se connecte au serveur central (authentification forte grâce au certificat contenu dans son SPT) et récupère le résultat de sa requê9
Ce même mécanisme
peut être utilisé pour donner 97
l'accès à ces résultats
au prescripteur.
La sécurité de l'individu numérisé
te. S'il décide de stocker ce résultat sur son terminal, ce dernier sera stocké chiffré avec une clé connue du SPT de P seul afin de se prémunir contre une attaque du terminal de P. 3 - Architecture
fonctionnelle
La figure 2 présente l'architecture fonctionnelle du projet en distinguant les aspects infrastructure, données et logiciel. Au niveau logiciel, les composants grisés correspondent à des éléments logiciels existant dans le commerce (serveur Web, navigateur, SGBD relationnel, système d'exploitation) alors que les autres éléments sont spécifiquement développés dans le cadre du projet. 3.1 - Infrastructure
La partie « Infrastructure» de la figure (de gauche à droite) représente le serveur central hébergeant les dossiers personnels, un utilisateur (P) connecté via un terminal ayant potentiellement rapatrié localement une partie de la base de données (pour utilisation en mode déconnecté), ainsi qu'un autre utilisateur (U) synchronisant son SPT sur un PDA grâce aux mises à jour transmises par le SPT de P. L'accès de l'utilisateur P au serveur se fera via un canal sécurisé de type SSL/TLS qui garantira la confidentialité des échanges. L'utilisateur P et le serveur s'authentifieront de manière mutuelle, le serveur en présentant au terminal de P son certificat et P en présentant au serveur son propre certificat (ex. : certificats de type GIP-CPS dans un contexte médical). Lors de cette présentation, les deux parties s'assureront que les deux certificats sont valides et non révoqués. L'ensemble de ces opérations se fera de manière transparente pour l'utilisateur. La seule opération active de l'utilisateur sera la saisie du code PIN sur son SPT. Le serveur exposera une interface de type serveur Web donnant la possibilité de consulter, créer, ou synchroniser des données dans un dossier personnel via un navigateur Web. Toutes ces opérations seront effectuées via le canal SSL/TLS établi au préalable, pour garantir leur confidentialité. Cette infrastructure repose sur une architecture matérielle traditionnelle à l'exception du SPT. Le SPT est une plate-forme matérielle dotée d'un microcontrôleur sécurisé de type carte à puce et d'une mémoire de stockage de masse de type Flash NAND pouvant atteindre plusieurs centaines de megaoctets, voire à terme plusieurs giga-octets. Bien qu'extérieure à la puce sécurisée et ne jouissant pas de la protection matérielle de celle-ci, la mémoire de masse de type Flash est sous le contrôle de la puce: tous les accès en écritu98
Dossiers personnels ubiquitaires et sécurisés
re et lecture à la mémoire de masse sont effectués par la puce sécurisée. SPT communique avec le monde extérieur via une interface USB.
Le
3.2 - Données La partie « Données» de la figure montre le type et le format de chiffrement des données stockées dans chaque environnement, en fonction du statut de ces données. Le serveur central est amené à stocker des données d'administration telles que les certificats des utilisateurs et leur clé publique. Le serveur stocke également des clés secrètes de chiffrement k, elles-mêmes chiffrées avec les clés publiques des utilisateurs participant à un même cercle de confiance. Enfin, le serveur central stocke, pour chaque dossier personnel d'un utilisateur U, les données régulières (protégées par les moyens propres à l'hébergeur de données), les données secrètes durables chiffrées avec une (ou des) clé secrète ku connue du SPT de U uniquement, les données restreintes chiffrées avec une (ou des) clé secrète k. Le terminal d'un utilisateur P peut héberger des données pour les rendre accessibles en mode déconnecté. Elles sont alors chiffrées avec une (ou des) clé secrète kp connue uniquement du SPT de P. Enfm, un SPT contient différents types de données suivant qu'il est utilisé comme SPT de l'utilisateur U pour gérer le dossier de U ou bien comme SPT de l'utilisateur P pour accéder à des données du dossier de U ~es deux rôles pouvant être concomitants). Dans le premier cas (gestion par l'utilisateur de son propre dossier), le SPT contient des données administratives telles que le certificat de l'utilisateur, sa clé privée (correspondant à sa clé publique présente sur le serveur central), un ensemble de clés secrètes ku destinées au chiffrement des données secrètes durables sur le serveur central, un ensemble de clés secrètes k destinées au chiffrement des données restreintes. Ces données administratives sont stockées dans la Flash NOR interne au micro contrôleur sécurisé et donc protégée des attaques physiques. Les données du dossier, quel que soit leur statut, sont stockées dans la Flash NAND externe (non sécurisée matériellement) et chiffrées avec des clés secrètes de type ku. Pour gérer le second cas d'usage (interaction de l'utilisateur avec un dossier autre que le sien), le SPT doit pouvoir servir de canal de communication entre le serveur central et le dossier avec lequel il interagit. Pour cela, le SPT est amené à transporter dans la Flash NAND des données en transit (appelées Deltas sur la figure) chiffrées avec une (ou des) clé secrète ko, elle-même intégrée aux données administratives du SPT.
99
La sécurité de l'individu numérisé ..-
s'~ nthr,; n i~!ti an
~~nd~f~ n i~3t iar'\ ~"~~"~""~"!o1i>
Ace,;,s
uu.
n..
deconl1f!clE
.
S,m"'-'r<>
~ s"
u_.u
.
St:rveur
Tf:rminal
. Figure 2 - Architecture
/) nctionnelle
3.3 - Composants logiciels Le serveur central conserve une architecture classique; dans le cas du projet il sera équipé d'un logiciel serveur Web, d'un SGBD chargé de stocker, indexer et restituer les données des dossiers personnels. Le serveur sera en outre doté des dispositifs de sécurité requis (firewall, chiffrement des données, etc.) pour assurer la sécurité des dossiers gérés. L'interface utilisateur sera similaire que l'on se connecte au serveur central ou au serveur embarqué, via un terminal fixe ou mobile. Il s'agira d'une interface web connectant le serveur (central ou SPT) par des appels HTfP classiques. Les composants logiciels embarqués dans le SPT sont: un système d'exploitation propriétaire, une machine virtuelle Java, un serveur Web et un SGBD. 100
Dossiers
personnels
ubiquitaires
et sécurisés
-
Le .rystèmed'exploitation.Il s'appuie sur un processeur 32 bits à haute performance disposant d'une mémoire de travail (RAM) de taille raisonnable (plusieurs dizaines de kilo-octets). La communication entre le SPT et le terminal répond à la fois à des contraintes de performance et à un objectif d'intégration la plus simple possible. Pour cela, la communication avec le mode extérieur se fait via un canal de communication USB supportant nativement (c'est-à-dire non traduit en termes d'APDU) le protocole Internet TCP lIP (et donc HTTP et HTTPS). Le système d'exploitation fournira également les services de base nécessaires à une architecture moderne de cartes de nouvelle génération s'appuyant sur un environnement Java Card, dont les spécifications fonctionnelles sont en cours d'élaboration et seront publiées en 2008.
-
La machinevirtuelleet le seroeurWeb. La machine virtuelle Java Card de nouvelle génération peut être vue comme équivalente à une machine virtuelle pour téléphones portables. Elle fournit le support du « multi-threading» pour les applications, un ramasse-miettes (<
collector ») automatique pour récupérer la mémoire oc-
cupée par les objets qui ne sont plus utilisés. Elle implémente également les services permettant d'établir des communications de types «sockets» clientes ou serveurs en TCP lIP. Deux modèles d'applications sont fournis par la plate-forme via deux « conteneurs» permettant de charger et d'exécuter des applications de types Web ou de type applets APDU. L'accès au dossier nomade dans le SPT pourra se faire au travers de services ou d'applications Web développés comme des Servlets ; Servlets qui elles-mêmes accéderont aux données du dossier via une APl Java au SGBD. -
Le SGBD. Afin de pouvoir gérer des dossiers nomades et sécurisés, le SPT intègre un véritable moteur de SGBD. Ce SGBD embarqué a pour objet le stockage de données personnelles dans la Flash NAND externe, leur indexation [ABB+07, PuS07] pour une recherche efficace, la journalisation des mises à jour pour assurer la propriété transactionnelle d'atomicité, l'évaluation de requêtes assertionnelles (i.e. à base de prédicats) et le contrôle de droits d'accès sophistiqués (également assertionnels, comme dans toute base de données, par exemple, seules les données satisfaisant à la qualification Qi sont accessibles aux usagers satisfaisant à la qualification Q2). Il est impératif que le contrôle d'accès soit embarqué dans le microcontrôleur sécurisé pour assurer sa résistance aux attaques 101
La sécurité de l'individu numérisé
lorsque l'on accède au dossier via un terminal vulnérable ou hostile. Le contrôle d'accès s'appuyant sur le gestionnaire de requêtes pour évaluer les prédicats présents dans les règles de droits d'accès, et ce demier s'appuyant à son tour sur le moteur de stockage et d'indexation, c'est l'intégralité du SGBD qui doit être embarqué dans la puce sécurisée [pBV+Ol]. Contrairement à la mémoire de stockage des cartes à puce traditionnelles, la mémoire FLASH NAND du SPT n'est pas protégée matériellement contre les attaques et doit donc l'être par des méthodes cryptographiques. Ces méthodes (chiffrement, hachage, contrôle de version) doivent se faire avec une granularité et un coût compatible avec la grande quantité d'accès aléatoires aux données générées par l'évaluation de requêtes bases de données. Enftn, un module de synchronisation est embarqué dans le SPT aftn de réaliser la synchronisation du dossier embarqué avec la copie résidant sur le serveur central, soit directement lorsque le SPT se trouve dans un environnement connecté, soit via un autre SPT servant de canal de communication (cf. scénario en section 2.7).
4 - Conclusion Ce document présente les choix architecturaux réalisés dans le projet depuis son démarrage. Ces choix sont basés sur une analyse détaillée des besoins, guidée en particulier par l'expérimentation visée dans le contexte médico-social, sans pour autant faire de concession sur la généralité de l'approche. Nous pensons que cette nouvelle approche peut apporter de nouvelles solutions à la gestion de données personnelles et susciter de nouvelles pratiques, notamment concernant le partage et la conservation de données sensibles, répondant ainsi aux quatre dimensions identiftées du problème. Les deux coordinations gérontologiques participant au projet, l'ALDS et la COGITEY, offriront un environnement d'expérimentation idéal. Cette expérimentation est projetée courant 2009 dans le département des Yvelines avec une centaine de patients volontaires et 25 intervenants à domicile. À moyen terme, ce projet pourrait être étendu à d'autres populations vulnérables en situation de précarité ou de handicap. Plus généralement, nous espérons que cette expérimentation constituera une avancée dans le domaine des prestations à domicile (sujets âgés, handicap, etc.) et que la plateforme mise en place pourra servir de base à d'autres initiatives départementales 102
Dossiers personnels ubiquitaires et sécurisés
(par exemple, délivrance d'une carte à puce périnatalité permettant de suivre une femme et son enfant sur une période de temps déterminée dans le cadre des réseaux de périnatalité).
Bibliographie [ABB+07] N. ANCIAUX,M. BENZINE, L. BOUGANIM,P. PUCHERAL, D. SHASHA,«GhostDB: querying visible and hidden data without leaks », ACM SIGMOD Conference, 2007. [ABF+04]
R. AGRAWAL, R.
J.
BAYARDO
Jr., c. FALOUTSOS,
J. KIERNAN, R. RANTZAU, R. SRIKANT,« Auditing a Hippocratic Database », Conference (VLDB), 2004.
Compliance
with
on Very Large Data Bases
[ACA05] ACAS, Personneldata and recordkeeping, Advisory Booklet. London, 2005. http://www.acas.org.uk/index.aspx?articleid=717 [AKSX02] R. AGRAWAL, J. KIERNAN, R. SRIKANT, y. XU, «Hippocratic Databases », Conference on Very Large Data Bases (VLDB), 2002.
[CLM+02] CRANOR L., LANGHEINRICH M., MARCHIORI M., PRESLER-MARSHALL M., and REAGLE
Preferences 2002.
1.0 (p3Pl.0)
J., «The Platform for Privacy
Specification », W3C Recommendation,
[CSI06] Computer Security Institute, CSI/FBI Computer Crime and Security Survey, http://www.gocsi.com. 2006. [EuD95] European Directive 95/46 /EC, Protection of individuals with regard to the processing of personal data and on the free movement of such data, OfficialJournal of the European Communitiesof 23 November 1995 n° L. 281 p. 31 [HIP AA] «Health Insurance Portability and Accountability Act of 1996 », Public Law 104-191, 1996. http://aspe.hhs.gov/admnsimp/ p1104191.htm [IBM] IBM-Harris, « IBM survey of consumer attitudes toward privacy in the United States, the United Kingdom and Germany», http://www.securitymanagement.com/library /ibm_priv.html. [IC03] IPSOS Santé / CNAM, «Opinions et attitudes des médecins et des patients à l'égard du Dossier médical partagé », octobre 2003. 103
La sécurité de l'individu numérisé ",
[LA T06] Los Angeles Times, "At Risk of Exposure", article published in June 26, 2006. On line : http://www.latimes.com/features/ printedition/health/la-he-privacy26jun26,1, 1971 062.column?coll= laheadlines-pe-health&ctrack= 1&cset=true [MLS07] G. MIKLAU, B. N. LEVINE, P. STAHLBERG, « Securing history: Privacy and accountability in database systems », Conference on Innovative Data Systems Research (CIDR), 2007. [pBV+01] P. PUCHERAL, L. BOUGANIM, P. VALDURIEZ, C. BOBINEAU, « PicoDBMS : Scaling down Database Techniques for the Smartcard », Very Lat;ge Data Bases Journal (VLDBJ), Vol. 10, n° 23, October 2001. Extended version of the paper rewarded by the Best Paper Award of the Int. Conf. on Very Large Data Bases (VLDB'OO).
[puS07] P. PUCHERAL,S. YIN, « System and Method of Managing Indexation of Flash Memory », Dépôt par Gemalto et INRIA du brevet euroPéenn° 07290567.2-,04/05/2007. [West05] A. WESTIN, « Public Attitudes Toward Privacy and EHR Programs », AHRQ Conference, Washington, 2005.
104
Les données de santé, l'exemple du dossier médical personnel CAROLINE ZORN Doctorante en droit médical, ISCRIMED, Nancy-Université Collaboratrice juridique, Direction juridique GIP-DMP, Paris
Dans la sphère des télécommunications et des nouvelles technologies appliquées aux projets de santé publique, rien ne m'apparaît plus logique que le projet« dossier médical personnel» (DMP). Sa mise en place tombe à tel point sous le sens que le fait qu'elle soit parfois considérée comme un projet incertain m'interpelle. La nécessité du DMP est si évidente que la discussion autour de sa légitimité me gêne. Son absence est si flagrante dans le système de soins français qu'il est d'ailleurs intolérable qu'il n'existe pas déjà. Du DMP, je me surprends souvent à dire : « s'il n'existait pas, il faudrait l'inventer! ». Or je dois effectivement me résoudre à ce qu'il nous faille encore l'inventer. L'heureuse part de ce renoncement personnel est que son « invention» je peux en témoigner - se fait au quotidien autour d'échanges nombreux et fructueux; des échanges comme ceux que promettent ces journées. Le fait regrettable que le DMP ne nous accompagne pas déjà est compensé par l'heureuse idée qu'il s'agit en réalité d'un outil en production et que le meilleur reste à venir. Ce dossier électronique, accessible par son titulaire via l'Internet, rassemble toutes les données de santé d'un assuré social utiles à la coordination de ses soins et protégées, chez un hébergeur de données de santé agréé. Cette simple description suffit à convaincre de la portée de l'outil et du fait qu'il puisse ouvrir le champ des possibles en matière de partage des données de santé. Fruit pas encore mÛt d'un travail qui se doit d'être concerté, le DMP n'est pas aujourd'hui un outil figé, loin de là 1 ! Il m'est cependant permis de 1
Partant,
le lecteur
voudra
bien prendre
en note que ce texte ne tient pas compte
de la loi
n° 2007-1786 du 19 décembre 2007 de financement de la sécurité soc1ale pour 2008. Pour
un panorame des systèmes d'information de santé, voir M. Gagneux, Rapport à la ministre de la Santé (.,,) pour un dossier patient virtuel et partagé et une stratégie nationale des [Ystèmes d'Ùifonnation
La sécurité de l'individu numérisé
penser que viendra le jour où ce projet de dossier de santé, partagé par les professionnels et géré par le patient, sera consacré par des millions d'utilisateurs reconnaissants du mieux-vivre apporté. Cet optimisme naturel est parfois - je dis bien parfois - tempéré par l'idée que le DMP ne sera peut-être pas ce que les optimistes comme moi imaginent. Il pourrait tomber aux mains de malintentionnés qui s'empareraient des données de santé de tous les Français, et de toutes les Françaises aussi. Il n'est pas raisonnable de vénérer un outil car il n'est que l'instrument de la cause qu'il sert et, tel un accessoire au principal, il pourrait servir tantôt un intérêt glorieux, tantôt un autre hideux. À moins qu'il ne porte en lui l'essence de la noble cause qu'il sera amené à servir... peut-être est-ce la traduction naive du principe de la force de la loi? Tant que la loi dispose de ce à quoi doit servir un outil comme le DMP, cet outil ne pourra être corrompu. Il y a pourtant ici sans doute les prémices d'un dangereux sophisme: ceci revient à admettre que la loi est suffisamment bien énoncée pour ne permettre aucun détournement de ses dispositions à d'autres fin que celles exprimées par la souveraineté populaire. «Ce qui se conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément}} (Nicolas BoileauDespréaux, L'Arl poétique). Ma première conclusion d'optimiste vigilant est la suivante: le DMP pourra se révéler être un outil trop puissant pour souffrir de lacunes législatives ou d'une profusion de textes réglementaires inaboutis. Ces risques, et donc les réflexions suivantes, sont ainsi transposables à tous les dossiers de santé partagés sur un réseau à grande échelle. Ce que porte le DMP, depuis sa très médiatique création par la loi de réforme de l'assurance maladie du 13 août 2004, est avant tout une ambivalence: il s'agit d'un dossier de santé dont les dispositions - souvent qualifiées de lacunaires - se trouvent dans le code de la sécurité sociale. Les finalités du DMP sont, comme l'a indiqué le Conseil constitutionnel en 2004, « [d'une part] d'améliorer la qualité des soins, d'autre part, de réduire le déséquilibre financier de l'assurance maladie }}. Le dossier médical personnel porte ainsi les stigmates de vingt ans de politiques d'économies de l'assurance maladie échouées ainsi que l'espoir d'un nouvel équilibre pour sauver cette dernière. Le dossier médical (et) personnel est bicéphale dans sa conception et doit concilier des nécessités d'un haut niveau d'exigence: il s'agit d'un dossier médical qui pourrait être clasde santé. &commandations de fa mission de relancedu projet DMP, La Documentation 2008. 106
française,
Les données de santé, l'exemple du dossier médical personnel
sique si son objet n'était pas celui d'un partage de données dans le cadre d'un très large réseau de professionnels qui ne se connaissent peut-être pas. Ce type de partage oblige à accorder au titulaire du dossier un grand nombre de prérogatives propres au respect de sa vie privée, cela au regard de la collecte des informations comme de la conservation des données contenues dans le DMP. Parce que le DMP prend tout son sens lorsqu'il est en ligne mais que ses données ne disparaîtront pas à la clôture du DMP, parce que le juriste aime les plans en deux parties, les quelques réflexions qui suivent se proposent de vous exposer certains aspects de la collecte des données de santé au sein du DMP (1), puis de leur conservation (II).
I - La collecte
des données de santé au sein du DMP
La conservation de données médicales dans un dossier n'a rien d'inédit. La mémoire médicale est une obligation déontologique et, d'hier à aujourd'hui, les plus grands maîtres ont enseigné à leurs élèves l'art de mettre en forme leurs notes car « nul ne peut se souvenir de toutes ses expérienceS)) 2. Lorsque François Rabelais est nommé médecin de l'Hôtel-Dieu de Notre-Dame de la Pitié du Pont-du-Rhône à Lyon, il y enseigne également la médecine et publie des critiques de traités médicaux antiques où il conçoit le dossier comme faisant partie intégrante de la fonction d'enseignement que supporte chaque médecin nommé dans les hôtels et hospices 3. Aujourd'hui la grande majorité des professionnels de santé, et plus généralement les acteurs du système de soin, préfère le disque dur de leur ordinateur personnel à la pochette cartonnée où le nom du patient s'inscrit en gras sur la tranche. a) Le fonctionnement
de l'outil
Là où le DMP revêt un caractère inédit, c'est dans la manière dont il est alimenté: il ne s'agit plus d'un dossier métier propre à un professionnel de santé, il ne s'agit plus d'un dossier d'établissement, il ne s'agit plus d'un dossier de réseau axé sur une pathologie. Il s'agit d'un dossier rassemblant des données générales et de spécialités, alimentées par un ou plusieurs professionnels de santé qui ne se connaissent peut-être pas. Le lien entre tous les
2 Rhazès (856-932), Kitab AI-HanlÏ. Cet ouvrage, autrement appelé Continens, a été possible grâce à de nombreux soutiens et à la collaboration des étudiants de Rhazès qui puôlièrent une œuvre posthume enrichie d'après ses notes et ses observations personnelles. 3 Antoruoli (R.), Rabelais et la médecine,Genève, 1976. 107
La sécurité de l'individu nwnérisé
professionnels conduits à alimenter le DMP est la seule volonté du patient et non leur spécialité ou l'appartenance à un établissement ou à un réseau. Voilà « en cible» la confIguration de ce dossier. Il est à noter qu'en vue de sa généralisation, le DMP sera alimenté par les dossiers déjà existants si le titulaire y consent: des dossiers de réseaux ou des dossiers d'établissements par exemple, selon des conditions techniques d'interopérabilité dont d'autres parleront aujourd'hui mieux que moi. L'accès et l'alimentation du DMP par les professionnels de santé auront pour condition l'utilisation par eux de « mesures de sécurisation ». En effet, l'accès des professionnels au dossier hébergé ne peut se faire que dans le 4 qui respect des dispositions du décret confIdentialité du 15 mai 2007 concerne le DMP comme toutes les données conservées sur support informatique ou échangées par voie électronique (cette fois-ci dans le code de la santé publique) : « Art. R. 1110-3. - En cas d'accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l'utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l'article L. 161-33 du code de la sécurité sociale est obligatoire. » Cette mesure est assortie de dispositions transitoires qui indiquent qu'elle n'est applicable « aux établissements de santé que dans un délai de trois ans à compter de la publication du présent décret ». Intolérable cruauté envers les libéraux qui sont tenus sans délai au respect de ce décret pour tous leurs échanges électroniques? Tempérons cette idée par le délai de cinq ans pour la parution de ce décret prévu par l'article L. 1110-4 du code de la santé publique issu de la loi du 4 mars 2002 5. Comme indiqué précédemment, la tenue d'un dossier est une obligation réglementaire codifIée depuis 1995. Le code de déontologie médicale en son article 45, devenu l'article R. 4127-25 6 du code de la santé publique, dispose: « Le médecin doit tenir pour chaque patient une fIche d'observation qui lui est personnelle; cette fIche est confIdentielle et comporte les éléments actualisés, nécessaires aux décisions diagnostiques et thérapeutiques ».
4 Décret n° 2007-960 du 15 mai 2007 « relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant le code de la santé publique »,JO du 16 mai 2007, page 9362. 5 Loi n° 2002-303 du 4 mars 2002 « relative aux droits des malades et à la qualité du système de santé. »,JO du 5 mars 2002, page 4118. 6 Décret n° 95-1000 du 6 septembre 1995 « portant code de déontologie médicale », JO du 8 septembre 1995, page 13305. 108
Les données de santé, l'exemple du dossier médical personnel
Existe-t-il une telle obligation pour le DMP alors même qu'il n'est pas personnelà un professionnel de santé? La réponse est affirmative. « Chaque professionnel de santé exerçant en ville ou en établissement de santé, quel que soit son mode d'exercice, reporte dans le dossier médical personnel, à l'occasion de chaque acte ou consultation, les éléments diagnostiques et thérapeutiques nécessaires à la coordination des soins de la personne prise en charge. En outre, à l'occasion du séjour d'un patient, les professionnels de santé habilités des établissements de santé reportent sur le dossier médical personnel les principaux éléments résumés relatifs à ce séjour. » Voici ce qu'indique l'article L. 161-36-1 du code de la sécurité sociale issu de la loi relative à l'assurance maladie du 13 août 2004 7. On y apprend en sus « que le professionnel de santé est tenu d'indiquer, lors de l'établissement des documents nécessaires au remboursement ou à la prise en charge, s'il a été en mesure d'accéder au dossier» (art. L. 161-36-2 CSS). Le professionnel a enfIn obligation de consulter ou de mettre à jour le DMP de son patient. La sanction de cette dernière obligation est l'utilisation par les caisses primaires d'assurance maladie (CPAM) de « l'arme nucléaire» comme l'appellent les initiés: le déconventionnement du professionnel de santé 8. L'emploi de cette arme étant connu pour faire de nombreux dommages collatéraux, son utilisation restera sans doute extrêmement rare 9. Revenons un moment sur l'obligation des professionnels de santé d'alimenter le DMP. Seront-ils égaux devant l'accès à l'information contenue dans cet outil ? Le code de santé publique désigne comme professionnels de santé trois catégories de soignants : les professions médicales regroupant médecins, sages-femmes et chirurgiens-dentistes, les professions de la pharmacie, à savoir pharmaciens et préparateurs en pharmacie, et enfIn les auxiliaires médi7 Loi n° 2004-810 du 13 août 2004 relative à l'assurance maladie, JO du 17 août 2004, page 14598. 8 Art. L. 161-36-1, al. 3 CSS : « L'adhésion aux conventions nationales régissant les raRPorts entre les organismes d'assurance maladie et les professionnels de santé, prévues à I article L. 162-5 du présent code, et son maintien sont subordonnés à la consultation ou à la mise à jour du dossIer médical personnel de la personne prise en charge par le médecin ». 9 L'arrêté du 3 février 2005 « portant approbation de la convention nationale des médecins généralistes et des médecins spécialistes» précise que « favoriser la coordination par la synthèse des informations transmises par les différents intervenants et l'intégration de cette synthèse dans le DMP» fait partie des missions du médecin traitant (1.1.1.). Cette convention indique gue, « conformément à la loi, les medecins conventionnés consulteront et mettront à JOur le dossier médical personnel (DMP) des patients qu'ils prennent en charge». EnfIn, « les parties conviennent que les modalités de mise en œuvre du DMP, et notamment son impact sur les missions des différents acteurs du parcours de soins, feront l'objet d'un avenant conventionnel d'ici la fIn de l'année 2006 » (1.4.3.). 109
La sécurité de l'individu numérisé
caux que nous appellerons plus volontiers « paramédicaux». Cette dernière catégorie englobe les infumiers, les masseurs kinésithérapeutes et pédicures, les orthophonistes et orthoptistes, les ergothérapeutes et psychomotriciens, les manipulateurs d'électroradiologie médicale, les opticiens lunetiers, les audioprothésistes et les diététiciens. Parce que ces professions n'ont pas les mêmes compétences, elles n'accèderont pas toutes aux mêmes informations. Les possibilités d'accès aux différentes catégories d'informations du DMP sont appelées « habilitations». Ces dernières seront présentées, a priori, sous forme d'un tableau annexé au décret dossier médical personnel prévu par l'article L. 161-36-4 du code de la sécurité sociale. Ce décret est aujourd'hui à l'état de projet avancé. Les habilitations d'une profession resteront inchangées quelle que soit la volonté du titulaire du DMP. Ainsi, un diététicien accédera à des catégories d'informations déftnies réglementairement, ce sont ses « habilitations ». Quant au patient, il pourra lui accorder des droits d'accès à son DMP, mais également les reprendre à tout moment. Le dossier médical personnel est un dossier inédit par sa forme, mais il est également le premier dont l'ouverture et la tenue sont susceptibles de conditionner les remboursements à l'assuré de la part de l'assurance maladie. Article L. 161-36-2 du code de la sécurité sociale: « Le niveau de prise en charge des actes et prestations de soins par l'assurance maladie prévu à l'article L. 322-2 est subordonné à l'autorisation que donne le patient, à chaque consultation ou hospitalisation, aux professionnels de santé auxquels il a recours, d'accéder à son dossier médical personnel et de le compléter. Le professionnel de santé est tenu d'indiquer, lors de l'établissement des documents nécessaires au remboursement ou à la prise en charge, s'il a été en mesure d'accéder au dossier». Ce point de la loi de 2004 avait suscité une importante controverse. Le Conseil constitutionnel l'avait au Etnal validé usant de l'argument classique de la non-disproportion avec les exigences constitutionnelles recherchées, à savoir « réduire le déséquilibre fmancier de l'assurance maladie et améliorer la qualité et la continuité des soinS» 10. La priorité étant l'adoption de l'outil par les patients (ou plutôt par les bénéftciaires de l'assurance maladie qui seuls pourront ouvrir un DMP), 1'« encouragement fmancier» par une sanction fmancière des assurés est aujourd'hui mis de côté par les pouvoirs publics. L'ouverture, la gestion, la consultation ou l'alimentation du DMP se feront dans des conditions d'identiftcation (action de relier une personne à 10Décision du Conseil constitutionnel
n° 2004-504 DC du 12 août 2004. 110
Les données de santé, l'exemple du dossier médical personnel
une identité) et d'authentification (action de certifier que cette identité est celie de la personne) fortes. Pour cela, le professionnel utilisera sa CPS et le patient utilisera sa carte vitale 2 assortie d'un identifiant de santé unique et national appelé aujourd'hui « 1.5. ». Deux obstacles importants risquent pourtant dans ce scénario de ralentir la généralisation du DMP : la diffusion des CPS chez tous les professionnels de santé en France notamment dans les établissements de santé, ainsi que la création et la diffusion de l'1.S. à chaque Français. L'1.S. créé par l'article L. 1111-8-1 du code de la santé publique s'adresse aux bénéficiaires de l'assurance maladie pris en charge « par un professionnel de santé ou un établissement de santé ou dans le cadre d'un réseau de santé défini à l'article L. 6321-1 ». Il est également utilisé pour l'ouverture et la tenue du DMP et du dossier pharmaceutique. Un décret est attendu afin de fixer le choix de cet identifiant ainsi que ses modalités d'utilisation. Il est à noter que ce décret sera pris après avis simple, et non conforme, de la Commission nationale de l'informatique et des libertés. Dans l'attente de la parution de ce « décret identifiant », il paraît légitime de s'interroger sur les nombreuses utilités que pourraient présenter un tel identifiant. Il sera intéressant de voir comment le pouvoir exécutif encadrera ce dispositif qui vient, faut-il le rappeler, en lieu et place du très critiqué N.1.R. (numéro d'inscription au répertoire national d'identification des personnes physiques, communément appelé numéro de sécurité sociale), initialement pressenti pour l'ouverture et la gestion du DMP 11. b) Le contenu
de cet outil médical
Au moment où la loi du 13 août 2004 a été publiée, un terme dans le dispositif du DMP a retenu l'attention. L'article L. 161-36-1 CSS décrit un « dossier médical personnel constitué de l'ensemble des données mentionnées à l'article L. 1111-8 du même code, notamment des informations qui permettent le suivi des actes et prestations de soins ». La redoutable imprécision du terme « notamment» a intéressé la doctrine et nul n'a manqué de l'interpréter 12.Cette disposition phare de la légis11 Sur le choix du N.I.R. ou de l'I.S., v. le compte-rendu de l'atelier 3 du Comité d'orientation du GIP-DMP des 4, 5 et 6 'uillet 2007. Disponible sur http://www.d-m-p.org/ ocs/SeminaireCOR_Atelier3.pdf. V. Conclusions de la Commission nationale de l'informatique et des libertés (CNIL) sur l'utilisation du NIR comme identifiant de santé. Disponible sur http://www.cnil.fr/fileadmin/ documents / approfondir/dossier /NIR/ CCL-gpeNIR -rVD .pdf. 12V. Dupuy O., « La gestion des informations relatives au patient », IEH, 2006. pp. 185186.
J
111
La sécurité de l'individu numérisé
lation relative au DMP renvoie à l'article L. 1111-8 du code de la santé publique qui vise «les données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soin». Au regard du projet de décret DMP en son état avancé de rédaction 13, il semble que le terme «notamment» ait été interprété de manière extensive par le pouvoir exécutif. En effet, le DMP sera fait de données recueillies et reportées par des médecins, mais également des données de santé recueillies et reportées par les professions paramédicales, ainsi que des données administratives. Le rapport d'activité du GIP-DMP 2006-200714 indique que le DMP comportera six catégories d'informations: «les données permettant d'identifier le titulaire du DMP (nom de famille, nom d'usage, coordonnées du médecins traitant, identifiant de santé, coordonnées électroniques du titulaire) » ; « des données médicales générales (les antécédents médicaux et chirurgicaux personnels, les synthèses, les certificats médicaux, l'historique des consultations médicales et chirurgicales, les allergies et intolérances reconnues, les vaccinations, les prothèses et appareillages en place) » ; «des données de soins (les résultats d'examens biologiques, les comptes rendus d'actes diagnostiques, les comptes rendus d'actes thérapeutiques, le bilan d'évaluation de la perte d'autonomie, les bilans fonctionnels par auxiliaire médical, les conclusions de télé médecine, les comptes rendus de séjours hospitaliers et les lettres de sortie, les pathologies en cours, les traitements prescrits ou administrés, les dispensations médicamenteuses, le suivi de soins par auxiliaire médical, les protocoles de soins, notamment ceux relatifs aux affections de longue durée) » ; « des données de prévention (les facteurs de risques individuels, les comptes rendus d'acte diagnostique à visée préventive, les comptes rendus d'acte thérapeutique à visée préventive, les traitements préventifs prescrits ou administrés, le calendrier des vaccinations et des actes de prévention) » ; « des images radiologiques
ou tout autre imagerie médicale»
;
13 Les consultations ges instances syndicales et ordinales nécessaires avant examen du décret par le Conseil d'Etat ont été menées et achevées en juin 2007 par la Direction de la Sécurité sociale conjointement au GIP-DMP. 14Rapport d'activité GIP-DMP 2006/2007. Disponible sur http://www.d-m-p.org/ docs/DMP _RA_2006.pdf. 112
Les données de santé, l'exemple du dossier médical personnel
« un espace d'expression personnel du titulaire comportant les informations qu'il inscrit pour les porter à la connaissance des professionnels de santé et comprenant notamment la mention indiquant qu'il a eu connaissance des dispositions de la réglementation sur le don d'organes ainsi que les coordonnées d'une personne à prévenir en cas de nécessité. Cet espace peut également contenir les informations rendant accessibles les directives anticipées ». Il s'agit donc bien des informations visées par l'article L. 1111-8 du code de la santé publique, mais pas seulement. Aux données médicales s'ajouteront des données générales administratives et d'autres informations viendront même renforcer des dispositifs de santé publique déjà existants. 15 et aux directives anTel est le cas des dispositifs relatifs au don d'organes . ., 16 ticlpees . Le dossier médical personnel, perçu par une partie de la population médicale comme une contrainte, pourrait s'avérer être un allié précieux pour aider le médecin à s'acquitter d'obligations pesant sur lui. Par exemple 17pour l'obligation posée par l'article L. 1211-3 du code de la santé publique les médecins de s'assurer « que leurs patients âgés de seize à vingt-cinq ans sont informés des modalités de consentement au don d'organes à fins de 18 vient compléter en 2006 cette disposition greffe». Le décret d'application en précisant qu'il s'agit pour le médecin de s'assurer que tous ses patients de seize à vingt-cinq ans connaissent la présomption de consentement qui exis15Art. L. 1232-1 CSP (loi n° 2004-800 du 6 août 2004, JO du 7 août 2004, p. 14040) : «Le prélèvement d'or~es sur une personne dont la mort a été dûment constatée ne peut être effectué qu'à des fIns thérapeutiques ou scientifIques. Ce prélèvement peut être pratiqué dès lors que la personne n'a pas fait connaître, de son vivant, son refus d'un tel prélèvement. Ce refus peut être exprimé par tout moyen, notamment par l'inscription sur un registre national automatisé prévu à cet effet. Il est révocable à tout moment. Si le médecin n'a pas directement connaissance de la volonté du défunt, il doit s'efforcer de recueillir auprès des proches l'opposition au don d'organes éventuellement exprimée de son vivant par le défunt, par tout moyen, et il les informe de la fmalité des prélèvements envisagés. Les proches sont informés de leur droit à connaître les prélèvements effectués ». 16 Art. L. 1111-11 CSP (loi n° 2005-370 du 22 avril 2005, JO du 23 avril 2005, p. 7089) : «Toute
personne
majeure
peut rédiger des directives
anticipées
pour le cas où elle serait un
jour hors d'état d'exprimer sa volonté. Ces directives anticipées mdiquent les souhaits de la personne relatifs à sa fIn de vie concernant les conditions de la limitation ou l'arrêt de traitement. Elles sont révocables à tout moment. À condition qu'elles aient été établies moins de trois ans avant l'état d'inconscience de la personne, le médecin en tient compte pour toute décision d'investigation, d'intervention ou de traitement la concernant. » 17Loi n° 2004-800 du 6 août 2004« relative à la bioéthique »,JO du 7 août 2004, p. 14040. 18Art. R. 1211-50 et R. 1211-51 CSP (décret n° 2006-1620 du 18 décembre 2006 «relatif à l'information par les médecins des personnes âgées de seize à vingt-cinq ans sur les modalités de consentement au don d'organes à fIns de greffe )),JO du 19 décembre 2006 p. 19112) 113
La sécurité de l'individu numérisé
te en matière
de don
d'organes.
Il y a là un intérêt tout particulier à l'information de ces jeunes patients - souvent de potentiels infortunés donneurs - afin de leur permettre de s'opposer à un prélèvement... ou de ne pas s'y opposer en pleine connaissance de cause. Le mode de recueil du consentement en matière médicale est fondamental qu'il s'agisse d'un consentement à l'acte médical ou à l'inscription de données sensibles dans un traitement partagé. La simple faculté donnée par le législateur de s'opposer à un prélèvement d'organes peut s'analyser en une présomption de consentement, mais peut être également perçue comme l'absence de consentement à 19. une atteinte à l'intégrité physique Cette absence de consentement est alors commandée par l'intérêt social impérieux que représente le don d'organes. De la même manière, il convient de s'assurer que le consentement à l'alimentation d'un dossier médical informatisé partagé est toujours exprès et que les dérogations à ce principe sont parfaitement justifiées. Dans l'exemple choisi du don d'organes, l'intérêt social impérieux est démontré. Espérons que le « caractère aisé» du recueil d'un consentement sous la forme d'une absence d'opposition ne deviendra pas la règle en matière d'alimentation des dossiers de santé en dépit de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dont le « groupe de travail de l'article 29 20» a rappelé qu'elle s'opposait à qualifier de consentement la faculté de s'opposer: « Le consentement de la personne concernée peut (donc) justifier le traitement de données sensibles. (...) Ce consentement doit, pour être valable, quelles que soient les circonstances dans lesquelles il est donné, être une « manifestation de volonté, libre, spécifique et informée », selon la définition qu'en donne l'article 2, point h), de la directive. (...). Le consentement doit être spécifique: le consentement « spécifique» doit porter sur une situation concrète et bien définie, dans laquelle le traite19 Dreifuss-Netter F., «Le droit d'opposition en droit des personnes (droit de la santé et droits de la personnalité)), Les Petites qffiches, n° 68, Actes du colloque organisé par le CEDAG (Centre de drolt des affaires et de gestion) à la Faculté de droit de Paris V le 30 mars 2006 sur le droit d'opposition conservatoire, pp. 35-39. Thouvenin D.,« Consentement présumé ou droit d'opposition au prélèvement des personnes décédées: un exemple de conflit entre représentation commune et règles juridiques », rapport ronéoté, mars 2004, 147 pages. 20 Le groupe de travail a été institué par l'article 29 de la directive 95/46/CE. Il s'agit d'un organe consultatif européen indépenaant sur la protection des données et de la vie privée. Ses missions sont définies à l'article 30 de la directive 95/46/CE et à l'article 15 de la directive 2000/58/CE. 114
Les données de santé, l'exemple du dossier médical personnel
ment de données médicales est envisagé. Un «accord global» de la personne concernée, par exemple pour la collecte de ses données médicales pour un DME et pour le transfert ultérieur de ces données médicales passées et futures aux praticiens de santé intervenant dans le traitement n'est donc pas un consentement au sens de l'article 2, paragraphe 2, point h), de la directi21 ve ». Il est à noter que le pouvoir exécutif s'est inquiété, il Y a peu de temps, du support de l'information relative au don d'organes. Le décret «vital» n° 2007-199 du 14 février 2007 oblige la carte verte à contenir «la mention indiquant que son titulaire a eu connaissance des dispositions de la réglementation sur le don d'organes» 22. Les informations relatives au don d'organes et aux directives anticipées feront partie intégrante du DMP, mais figureront dans un espace appelé «d'expression personnelle du titulaire ». Est-ce à reconnaître que le DMP n'a de« personnel» que cet espace? Non, bien sûr. L'élément qui qualifie le mieux la gestion personnelle des données est également l'élément qui a créé le plus de remous dans le monde des professionnels de santé. Il s'agit du masquage, et plus encore du masquage masqué. Le dossier médical personnel est en effet le premier projet de dossier rassemblant des données de santé dont il est loisible au titulaire d'en cacher une partie. Il faut espérer que cet aspect du projet sera conservé. En effet, tel que le projet est construit, il appartient au professionnel de santé de décider des informations nécessaires à la coordination des soins de son patient, mais il appartient au titulaire du DMP de décider de celles dont il lui importe qu'elles soient masquées sur le poste de travail des professionnels (hormis celui de l'auteur de la donnée). Cette dernière prérogative démontre le caractère réellement personnel du dossier et n'est rien d'autre que l'expression de la protection des données du patient dans un dossier médical électronique telle qu'énoncée par la directive 95/46/CE citée précédemment. Cette prérogative a pourtant fait l'objet de nombreuses discussions. Le masquage fut affublé par certains de ses opposants d'un nom de vengeur (ou de concombre) bien connu, lorsque le projet de décret DMP soumis à la consultation en décembre 2006 indiqua qu'aucune mention de masquage n'apparaîtrait au DMP d'un patient qui aurait usé de cette possibi21Groupe de travail de l'article 29 sur la protection des données, Document de travail sur le traitement des données à caractère personnel relatives à la santé contenues dans les dossiers médicaux électroniques (DME), adopté le 15 février 2007, référence WP 131. http://ec.europa.eu/justtce_home/fsj/pnvacy/docs/wpdocs/2007 / wp131_fr.pdf. 22Art. R. 161-33-1, h) CSS (décret n° 2007-199 du 14 février 2007, JO du 15 février 2007, p. 2799). 115
La sécurité de l'individu numérisé
lité 23. Le masquage masqué était né et avec lui un vent de psychose faisant fi d'une très ancienne prérogative du patient: le mensonge, au mieux l'oubli. Réclamée par les associations de patients conscients des risques de discrimination de certaines populations de malades, refusée par une partie des professionnels craignant une incitation à la faute médicale, l'opportunité du masquage a été longtemps discutée. Le rapport du député, et non moins chirurgien, Pierre-Louis Fagniez 24 demandé par le ministre de la Santé au début de l'année 2007 a largement contribué a apaisé le débat. Ce dernier a confirmé que le masquage était une prérogative naturelle du patient au regard du partage de ses données dans le DMP, mais qu'il convenait sans doute de l'accompagner dans cette opération. Cet équilibre n'a pourtant pas été repris par la maigre disposition relative au masquage portée par la loi de finance de la sécurité sociale 25 : celle-ci prend simplement soin de renvoyer au futur décret DMP toutes les modalités d'application du masquage. Il est impossible de dire aujourd'hui si le masquage sera masqué ou non, c'est-àdire s'il sera visible au professionnel que le patient a désiré garder secrètes certaines informations. Gardons à l'esprit que le masquage masqué, s'il était repris par le décret DMP, ferait l'objet d'une trace accessible en cas de litige, ce qui n'est pas le cas aujourd'hui du mensonge d'un patient sur une éventuelle contre-indication médicamenteuse.
II - La conservation des données relatives du DMP Le principe du DMP est de ne pas se substituer aux dossiers dits « métiers» mais de partager les données contenues dans ceux-ci, selon le consentement du titulaire du DMP. Là où se trouve la valeur ajoutée du dossier médical personnel ouvert, c'est dans l'accessibilité immédiate, par le patient et par les professionnels qui le prennent en charge, d'informations V. Fraslin J.J., « Le médecin nu devant le patient masqué », disponible sur http://www2.fulmedico.org! a/ article.php?id_article=376. 24 Rapport au ministre de la Santé et des Solidarités, « Le masquage d'informations par le patient dans son DMP », Mission confiée au député Pierre-Louis Fagniez, 30 janvier 2007. Disponible sur http://www.sante.gouv.fr/htm! actu/ fagniez_dmp/ rapport.pdf. 25 Article L 161-36-4 CSS (modifié par l'article 55 de la loi n° 2007-1786 du 19 décembre 2007) : « Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et des conse1ls nal10naux de l'ordre des professions de santé, fixe les conditions d'application des articles L. 161-36-1 à L. 161-36-3-1 et notamment les conditions d'accès aux aifférentes catégories d'informations qui figurent au dossier médical personnel, les conditions dans lesquelles certaines informations peuvent être rendues inaccessibles par le titulaire du dossier médical personnel ou son représentant légal ainsi que les modalités selon lesquelles le professionnel de santé accédant au dossier médical personnel a connaissance de l'inscription au dossier d'informations rendues inaccessibles par son titulaire ou son représentant légal ». 23
116
Les données de santé, l'exemple du dossier médical personnel
pertinentes
rassemblées en un lieu unique hautement sécurisé. La plupart
des données seront alors dupliquées entre les dossiers métiers et le DMP
26,
ce qui, de prime abord, ne rend pas d'un grand intérêt la conservation des données contenues dans un DMP clos. Or, dès l'instant où le DMP est clos, les données qu'il contient ne sont plus accessibles en ligne mais gardent un intérêt fort. Lequel? Il convient de distinguer au moins deux situations que le lecteur comprendra aisément: selon que le titulaire du DMP clos soit mort ou vif. Il existe plusieurs situations de fermeture d'un DMP. Au regard du projet de décret DMP soumis à la consultation publique en début d'année 2007, le DMP pourrait être clos pour: dénonciation du contrat d'hébergement par son titulaire, décès du titulaire ou perte du titulaire de sa qualité de bénéficiaire de l'assurance maladie. Vif, le titulaire du DMP peut donc vouloir le clore pour changer d'hébergeur. Il peut également se voir imposer la clôture car il a perdu la qualité de bénéficiaire de l'assurance maladie. Dans ces cas, l'intérêt de la conservation des données est de pouvoir procéder à une récupération en vue d'une réouverture ou simplement à des fins de conservation personnelle. Étant décédé, on imagine mal l'intérêt du titulaire, mais plutôt celui de ses ayants droit ou des professionnels l'ayant pris en charge. Ce dernier item est en réalité le plus important dans la décision politique prise (à l'heure où s'écrivent ces lignes) de conserver les données du DMP clos pendant une durée de dix années. L'intérêt des professionnels d'accéder au DMP clos n'est pas caché: se défendre (a). Outre la conservation du dossier en soi, celle des traces revêt également une importance particulière (b). a) La conseroation
des données appartenant
ou qyant appartenu
au DMP
La conservation des données du DMP clos est aujourd'hui préférée à leur destruction dans un but principalement probatoire. La création d'un tel traitement est suffisamment inédite pour s'y intéresser, probablement plus qu'il m'est possible de le faire ici. D'une part, ce traitement de données sensibles échappera au consentement de la personne puisqu'il est nécessaire dans l'optique de production de preuves de préserver l'intégrité des données. Cette conservation du DMP clos ne figure aujourd'hui que dans le projet de décret DMP. Or un tel traitement ne peut être prévu que par la voie législative considérant la directive 95/46/CE « relative à la protection des personnes physiques à l'égard du 26
Les données nécessaires à la coordination des soins seront souvent dupliquées entre DMP et dossiers métiers car les documents du DMP se verront importés sur le poste des professionnels qui le désirent, et les documents du dossier métier alimenteront le DMP. 117
La sécurité de l'individu numérisé
traitement des données à caractère personnel et à la libre circulation de ces données ». Son article 8 indique au point premier que « les États membres interdisent le traitement des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle ». Sitôt balancée par plusieurs dérogations allant dans le sens de la circulation des données, cette prohibition s'efface devant le point 4 du même article 8 qui dispose: « Sous réserve de garanties appropriées, les États membres peuvent prévoir, pour un motif d'intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l'autorité de contrôle ». L'État français doit donc justifier d'un motif d'intérêt public dans la création législative d'un traitement de données sensibles à visée probatoire. D'autre part, le traitement en question sera créé dans un intérêt probatoire « à venir », ce qui n'est pas sans rappeler les mesures d'instruction infuturum. Le législateur consacra cette pratique des mesures d'instruction infuturum par le décret du 5 décembre 1975 en créant l'article 145 du nouveau code de procédure civile qui dispose: « S'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé ». Mais si de telles mesures ne peuvent être ordonnées que s'il existe un motif légitimeapprécié par le juge, on peut par analogie s'interroger sur les conditions d'accès des intéressés au DMP clos d'une personne. Qui sera en mesure d'apprécier la légitimité d'un accès? Le traitement va-t-il afficher clairement ses finalités probatoires? Dans l'affirmative il serait alors logique de subordonner l'accès d'une personne à un besoin de preuve ou à l'introduction d'une instance. Or les informations issues d'un DMP clos ne sont « plus que» des données de santé hébergées. À ce titre, elles seront ac-
cessibles par le patient sur le fondement de l'article L. 1111-7 27 du code de
la santé publique, mais également aux ayants droit sur le fondement de L. 1110-4 28du même code. Ainsi, cela reviendrait à ajouter une condition à 27 Article L.1111-7 CSP: «Toute personne a accès à l'ensemble des informations concernant sa santé détenues par des professionnels et établissements de santé, (...) Elle peut accéder à ces informations directement ou par l'intermédiaire d'un médecin qu elle de signe et en obtenir communication. )} 28 Article L. 1110-4 CSP : «Toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant a la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant. (...) Le 118
Les données de santé, l'exemple du dossier médical personnel
la loi. Subordonner
l'accès à ce type de traitement à une ftnalité probatoire marquerait probablement un recul au regard de l'accès direct des patients (et des ayants droit) à leurs informations obtenu en 2002. Il est évidemment trop tôt pour discuter de l'opportunité d'un traitement qui n'existe pas, mais il pourra être intéressant d'y revenir une fois la mesure avancée. b) La conseroation des traces relatives à lagestion du DMP À l'instar des données de santé contenues dans le DMP, les données techniques dites « traces », seront d'un grand intérêt pour les acteurs du DMP. Chaque accès au DMP par le patient comme par le professionnel de santé, chaque action de gestion, de suppression, de rectiftcation, sera tracé. L'obligation étant faite au professionnel de santé de consulter le DMP à l'occasion de chaque prise en charge, les traces de connexion pourraient éteindre rapidement un différend à ce sujet. Si l'on considère la nature des traces d'actions sur le DMP, qui sont des données sensibles bien que techniques, on ne peut justifter d'un délai de conservation très long. En revanche, si l'on considère la fmalité de la conservation des traces, qui est la même que la fmalité de la conservation des données d'un DMP clos, il serait compréhensible de prévoir dix années de conservation avant leur destruction, soit le délai de prescription de l'action en responsabilité médicale. Une loi serait alors nécessaire pour prévoir ce traitement des traces. Sachant que le délai de conservation des données techniques de connexion des opérateurs de téléphonie mobile a été limité à un an ou à trois mois selon leur nature par le décret na 2006-358 « relatif à la conserva29, il est permis de pention des données de communication électronique» ser que les traces relatives à la gestion du DMP ne seront pas autorisées à être conservées davantage. C'est encore là une question à laquelle répondra le décret DMP dont la parution était imminente à la fm de l'année 2007 ! Cet exposé aura permis, je le crois, non pas d'apporter des réponses ftgées car il ne serait pas honnête de prétendre pouvoir le faire, mais de démontrer que le DMP est une matière de droit vivant. Aux confms des attentes et des craintes du monde médical, à la croisée des chemins de l'assurance secret médical ne fait ('as obstacle à ce que les informations concernant une personne décédée soient délivrées a ses ayants droit, dans la mesure où elles leur sont nécessaires pour leur permettre de connaître les causes de la mort, de défendre la mémoire du défunt ou de faire valoir leurs droits, sauf volonté contraire exprimée par la personne avant son décès. » 29 Décret 2006-358 « relatif à la conservation des données de communication électronique »,JO du 26 mars 2006, p. 4609, pris en application de la loi 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, JO du 16 novembre 2001, p. 18215. 119
La sécurité de l'individu numérisé
maladie et des libertés fondamentales, le dossier médical personnel sujet hybride inscrit dans une démarche progressiste (et progressive) l'espère, convaincra d'autres optimistes vigilants.
120
est un qui, je
La donnée biométrique et le document de voyage: le point de vue du praticien NICOLAS DELVAUX SAGEM Sécurité, R&T - Business Development Introduction Le « document de voyage» est un document émis par une autorité souveraine qui permet à son détenteur de démontrer sa nationalité et son identité lors d'un contrôle. Le passeport est un document de voyage. La carte d'identité nationale, le permis de conduire ou un titre de séjour sont considérés par certaines autorités comme des documents de voyage. À titre d'exemple, la carte nationale d'identité française ou un titre de séjour communautaire français sont reconnus par les autres États membres de l'Union européenne comme démontrant la nationalité et l'identité. U sages
du document
de voyage
Les États délivrent souverainement les documents de voyage à leurs nationaux. Dans l'intérêt de ces nationaux, un document de voyage doit d'une part être reconnu comme authentique et d'autre part être reconnu facilement par une autorité tierce. Rappelons que les gardes-frontière ont notamment pour mission le contrôle d'identité des voyageurs. En effet, être reconnu comme authentique permet à une personne de démontrer sa nationalité et son identité plutôt que de faire l'objet de suspicions en tant que potentiel détenteur d'un document frauduleux. Un document facilement reconnu écourte les opérations de passage de frontière et de contrôle. Ces nécessités sont devenues impérieuses à partir du développement de masse de l'aviation, accroissant d'autant les files d'attentes aux contrôles frontières dans les aéroports.
La sécurité de l'individu numérisé
Modèle technique
du document
de voyage
Les États ont choisi de délivrer des documents de voyages conformes à des recommandations internationales, considérant qu'ainsi leurs ressortissants pourront produire des documents facilement reconnus et aisément authentifiables. Les recommandations internationales suivies par la plupart des États sont les spécifications de l'Organisation de l'aviation civile internationale (OACI ou ICAO en anglais), qui au début des années 1980 publia des spécifications techniques relatives aux documents de voyages reconnaissables par lecture automatique. L'OACI est une organisation intergouvernementale fondée en 1944. Elle dépend de l'Organisation des Nations unies (ONU). Son siège est à Montréal au Canada. Elle a été créée par la convention de Chicago. L'OACI est en charge des règles de navigation internationale (circulation aérienne, fréquence radio, licences de navigation, .. .). Les spécifications des documents de voyage sont identifiées sous la référence TAG/MRTD 9303. Bénéficiant
de la collaboration technique d'un sous-groupe de travail de l'ISO 1, ces spécifications OACI sont transposées dans le référentiel de normalisation internationale sous la référence ISO/IEC 7501. Règlement
européen
du document
de voyage
Le règlement européen n° 2252/2004 du 13 décembre 2004 introduit pour les citoyens européens dont le pays est signataire de la convention de Schengen le passeport électronique et biométrique. Comme développées cidessus, les spécifications de l'OACI constituent la base technique de ce passeport de nouvelle génération. Toutefois, avant d'aborder les caractéristiques techniques, il est pertinent de décrire les motivations qui ont débouché sur les choix techniques. Fraudes
aux documents
de voyage
L'harmonisation technique des documents de voyage a entraîné dans son sillage l'harmonisation et également le développement de faux. Ceux-ci servent au grand banditisme et aux trafics des êtres humains (clandestins, prostitutions). Cet article ne va pas décrire l'ensemble des fraudes observées, mais plutôt les principales catégories de fraudes auxquelles les autorités doivent trouver une réponse. 1 ISO /IEC ]TC1 scn /WG3. 122
La donnée biométrique et le document de voyage: le point de vue du praticien
La première catégorie de fraudes consiste à fabriquer de toute pièce un faux passeport. Les spécifications OACI étant publiques, d'importantes caractéristiques sont disponibles pour le fraudeur. La réponse technique des États a été d'introduire dans le passeport des éléments fiduciaires, c'est-àdire des éléments de sécurité tels le type de papier, les encres utilisées, les fils de tissus, ... Ces techniques, tenues secrètes, sont comparables ou identiques à celles de l'impression du papier monnaie. Malheureusement, d'une part, les « faux monnayeurs» progressent techniquement (accès aux scanners, imprimantes couleurs, ...) et, d'autre part, la complexification des sécurités rend leurs contrôles plus longs et ardus. La deuxième catégorie de fraudes consiste à voler des passeports vierges authentiques et de les personnaliser sous une fausse identité. À titre d'exemple, le célèbre commandant Massoud en Afghanistan a été assassiné par le détenteur d'un authentique passeport belge volé et personnalisé à une fausse identité. La réponse technique des États a été de gérer les numéros de passeports valables, perdus ou volés de manière centralisée par Interpol. Malheureusement, la saisie de chaque numéro de passeport présenté à la frontière ou sa capture par lecture de la zone à lecture automatique (ZLA) est fastidieuse et source d'erreurs. La troisième catégorie de fraudes consiste à voler le passeport d'une personne et d'usurper son identité, soit en substituant sa photo, soit en simulant la ressemblance physique de la photo ou encore en modifiant des éléments telle la date de délivrance, ... La réponse technique des États a été d'améliorer les sécurités permettant d'attacher au passeport la photographie de son détenteur. Contre-mesures
de l'OACI
L'introduction par le groupe de travail intergouvernemental de l'OACI de nouvelles techniques visait à contrecarrer les principales fraudes aux documents de voyage. L'introduction d'une puce électronique dans la nouvelle génération de passeport permet d'introduire des sécurités électroniques: automatisation de la gestion des numéros de passeports déclarés perdus ou volés, authentification électronique sécurisée de l'émetteur du document, intégrité des données du porteur par signature électronique. La technique sans contact a été sélectionnée pour permettre une lecture rapide aux postes frontières permettant en particulier la fluidité des passa-
123
La sécurité de l'individu numérisé
gers des transports aériens. Elle est basée sur la norme ISO 14443 AIB pour les cotnmunications en radiofréquences de proximité 2. Le support électronique permet le stockage d'informations. La biométrie a été introduite cotnme technologie supportant la vérification du porteur d'un document de voyage, autorisant ainsi le déploiement d'outil d'aide à la décision pour le garde-frontière. L'OACI a sélectionné trois modalités biométriques: obligatoirement l'image faciale et au choix des États l'empreinte digitale etlou l'iris. L'ensemble de ces nouveautés technologiques, ajoutées aux sécurités déjà présentes, permet de renforcer la confiance dans les documents de voyage en luttant contre les fraudes actuelles et devrait permettre d'améliorer la fluidité du passage aux frontières. Sécurités introduites par les spécifications Les contre-mesures de l'OACI visent à lutter contre la fraude. Les spécifications contiennent des sécurités électroniques graduelles qui visent à lutter contre la capture illicite des informations. Voici donc les mécanismes de protection électronique introduits dans les spécifications OACI. Passive Authentication: cette sécurité est obligatoire dans les spécifications de l'OACI. Elle consiste à signer les informations contenues dans la puce. Elle garantit d'une part l'intégrité des données et d'autre part l'auteur de la signature. Cette sécurité permet de répondre à nombre de fraudes. Basic Access Contrai: cette sécurité est optionnelle dans les spécifications de l'OACI et obligatoire pour le passeport européen. Elle consiste à extraire des informations de la ZLA qui sont utilisées pour amorcer les échanges avec la puce du passeport. Cette sécurité rudimentaire permet de n'accéder qu'aux seules informations présentes sur la page passeport (c'est-à-dire le nom, le prénom, le sexe, la date de naissance, la nationalité, la photographie, le numéro de série du document, les dates de validité du document et le lieu de délivrance). Active Authentication: cette sécurité est optionnelle dans les spécifications de l'OACI et pour le passeport européen. Toutefois, l'annexe technique européenne exige la sécurité associée permettant
2
RFID de proxinùté de 0,5 cm à 2 cm à ne pas confondre avec la norme de radiofréquence de voisinage utilisée par exemple pour les télépéages. 124
La donnée biométrique et le document de voyage: le point de vue du praticien
de vérifier l'authenticité de la puce et la protection des échanges en radiofréquence. Par cette technique, le clonage des informations vers une autre puce est détectable. Extended Access Control: cette sécurité est optionnelle dans les spécifications de l'OACI. L'Union européenne a défini son implémentation de l'EAC pour les passeports européens. Il protège l'accès aux empreintes digitales en permettant de s'assurer que le terminal de lecture est de confiance.
Le passeport électronique
européen
Le règlement européen relatif au passeport prévoit des spécifications techniques qui ont été publiées dans un premier temps le 28 février 2005 3 et dans un second temps le 30 juin 2006 4. La première annexe technique correspond à un document de voyage où seule la modalité biométrique faciale est introduite, en accord avec la spécification de l'OACI. Il faut également remarquer que cette échéance a permis une cohérence avec les échéances du programme d'exemption de visa des États-Unis d'Amérique. La seconde annexe technique correspond à un document de voyage où la modalité de l'empreinte digitale est introduite. Au terme de ce règlement, les États membres signataires de Schengen se doivent de délivrer des passeports électroniques comprenant les modalités biométriques faciales et d'empreintes digitales au plus tard avant le 30 juin 2009. La biométrie et les documents
de voyage
La biométrie est une technologie qui permet de reconnaître une personne sur la base de ses caractéristiques physiques ou comportementales. L'OACI a sélectionné trois modalités: la modalité faciale, la modalité de l'empreinte digitale et la modalité de l'iris. L'OACI a spécifié que la modalité
328/02/2005. C(2005) 409. Décision de la Commission du 28/02/2005 établissant les spécifications techniques afférentes aux normes pour les dispositifs de sécurité et les élé~ents biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres. 4 28/06/2006. C(2006) 2909. Décision de la Commission établissant les spécifications techniques afférentes aux normes pour les dispositifs de sécurité et les élément,s biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres. 125
La sécurité de j'individu numérisé
faciale devait toujours être présente. Les États membres de l'Union européenne ont choisi d'y ajouter la modalité de l'empreinte digitale. Le choix de ces modalités a été dicté par la confiance sur les performances qu'elle engendre et également par l'aspect« naturel» de la reconnaissance faciale. Pour les citoyens européens, le document support de ces modalités biométriques est le document de voyage. Lors du passage d'une frontière européenne, les autorités pourront bénéficier du support de la technologie biométrique pour vérifier que le porteur du document est celui mentionné dans le passeport. Il est important de noter que le support de stockage de l'information biométrique de chaque citoyen ou résident européen est un document électronique dont il est l'unique porteur. La biométrie
et les visas
La délivrance de visas est du ressort de la souveraineté de chaque État. Au sein de l'Union européenne, les accords de Schengen créent une solidarité nouvelle entre États signataires notamment concernant la délivrance de visa. La France partage avec plusieurs partenaires européens un certain nombre d'approches communes en matière de délivrance de visa. Le visa se matérialise par une vignette (appelée Vignett~ Schengen) collée sur le document de voyage du requérant. Evidement, l'Etat du requérant n'est pas tenu de délivrer des passeports électroniques à ses ressortissants. Suite à la décision des États européens et après débat au Parlement européen, il a été décidé de collecter les données biométriques des personnes auxquelles un visa est délivré. Cette décision est en partie justifiée par le besoin de prévenir le «visa shopping », c'est-à-dire des demandes de visa sous des identités différentes à des consulats des différents pays signataires de la Convention Schengen. Contrairement aux USA, les modalités biométriques sélectionnées pour les demandeurs de visa sont les mêmes que pour les citoyens européens: l'image faciale et l'empreinte digitale. Compte tenu des objectifs de collecte de la biométrie des demandeurs européens, ces informations sont mémorisées dans une base de données sécurisée et administrée par les services de la Commission européenne. Lors du passage d'une frontière de l'espace Schengen, le garde-frontière pourra, si besoin, vérifier que le porteur du document de voyage et du visa Schengen est bien la personne à laquelle le visa a été octroyé.
126
La donnée biométrique et le document de voyage: le point de vue du praticien
Conclusion Les voyageurs vont progressivement être confrontés à l'usage de la biométrie lors du contrôle d'identité aux frontières extérieures de l'espace Schengen. La technologie biométrique, trop souvent otage emblématique d'un mouvement « tout sécuritaire », offre des services en vérification d'identité. Sa mise en œuvre dans le domaine des documents de voyage résulte du besoin de contrôle d'identité mais également de la nécessité de protéger les données personnelles en particulier les empreintes digitales. La technologie biométrique n'est pas bonne ou mauvaise en soi. Comme pour toute technologie, il existe de bonnes ou de mauvaises utilisations.
127
La donnée biométrique et le document de voyage: le point de vue du juriste CLAUDINE GUERRIER Enseignant-chercheur à l'INT La mondialisation et la globalisation ont induit des modifications quant à l'approche de certains concepts: frontière, souveraineté, notamment. Les frontières n'ont pas disparu avec la libéralisation. Néanmoins, leur prise en compte évolue considérablement dans la mesure où le commerce traditionnel et électronique connaît un développement exponentiel, sur la base de la transparence et de l'interdiction du protectionnisme. Par ailleurs, les attentats du 11 septembre 2001 ont induit le déploiement d'une politique sécuritaire. L'exploitation médiatique et idéologique des attentats par les USA et la majorité des pays occidentaux ont paru justifier aux yeux de l'opinion publique le recours à des dispositifs de sécurité qui, dans un autre contexte, auraient été dénoncés comme autant d'atteintes aux libertés individuelles. Le Patriot Act a été adopté par le Congrès sans voix discordantes. Cependant, depuis deux ou trois ans, un regard critique est porté à la fois sur l'homogénéisation des sociétés civiles induites par la globalisation et sur les dysfonctionnements générés par les mesures sécuritaires et notamment par les technologies biométriques. L'élan sécuritaire s'inscrit dans la géopolitique initiée par la première puissance mondiale, les USA, qui s'appuient sur la liberté économique et les restrictions apportées à la liberté de circulation. Une prise de conscience a lieu et interroge les fondements de la politique sécuritaire. Dans ce cadre, a lieu une remise en cause de l'utilisation renforcée des techniques biométriques, morphologiques et comportementales en matière de documents de voyage, visas et passeports. En effet, les attentats du 11 septembre 2001 et leur portée symbolique, pour ne pas dire mythique, n'ont pas aboli le patient édifice élaboré par les règles instituées en matière de droits de l'homme. Dans la Déclaration uni-
La sécurité de l'individu numérisé
vers elle des droits de l'homme 1 est garantie la liberté d'aller et de venir 2. L'article treize est le fondement de la liberté de circuler 3. Cette dernière est 4 mentionnée dans le protocole numéro quatre de la Convention européenne de sauvegarde des droits de l'homme, dans le Pacte international des droits civils 5, qui reprend presque mot pour mot l'article treize de la Déclaration universelle des droits de l'homme tout en abordant un nouveau thème: la possibilité de l'expulsion et la protection contre cette menace. Au ni6 veau de l'Union européenne, la Charte des droits fondamentaux a tiré les leçons des conventions antérieures et s'est vue incorporée au Traité constitutionnel, rejeté, par voie de référendum, en France et aux Pays-Bas. Remarquons néanmoins que la liberté de circuler et de séjourner concédée aux migrants en situation régulière n'est pas une obligation mais une possibilité. Cette distinction est parfois lourde de conséquences. Il convient enfin de citer la Convention de l'ONU relative au statut des 7 réfugiés, qui défrit les réfugiés et les immigrants 8. La consultation des travaux préparatoires de la Déclaration universelle des droits de l'homme, du Pacte des droits civils et d'autres textes de moindre importance, démontre que les États sont particulièrement réticents à 9, ces l'égard de l'immigration. Selon Mme Monique Chemillier-Gendreau travaux révèlent la volonté persistante de certains États de mettre en cause la liberté de circulation. Des restrictions sont admises par la doctrine, notamment lorsqu'elle s'appuie sur le concept de « sécurité nationale». L'interprétation de cette notion ne doit pas déboucher sur des abus. Mme
1
2
1948 est garantie la liberté d'aller et de venir.
Article treize: « 1. Toute personne a le droit de circuler librement et de choisir sa résidence à l'intérieur d'un Etat. 2. Toute personne a le droit de quitter tout pays, y compris le sien et de revenir dans son pays ». 3 Cf: Centre «Article treize» à l'Université du Québec à Montréal (UQAM). 4 Article 2.1 : « Quiconque se trouve régulièrement sur le territoire d'un Etat a le droit d'y circuler librement et d'y choisir librement sa résidence ». 5 Article douze du Pacte international des droits civils: « 1. Quiconque se trouve légalement sur le territoire d'un Etat a le droit d'y circuler librement et d'y choisir librement sa résidence. 2. Toute personne est libre de quitter n'importe quel pays, y compris le sien ». Article treize: « Un étranger qui se trouve légalement sur le territoire d'un Etat... ne peut en être expulsé qu'en exécution d'une décision prise conformément à la loi». 6 2000. 7 qui sont contraints de quitter leur pays pour leur sauvegarde physique et celle de leur fami11e. 8 Ces derniers quittent leur pays de leur plein gré, sans être l'objet de menaces pour chercher une vie meilleure dans un autre Etat. 9 « La déclaration universelle des droits de l'homme, entre célébration et méconnaissance » par Monique Chemillier-Gendreau, R£vue de la Ligue des droits de l'homme,novembre 1998. 130
La donnée biométrique et le document de voyage: le point de vue du juriste Chemillier-Gendreau insiste: « la "sécurité nationale" désignée par le Pac10 comme une des causes possibles de ce droit... ne sera pas interprétée te de manière incompatible avec la notion autrement enthousiasmante de "bien-être général dans une société démocratique" introduite en 1948 par la Déclaration ». Pour Mme Chemillier-Gendreau, la notion de libre circulation est « l'idée d'un bien public commun à l'échelle internationale ». Dans le cadre des restrictions et aussi de la régulation s'inscrivent les documents de voyage, les visas et les passeports. Ces derniers ont souvent recours à la biométrie et aux techniques biométriques. La personne identiftable peut être reconnue par des éléments spéciftques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. Il convient de parvenir à un difftcile équilibre entre la liberté de circulation et le droit de contrôle, via les visas et les passeports, que chaque État, dans le cadre du principe de proportionnalité, entend exercer sur les voyageurs et les migrants. Cet équilibre est-il possible? La distorsion redoutée par Mme Chemillier-Gendreau en 1998, c'est-à-dire avant les attentats du 11 septembre 2001, est-elle devenue une réalité? Aftn de répondre à ces questions, aftn de déterminer si la liberté de circulation dans un univers globalisé est conciliable avec l'utilisation de la biométrie lors des voyages et des déplacements, il importe de procéder à une étude comparative en Amérique et au sein de l'Union européenne.
I - L'Amérique, et surtout les USA, optent pour une régulation sécuritaire via les visas et les passeports. A - Les visas Ils posent des limitations à la liberté de circulation et d'installation. 1) Ils circonscrivent la durée du séjour. En droit américain, le nombre de visas, dont certains permettent d'effectuer des séjours temporaires, dont d'autres permettent de s'installer aux USA, sont très nombreux. En effet, la législation américaine contraint les ressortissants étrangers à présenter un visa avant tout séjour de quelque nature qu'il soit aux USA. Certains visas sont les visas de tourisme et d'affaires 11,les visas étudiant qui permettent de suivre des études sur le territoire américain mais non pas d'exercer une activité professionnelle, les visas de travail, qui correspondent
10 Pacte des droits civils. 11 Ces visas permettent un séjour temporaire
de six mois. 131
La sécurité de l'individu numérisé
à des permis de travail temporaire et constituent l'unique moyen de travailler légalement sur le territoire américain 12. 2) Les visas et le «Patriot Act»: le dépôt d'un gabarit d'empreintes digitales est obligatoire pour tous les demandeurs de visas. Le Patriot Act de 2001 étend les pouvoirs du gouvernement en matière de surveillance, facilite le contrôle de l'entrée et de la sortie des étrangers. Il est prévu de renforcer les applications d'INSP ASS 13.Selon la section 403 du Patriot Act, le ministère de la Justice et le ministère des Affaires intérieures doivent travailler, avec le concours du National Institute of Standards and Technology, à l'élaboration de technologies utilisées pour identifier les demandeurs de visas et les personnes pénétrant sur le territoire américain. La technologie choisie doit être identique dans toutes les administrations pour faciliter les échanges. La section 405 dispose que le ministre de la Justice doit faire un rapport au Congrès sur le système d'empreinte digitale du FBI. Ce rapport fait également le bilan sur les systèmes qui sont utilisés dans les autres administrations fédérales. Selon la section 414 du Patriot Act, des mécanismes d'identification biométrique sont mis en place non seulement dans les aéroports, mais aussi dans les ports et à tous les points d'entrée du territoire américain. Le coût de cette politique est élevé dans la mesure où sont nécessairement fabriqués des instruments destinés à la lecture des documents intégrant des données biométriques. 3) Des exemptions existent. Certains étrangers, citoyens de pays alliés des USA, qui souhaitent effectuer un séjour touristique ou un voyage d'affaires d'une durée inférieure à 90 jours, entrent dans la catégorie des exemptions de visas à laquelle la France participe. Le Visa Waiver Pilot Pro-
gram
14
autorise les ressortissants alliés à demander l'admission sur le terri-
toire américain pour un séjour touristique ou d'affaires d'une durée inférieure à 90 jours. Dans le cadre de ce programme, il est impossible, une fois 12 Pour ces visas, une offre d'emploi est également indispensable. L'employeur américain doit remplir et déposer une requête auprès des services d lmmigration améncains. Lorsque la requête est acceptée, l'employeur reçoit une autorisation de travail dénommée « Notice of Approval». Le requérant peut alors postuler pour l'obtention du visa. 13 Avec INSP ASS, l'objectif était d'améliorer la prise en charge des passagers. Les voyageurs, sur la base du volontariat, donnaient, lors de l'enregistrement, leur identité et le gabarit de la paume de la main. S'il n'était pas possible de recourir à la reconnaissance palmaire, on recourait aux empreintes digitales. Le gabarit est enregistré sur une carte dont le contenu est mis à jour chaque année. Les voyageurs engagés dans ce programme étaient pour l'essentiel des ressortissants américains et canadiens, et, dans une mOindre mesure, les ressortissants des pays signataires d'un accord de dérogation de visa. INSP ASS était également une réponse à la lutte contre les substitutions de personnes. 14
V.W.P.P.
132
La donnée biométrique et le document de voyage: le point de vue du juriste
parvenu sur le territoire américain, de changer le statut du visa ou de prolonger le séjour au-delà des 90 jours mentionnés. Le voyage d'affaires permet de négocier et de conclure des actes juridiques, en particulier des contrats, d'organiser des réunions, de participer à des colloques, d'assurer le service après-vente afférent à une convention, de prendre des commandes mais prohibe l'embauche d'une personne physique aux USA. La loi de 2002 relative au renforcement de la sécurité aux frontières et à 15 soumet l'exemption de visa à la détention d'un l'entrée sur le territoire passeport. Il convient de distinguer deux types de passeports: le passeport lisible en machine à partir du 26 octobre 2004, le passeport à données biométriques à partir du 26 octobre 2005, puis du 26 octobre 2006 16.À partir de cette date, les ressortissants des pays alliés 17 sont exemptés de visa s'ils 18 sont titulaires d'un passeport lisible en machine ou d'un passeport à données biométriques. La question du report s'inscrit dans l'histoire des rapports entre USA et pays européens. L'administration américaine avait déjà reporté une première fois cette date initialement fixée à octobre 2004. L'Union européenne avait ensuite sollicité, puis obtenu un nouveau délai en avril 2005, en raison de problèmes de sécurité et d'interopérabilité avec les lecteurs biométriques. Les USA tiennent tout particulièrement aux photos numériques 19. Ils n'ont pas voulu changer la date limite pour lesdites photos; les pays alliés avaient donc jusqu'au 26 octobre 2005 pour fournir à leurs citoyens des passeports avec photo numérique. Depuis le 30 septembre 2004, les visiteurs aux USA provenant des 27 pays étrangers qui bénéficient du programme d'exemption doivent se soumettre aux formalités prévues dans le programme US-VISIT. Ce dernier régule et, dans certains cas, limite la liberté de circulation sur le territoire américain. Il a été mis en œuvre le 5 janvier 2004 dans 115 aéroports et 14 ports maritimes. Dans le cadre d'US-VISIT, les visiteurs étrangers qui se rendent aux USA avec un visa sont contraints de se soumettre à leur arrivée dans un aéroport ou un port maritime à une saisie par scanner des empreintes digita15 Enhanced security border and visa entry Act. 16 Les USA ont repoussé d'un an la date limite imposée aux Etats alliés. 17 Allemagne, Andorre, Australie, Autriche, Belgique, Brunei, Danemark, Espagne, Finlande, France, Grande-Bretagne, Irlande, Islande, Italie, Japon, Liechtenstein, Luxembourg, Monaco, Nouvelle-Zélande, Norvège, Pays-Bas, Portugal, San Marin, Singapour, Slovénie, Suède, Suisse. 18 Modèle Delphine. 19 « Nous ne changerons pas la date limite pour les photos numériques» avait déclaré Michael Chertoff, secrétaire américain à la Sécurité intérieure, à l'occaslOn d'une rencontre du G8 à Sheffield (Royaume-Uni). 133
La sécurité de l'individu numérisé
les de leurs deux index et à la prise d'une photographie digitale. Depuis le 30 septembre 2004, ces procédures concernent également les visiteurs bénéficiant du programme d'exemption de visa. Selon les autorités américaines, il
n'est pas question de porter atteinte à la liberté de circulation
20.
Le pro-
gramme US-VISIT est donc censé soit faciliter la liberté de circulation autorités) soit porter atteinte à cette liberté (les associations de défense libertés individuelles).
(les des
B - Les passeports
Ils utilisent de plus en plus fréquemment
la biométrie.
1) Les passeports et le RFID : le département d'État a choisi l'insertion d'une puce à radiofréquences dans les passeports, afin de renforcer les contrôles aux frontières et engager une lutte contre les faux papiers. Il a lancé un appel d'offres auprès de quatre fournisseurs : l'Allemand Infmeon Technologies, l'Américain BearingPoint, le Français Axalto et l'Israélien Su21 et, en perCom. Le passeport comprend une puce à identifiant radio RFID matière de biométrie, le recours à la reconnaissance faciale. La puce, d'une très faible épaisseur, est incluse dans la couverture du passeport. Dotée d'une capacité de mémoire de 65 Ko, elle stocke des données, le nom, la date et le lieu de naissance ainsi qu'une photo numérique. Quand une personne se présente à la douane avec le document, les données sont transmises derechef à l'officier de contrôle grâce à un scanner sis à proximité. Dès le printemps 2005, les passeports ont été présentés au grand public. En 2006, les passeports sont tous dotés d'une puce RFID. Cette dernière est relativement onéreuse; en effet la puce comprend une signature numérique et une technologie de chiffrement, qui renchérissent le coût des RFID classiques 22. Par ailleurs le ministère des Affaires étrangères et celui de la Sécurité nationale ont décidé de mettre en place des systèmes de reconnaissance faciale aux postes de douane des aéroports. Ce programme permet d'établir une comparaison entre le visage d'une personne physique et les données contenues dans la puce RFID. Le département d'Etat aurait souhaité inté23 grer d'autres données biométriques, empreintes digitales ou iridiennes 20
« L'une des plus hautes priorités du programme US-VISIT est de garantir que les USA continuent à être un pays accueillant et ~ue les voyageurs continuent à venir, que ce soit pour affaires, pour le tourisme, ou pour etudier» a déclaré Asa Hutchinson, vice-ministre ae la Sécurité mtérieure en septembre 2004. 21 D'une , durée de. vie de dix ans. , ., , 22 E' v aluees a moms d un d 0 ilar p1ece. 23
Selon Saswato
Das, porte-parole
d'Infineon
Technologies. 134
La donnée biométrique et le document de voyage: le point de vue du juriste
mais il n'a pas été donné suite pour l'instant à ce projet dans la mesure où il impliquerait de prendre les empreintes de l'ensemble de la population. Les associations de défense des libertés individuelles, y compris de défense de la liberté de circulation, sont hostiles aux passeports avec puce RFID. En effet, le contenu peut être lu à travers les vêtements et à grande distance; dans ces conditions, le vol de données personnelles est possible. 24 et Privacy InPlusieurs associations dont l'American Civil Liberties Union ternational ont adressé une pétition à l'ONU, dans un souci de protection
des libertés. Certains spécialistes de la sécurité
25
exigent que l'on renonce à
la technologie RFID et que l'on adopte une puce entièrement différente qui soit mise en contact direct avec un scanner. Le choix de la puce RFID peut induire des dysfonctionnements, voire des usages délictueux, tel l'accès clandestin aux informations contenues dans les passeports. 2) Les passeports et le continent américain: avant le Patriot Act, les ressortissants de pays du continent américain se déplaçaient librement aux USA. Dans l'actuel contexte sécuritaire, les ressortissants du Canada et du Mexique sont tenus de présenter un passeport ou « d'autres documents acceptés » pour se rendre aux USA. Depuis le 31 décembre 2006, les voyageurs qui empruntent l'avion et qui sont en provenance du Mexique, du Canada, des Bermudes sont obligés de présenter aux autorités américaines un passeport ou un autre document accepté. À partir du 31 décembre 2007, les personnes en provenance des Antilles et qui se rendent aux USA par avion, par bateau ou par la route sont soumises aux exigences mentionnées précédemment. Un « autre document accepté» est une carte de voyage sécurisée. Il n'est plus permis aux ressortissants en provenance du Canada et du Mexique de pénétrer sur le territoire des USA avec un simple permis de conduire. Enfin, les adultes provenant du Canada ou du Mexique avec des enfants auxquels ils ne sont pas apparentés doivent prouver qu'ils ont la garde des enfants et produire une lettre des parents ou des tuteurs autorisant les enfants à quitter le territoire national. Sur la base de la réforme de l'immigration illégale 26, et dans les zones sensibles américano-mexicaines, la carte biométrique de passage des frontiè-
res est devenue obligatoire depuis le 1cr octobre 2002.
24
ACLU.
25 Cf : Bruce Schneier, fondateur de la société Counterpane 26 Illegal Immigration reforme and immigrant responsibility 135
Internet Security. Act de 1996.
La sécurité de l'individu numérisé
Ainsi, les passeports et autres documents sécurisés jouent un rôle déterminant dans la vie juridique des États américains et notamment des USA.
-
II L'Union européenne et, en particulier la France, se sont largement inspirées des lignes directrices de la politique américaine. La liberté de circulation est un concept auquel sont particulièrement attachés les citoyens de l'Union européenne dont tous les pays ont ratifié la Convention européenne de sauvegarde des droits de l'homme. Recours est fréquemment fait aux technologies biométriques. Le premier Accord de Schengen date du 14 juin 198527. L'actuel Accord de Schengen regroupe l'Allemagne, la France, l'Autriche, la Belgique, le Danemark, l'Espagne, la Finlande, la Grèce, l'Italie, le Luxembourg, les PaysBas, le Portugal, la Suède. Les citoyens européens se déplacent et séjournent librement. Néanmoins, les mesures de sécurité ont été renforcées entre les États signataires. Des contrôles d'identité peuvent avoir lieu dans les différents pays. En cas de séjour prolongé 28un titre est demandé mais accordé automatiquement. Un système informatique, dénommé Système d'information Schengen est mis en place. Le SIS est une base de données communes, une interconnexion de fichiers nationaux comprenant des données qui demeurent nationales 29. Cette base de données regroupe plus de dix millions d'enregistrements, dont 15 % concernent des personnes physiques 30.Les personnes sur lesquelles apparaissent des données sont les suivantes: personnes physiques recherchées pour extradition, les ressortissants des pays tiers non admissibles sur le territoire national, les personnes disparues, par exemple les mineurs en fugue ou enlevés. Le système d'information de Schengen de deuxième génération est en cours de développement. Il vise à prendre en compte l'accroissement du flux d'informations, à contrôler les personnes entrant dans la zone de Schengen, à intégrer dans le fichier central des empreintes digitales les techniques de reconnaissance faciale et d'iris de l' œil.
27 Il englobait à cette époque la France, la RFA, la Belgique, le Luxembourg, les Pays-Bas. . . 28 T rots mots et pus. I 29 Les Etats peuvent seuls décider de l'opportunité de l'inscription dans la base. 30 Chiffres de la fin 2001 mentionnés par M. Van Buuren (collaborateur du bureau Eurowatch) «Les tentacules du système Schengen », Le Monde diplomatique,mars 2003, p. 8-12. 136
La donnée biométrique et le document de voyage: le point de vue du juriste Les défenseurs des libertés individuelles perçoivent un danger 31. Le SIS II élargit sa fonction policière. Le traité d'Amsterdam se situe dans la continuité des Accords de Schengen. Il se préoccupe de la sécurité et de la libre circulation. Il supprime les entraves à la circulation des citoyens européens tout en luttant contre les filières de l'immigration clandestine. En France, la Constitution est révisée. En effet, la suppression des contrôles aux frontières ne pouvait être décidée par le Conseil qu'à l'unanimité et à partir d'un rapport minutieux sur l'effectivité des dispositifs mis en place; le Conseil disposait de cinq années après l'entrée en vigueur du traité pour mettre en œuvre les mesures nécessaires. La Constitution était révisée afin de permettre à la France, au terme des cinq ans, de participer à la définition d'une politique commune à la majorité qualifiée 32. A - Au sein de IV nion européenneaussi, fa liberté de circulation est minimisée dans le cadre de la politique de visas et depasseports. 1) Les visas biométrisés permettent d'exercer un contrôle. À l'occasion du Conseil européen de juin 200333, les chefs d'État et de gouvernement ont décidé l'introduction, pour 2005, de données biométriques : empreintes digitales, iris, dans les visas et les passeports. La Commission européenne était déjà en charge d'une étude afférente au développement d'un système d'information sur les visas 34. Elle préconisait de retenir deux éléments biométriques pour identifier les personnes et pour mieux sécuriser les titres de séjour et les visas. Le choix s'est porté sur la reconnaissance faciale, qui doit être numérisée et stockée sur carte à puce, insérée dans les documents d'identification, et sur l'empreinte digitale. L'Union européenne adopte une démarche proche des lignes directrices américaines 35. Cette position est critiquée par les organismes de défense des droits de l'homme et par des organisations non gouvernementales. Par exemple, Statewatch, ONG basée à Londres manifeste son opposition: «La 31
« Le SIS sera passé d'un instrument de contrôle des frontières intérieures de l'Union à un outil plus « proactif» d'investigation et de police », Van Buuren, « Les tentacules du système Schengen », Le Monde diplomatique,mars 2003, p. 10. 32 Procédure de codécision et de vote à la majorité qualifiée. Le passage automatique à la majorité qualifiée et à la codécision ne concerne que les conditions de aélivrance des visas de court séjour et les règles en matière de visa uniforme. 33 Réunion des 19 et 20 juin 2003. 34 VIS. 35 Loi sur le renforcement de la sécurité aux frontières et sur la réforme des VIsas (<<Enhanced Border Security and Visa Reform Act ») de mai 2002. 137
La sécurité de l'individu numérisé
décision, par le Conseil européen, d'instaurer la surveillance généralisée des déplacements des personnes, a été prise sans aucune consultation publique ni aucun débat au Parlement» selon Tony Bunyan, le directeur de Statewatch. Ce dernier déclare aussi: « Ces propositions ne sont qu'une autre conséquence de la guerre contre le terrorisme qui montre que l'Union européenne tient tout autant que les USA à mettre en place des systèmes de surveillance massive, ayant plus à voir avec un contrôle politique et social qu'avec la lutte contre le terrorisme ». En 2004, un projet de règlement rend obligatoire l'empreinte digitale. Ce texte est consécutif à la réunion du Conseil des ministres européens de l'Intérieur et de la Justice qui introduit l'ajout des empreintes digitales en second identiftant biométrique pour les documents de voyage émis par les États membres pour leurs citoyens et leurs résidents. La majorité des présidents de groupes du Parlement européen a considéré qu'il ne s'agissait pas là d'une modiftcation sufftsamment importante pour amener un examen par la Commission des libertés et des droits des citoyens du Parlement européen. En cas de refus de la part des présidents de groupes, le Conseil était prêt à engager une procédure d'urgence. Le document a été adopté par 471 voix pour, 118 contre et 6 abstentions, avec plusieurs amendements au texte 36. Les députés européens ont indiqué qu'un seul identiftant bioméoriginal trique était nécessaire 37, tout en permettant aux différents États membres d'ajouter 38, s'ils le souhaitent et s'ils le jugent nécessaire, les empreintes digitales. Les Verts ont manifesté leur opposition pour des raisons tenant au principe de liberté et au principe de sécurité. Dans leurs amendements, les eurodéputés ont fait valoir qu'il ne devrait pas exister de bases de données centrales des passeports européens dans la mesure où cela serait susceptible 39 de constituer une violation de la ftnalité et du principe de proportionnalité et où cela pourrait accroître le risque que ces données soient utilisées à des buts autres que ceux pour lesquels ils sont initialement envisagés. Certains eurodéputés ont également souhaité que les données biométriques servent
36
Cf: Rapport CoeWo.
37 La photographie. 38 « L'introduction de deux identifiants biométriques aura un impact majeur sur les droits civils et pourrait, de façon ironique, représenter une menace pour la sécurité, à travers les risques d'abus, de failles techniques, de manque de transparence et de protection des données» selon Tatjana Zdanoka, députée de Lettonie et membre de la commission Libe. 39 Appliquer ce qui est strictement nécessaire conformément aux objectifs. Les mesures de sécunté doivent etre appropriées à la finalité poursuivie. Elles ne doivent pas porter atteinte aux libertés individuelles. « Le présent règlement n'excède pas ce qui est necessaire pour atteindre les objectifs poursuivis ». 138
La donnée biométrique et le document de voyage: le point de vue du juriste
uniquement à l'authenticité du document et à l'identité du porteur et que les personnes autorisées à accéder à ce type de données soient clairement désignées dans le règlement. Ce dernier est déftnitivement adopté par le Conseil 40. Auparavant, le groupe «Article 29 », qui englobe les organismes nationaux en matière de protection des données personnelles avait, lui aussi, examiné le projet de règlement. Il avait souhaité que plusieurs garanties soient mises en œuvre, notamment l'assurance que les données biométriques ne seraient pas stockées dans une base centrale. La CNIL avait à l'époque justifté cette position: «le G 29 considère en effet que les données biométriques doivent servir exclusivement à vérifter l'identité du porteur du document. Une base centralisée de photographies et d'empreintes digitales ouvrirait nécessairement la porte à d'autres usages ». En fait, ce règlement répond, d'une part à la volonté des États membres d'améliorer la sécurité des documents de voyage en y insérant des éléments biométriques, d'autre part à la volonté américaine qui exige ces documents de voyage des citoyens des États qui peuvent entrer aux USA sans visa. Les opposants à ce texte font remarquer que les USA demandent un seul identiftant biométrique pour les documents de voyage, l'image du visage. Par ailleurs, en 2004, les recommandations de l'Organisation de l'aviation civile internationale (OACl) sont afférentes à un seul identiftant. La technologie des documents de voyage lisibles à la machine se dénomme MRTD. Chaque type de MRTD contient, dans un format standard, des détails sur l'identité du détenteur, dont une photographie ou une image numérique. Les MRTD comprennent les passeports lisibles à la machine (MRP), les visas lisibles à la machine (MRV) et les documents de voyage offtciels lisibles à la machine (ID). Les MRTS sont élaborés par le Groupe consultatif technique sur les documents de voyage 41de l'OACI ; ce groupe établit et adopte des spéciftcations, c'est-à-dire des exigences techniques détaillées. En effet, l'OACI a reconnu l'importance de la mise au point de passeports et de visas lisibles à la machine. Elle a donc recommandé que les États délivrent des passeports et des visas lisibles à la machine selon le modèle présenté dans le document 9303, normalisent les données d'identiftcation personnelles incluses dans les documents de voyage aftn qu'elles soient conformes aux détails et à la présentation recommandés dans le document 9303. Le règlement a fait l'objet de vives critiques de la part des organismes de défense des droits de l'homme et d'organisations non 40 Règlement 2252/2004 du 13 décembre 2004. 41 TAG/MRTD. 139
La sécurité de l'individu numérisé
gouvernementales. Par exemple, Statewatch, ONG basée à Londres, manifeste son opposition 42. Une lettre ouverte est adressée au Parlement par l'association française IRIS 43, les organisations britanniques Privacy International et Statewatch et European Digital Rights. Ces organismes demandent au Parlement européen de rejeter le règlement, puisqu'il établit des normes pour les dispositifs de sécurité et les éléments de biométrie intégrés dans les documents de voyage. Comme nous l'avons vu, le Parlement européen n'a pas suivi ces suggestions. Par contre, ont été prises en compte des recommandations du G29 relatives à la confidentialité, l'intégrité, l'authenticité des données. En effet, la puce sans contact qui contient la photographie de la personne physique doit comporter un système de signature électronique qui garantit l'authenticité des données et leur intégrité; les données doivent pouvoir être chiffrées et ne pas être lues par n'importe qui. N'oublions pas que ces informations sont conservées sur le système d'information Schengen, SIS II, qui est consultable par des dizaines de milliers de fonctionnaires dans toute l'Union. Tony Bunyan, de Statewatch remarque que ces données biométriques, collectées pour des documents de '44 voyage, peuvent etre . d etournees ' ' La Commission européenne étudie l'intégration de données biométriques dans les visas qui doivent être délivrés par les pays membres. Elle considère qu'il convient de combattre la fraude documentaire qui facilite l'immigration clandestine, la traite des êtres humains et le terrorisme. Les visas de l'Union européenne ont vocation à être biométriques. Néanmoins, les visas non biométriques sont valables jusqu'à leur expiration. Les demandeurs de visas qui, dans l'intervalle, souhaiteraient contourner les règles en se rendant dans des ambassades ou consulats Schengen ne le pourront pas. Ce qui s'applique, c'est la norme du pays de première destination, soit le pays Schengen où le demandeur va principalement séjourner. La délivrance d'un visa biométrique implique le passage du titulaire du passeport au guichet. C'est l'application du concept de comparution personnelle. Le 4 juillet 2005, à Évian, les ministres de l'Intérieur du Gs 45 ont fait connaître leur intention d'harmoniser les données biométriques insérées 42 Voir supra, p. 129. 43 Imaginons un réseau Internet solidaire. 44 « Aucun pouvoir pour rassembler des données personnelles ne devrait être accordé tant que les autorités nationales chargées de la protection de ces données n'ont pas reçu des moyens d'investigations et des finances appropriés» 2006, Statewatch. 45 Allemagne, Espagne, Italie, Grande-Bretagne, France. 140
La donnée biométrique et le document de voyage: le point de vue du juriste dans les documents d'identité officiels. Les cinq États envisagent de défInir des standards communs permettant l'interopérabilité des cartes d'identité nationale 46. Les ministres de l'Intérieur envisagent également d'étendre les normes biométriques aux permis de conduire, qui font l'objet de multiples falsifIcations. Ils font remarquer que l'harmonisation permettrait d'offrir des services administratifs en ligne. 2) Les passeports participent également à la politique sécuritaire. L'OACI a reconnu l'importance de la mise au point de visas lisibles à la machine. Elle a donc recommandé que les États délivrent des documents de voyage lisibles à la machine selon le modèle présenté dans le document 9303, normalisent les données d'identifIcation personnelles incluses dans leurs passeports afIn qu'elles soient conformes aux détails et à la présentation prescrits dans le document 9303. Dans la dernière décennie du vingtième siècle, un grand nombre d'États ont commencé à délivrer des passeports lisibles à la machine 47conformes aux spécifIcations techniques du document 9303. En mars 2002, le Conseil de l'OACI a adopté la nouvelle norme de l'annexe 9 qui exige des États qu'ils délivrent un passeport séparé à chaque personne, quel que soit son âge. Les spécifIcations du document 9303 de l'OACI prévoient l'inclusion de données biométriques confIrmant l'identité du titulaire ou d'autres données permettant de vérifIer l'authenticité du document. Il en résulte un niveau important de sûreté du document grâce auquel les autorités chargées du contrôle frontalier peuvent avoir un haut niveau de confIance dans la validité des documents de voyage. La biométrie ne permet d'inclure dans un passeport lisible à la machine que les informations relatives au titulaire et respecte les directives afférentes aux données personnelles. L'Union européenne, dans son ensemble, tend à généraliser les passeports biométriques. D'ici le 28 juin 2009, les États membres devront émettre des passeports contenant deux empreintes digitales. Actuellement, les États ne doivent plus émettre que des passeports dotés d'une puce. Sur le plan technique, il suffit de se conformer aux spécifIcations adoptées par la Commission. L'Allemagne offre l'image d'un État pionnier en matière de passeports biométriques. 1,5 million de passeports biométriques y ont été émis 48. Le Royaume-Uni a lui aussi, mais à un rythme plus modeste que l'Allemagne, émis des passeports biométriques. 46 Ils ont convenu de retenir l'empreinte digitale d'un même doigt. 47 MRP. 48 En moyenne, 50 000 passeports biométriques par semaine. 141
La sécurité de l'individu numérisé
La Commission considère que l'application se fait sur un tempo moins rapide qu'elle le souhaitait. Le commissaire en charge du portefeuille Justice, Liberté, Sécurité, Franco Frattini, considère que l'Union européenne franchit, grâce aux passeports biométriques, « une étape cruciale pour rendre les passeports de ses citoyens plus sûrs et plus f:Lables». La volonté de confectionner ces nouveaux documents correspond certes à une volonté européenne, mais aussi à la prise en compte d'une situation géopolitique: l'influence de la première puissance mondiale, les USA, n'est pas, dans ce contexte, négligeable, puisque les autorités américaines exigent la J'roduction d'une pièce de nouvelle génération, pour permettre aux Etats de l'Union européenne de continuer à bénéficier d'exemptions de visas. Le prix des passeports électroniques augmente de façon conséquente: en Allemagne, le coût est passé en 2006 de 26 euros à 59 euros pièce, sans prendre en compte les investissements indispensables afin que les douanes soient en mesure de lire les documents. Les données qui sont mémorisées sur la puce des passeports ne doivent pas être stockées dans des fichiers de police, mais simplement lues par les autorités habilitées. Si le coût n'est pas un facteur négligeable, c'est l'exigence de sécurité qui pose le plus de problèmes en matière de maîtrise du passeport biométrique. Le spécialiste de sécurité 49 Riscure a pu prouver que le passeport néerlandais n'était pas f:Lableen cassant les codes de sécurité. Or, la formule retenue au Royaume-Uni est très proche de la formule retenue aux Pays-Bas. D'une façon générale, les passeports biométriques à puce RFID sont souvent critiqués pour un certain degré d'incertitude dans le domaine de la sécurité. Ainsi, le FIDIS 50, qui regroupe des universités, des centres de recherche et des sociétés commerciales européennes, a publié un manifeste à l'intention des gouvernements et des entreprises industrielles afin d'attirer leur attention sur les failles du système. Le FIDIS démontre que les passeports biométriques RFID induisent des risques pour la protection de la sphère privée des utilisateurs et sont susceptibles de générer des vols d'identité. En effet, toujours selon le FIDIS, les données contenues dans les passeports biométriques peuvent être interceptées et lues jusqu'à une distance de 10 mètres du porteur, et ce sans que la personne concernée en ait conscience. Par ailleurs, les informations biométriques peuvent être détournées de leur finalité dans les secteurs publics et privés.
. . c . 49 D ans 1e d Offialne Inlonnat1que. 50 Futur de l'identité dans la société de l'infonnation. 142
La donnée biométrique et le document de voyage: le point de vue du juriste Certains passeports sont équipés de verrous supplémentaires. Par exemple, le passeport américain comprend dans sa couverture une toile de fibre 51 métallique. Deux chercheurs sont parvenus à faire la preuve qu'une simple ouverture d'un demi-pouce suffisait pour intercepter à une distance de soixante centimètres. Le FIDIS insiste également sur le caractère irrévocable des données biométriques et la validité de dix ans des passeports. Ces spécificités permettent l'utilisation frauduleuse d'informations volées pendant un laps de temps considérable. Les passeports sont exposés à des interceptions, à des « attaques en force brute », au vol de clé, au clonage des tags RFID, à des usages abusifs de lecture à distance. En se fondant sur ses recherches, le FIDIS a rédigé plusieurs recommandations, généralement correctives, après introduction des passeports. Il demande de ne pas étendre leur utilisation pour l'authentification dans le secteur privé, d'informer les citoyens sur les risques encourus, de mettre en œuvre des procédures à appliquer lors de vol d'identité, de mettre en place une politique de prévention quant à l'utilisation abusive des données contenues dans le passeport, et, de manière plus générale, dans les documents de voyage. À plus long terme, le FIDIS prône un nouveau concept contenant des mesures de sécurité éprouvées pour les passeports, plus fiables que celles proposées actuellement et des choix débattus largement entre experts en sécurité. 52 Les passeports européens uniformisent les règles en matière de biométrie, tout en limitant la liberté de circulation. B - Cette limitation s'applique aussi en France. 1) Le contrôle par les visas Un décret du 25 novembre 2004 autorise la création, à titre expérimental et pour une durée de deux ans, d'une base de données recensant notamment les empreintes digitales et la photographie numérisée des personnes sollicitant un visa dans sept postes consulaires et l'inscription de ces données dans une puce électronique associée au visa délivré. Les sept postes consulaires sont Bamako, Colombo, Shanghai, San Francisco, Annaba, Genève, Minsk. Consultée sur ce texte, la CNIL s'est prononcée le 5 octobre 51 Mahaffey et Hering. 52 Cela englobe aussi des États qui ne font pas partie de l'Union européenne, Suisse. 143
comme la
La sécurité de l'individu numérisé
2004 sur cette expérimentation.
Si l'enregistrement des empreintes digitales dans une puce électronique apposée sur le visa ne soulève pas de difficultés de principe dès lors que les mesures de sécurité adéquates sont prises, en revanche les conditions de réalisation de cette expérimentation s'agissant notamment de la constitution de la base centralisée appellent plusieurs réserves et objections de fond de sa part. Ainsi, la Commission a considéré que la création d'un fichier comportant les données biométriques des personnes ayant obtenu un visa pouvait être admise à titre expérimental dans le cadre envisagé, soit à des fins de comparaison, soit à la condition que soient strictement définies les conditions de mise en œuvre, d'alimentation, de consultation, de mise à jour et d'effacement de cette base. Un tel fichier ne saurait être pérennisé sans que la Commission soit précisément informée de ses avantages et de ses inconvénients, en particulier dans le domaine de la protection des données personnelles. En revanche, la Commission a estimé qu'au vu de l'objectif de contrôle des frontières, la conservation dans le fichier, des données biométriques des personnes qui s'étaient vues opposer un refus de visas, n'était pas justifiée; en effet, pour celles d'entre elles qui se présenteraient à la frontière, sans visa, la consultation du fichier central ne ferait que confirmer l'absence de visa. Le décret du 2S novembre 2004 ne reprend que partiellement les observations et recommandations de la CNIL. Certes, conformément à sa demande, la fmalité de cette expérimentation a été précisée et le dispositif doit faire l'objet d'une évaluation, sans autre précision toutefois. Le décret prévoit que les informations traitées ne seront pas conservées au-delà de la fm de l'expérimentation mais le dispositif expérimental continue de reposer sur une base centrale dans laquelle seront enregistrées les empreintes digitales de l'ensemble des demandeurs de visa, qu'ils aient ou non obtenu le visa demandé. Les critères retenus pour l'expérimentation sont les suivants: importance du flux des demandeurs de visas, importance de la population, étendue du territoire, nombre de postes frontières aéroportuaires, terrestres ou maritimes, capacité de l'ambassade ou du consulat à organiser l'expérience. Dans une ambassade, le demandeur de visa se fait photographier, fait 53. Des appareils procéder à la scannérisation des empreintes des dix doigts spéciaux photographient sans usage d'encre. Les données reçues sont en53
Quatre
doigts main droite, quatre doigts main gauche, 144
pouce
droit et pouce
gauche.
La donnée biométrique et le document de voyage: le point de vue du juriste
voyées par voie électronique aux postes frontières équipés de systèmes biométriques. Au poste frontière, la police de l'air et des frontières demande au porteur d'un visa biométrique de placer l'index sur un appareil qui lit son empreinte. Le policier est ainsi en mesure de déterminer si l'empreinte est conforme à celle qui est transférée par le service des visas de l'ambassade. Les guichets équipés de lecteurs sont signalés par une pastille verte. À l'issue de l'expérimentation et en fonction des résultats 54, la prise des données biométriques est généralisée en 2007. Une commission d'enquête parlemen55. Sur ce point, taire fait le bilan sur le visa biométrique et l'expérimentation la question fmancière est primordiale. Le ministère des Affaires étrangères et le ministère de l'Intérieur ont besoin de sources de financement. La direction des Français à l'étranger et des étrangers en France au ministère des Affaires étrangères insiste sur ce point 56. En effet, le surcoût relatif à l'introduction de la biométrie pourrait être compensé à moyen terme par 57. Certains ont envisagé la création d'un fonds des recettes supplémentaires de concours; cette solution n'a fmalement pas été retenue. La Commission d'enquête est favorable à Biodev, est hostile à toute interruption de cette expérimentation. La deuxième phase est primordiale, puisqu'elle est concentrée sur plusieurs des États d'où émane l'immigration clandestine. Ainsi l'ensemble des consulats sera équipé pour octroyer des visas biométriques en 2008. Le caractère d'urgence n'est pas identique. La priorité sera donnée aux pays où la pression migratoire est forte et le taux de fraude à l'état civil élevé.
54 Sur ces derniers, une étude est menée. 55 Biodev. 56 « 29 autres (consulats) devraient être (équipés) d'ici la fin de l'année 2006, pour autant que les moyens budgétatres seront rendus disponibles... J'appelle votre attention sur le fait qu'à ce jour, le ministère des Affaires étrangères n'a toujours pas l'assurance claire du budget sur ce financement. La généralisation de la biométrie reste en effet suspendue à une incertitude financière» audition de François Barry Delongchamps. 57 « Cela ne coûtera pas un centime au contribuable, étant donné que les recettes ,Provenant des visas sont passées de 53 M euros en 2002 à 79 M euros en 2005 à la suite d un certain nombre de mesures simples qui viennent des frais de dossier (on fait payer maintenant la même somme aux demandeurs de visa quel que soit le résultat de la demande), du tarif unique Schengen de 35 euros, qui s'est substitué aux 17 tarifs différents qui existaient jusqu'en 2003, et du passage, que nous avons demandé à nos partenaires de l'espace Schengen, de ce droit de 35 à 60 euros, sachant qu'il faut couvrir les coûts, ni plus ni moins de la biométrie, c'est-à-dire ceux de l'instruction des demandes de visa. le vous ferai observer que, pour les visas américains ou britanniques, les tarifs sont déjà beaucoup plus élevés. L'objectif de la France est donc d'obtenir du conseil JAI du 27 avril prochain un relèvement effectif à 60 euros qui pourrait intervenir au 1erjanvier 2007 avec effet possible dès le
1cr octobre 2006 pour les pays qui le souhaitent» déclaration de François Barry Delong-
champs, commissIOn d'enquête au Sénat, 2006. 145
La sécurité de l'individu numérisé
Néanmoins, les visas non biométriques sont valables jusqu'à l'expérimentation. Les demandeurs de visas qui, dans l'intervalle, souhaiteraient contourner les nouvelles règles en se rendant dans d'autres ambassades ou consulats Schengen ne le pourront pas. Ce qui s'applique, c'est la norme du pays de première destination, soit le pays Schengen où le demandeur va principalement séjourner. La délivrance d'un visa biométrique implique le passage du titulaire du passeport au guichet. C'est l'application du concept de comparution personnelle. Enfin, la loi du 26 novembre 2003 relative à l'immigration utilise la biométrie. Cet usage correspond, dans un premier temps, à l'occasion des débats, aux articles quatre et cinq puis, dans la version défInitive, à l'article onze. La loi a prévu un fIchier qui recense les empreintes digitales de toute personne qui dépose une demande d'asile ou obtient un visa pour la France. Le projet de loi prévoyait le relevé, la mémorisation, le traitement automatisé d'une photographie numérique et des empreintes digitales de tout ressortissant extra-communautaire refoulé lors du franchissement d'une frontière de l'espace Schengen. Ce groupe de personnes vient s'ajouter à celui déjà prévu par la loi Debré: demandeurs de titres de séjour, personnes en situation irrégulière ou ayant subi une mesure d'éloignement du territoire français. Adoptée sous le gouvernement Juppé, cette mesure n'était pas entrée en application pour des raisons techniques. Le projet de loi prévoyait un dispositif identique pour les demandeurs de visas. Ces derniers sont soupçonnés d'être de mauvaise foi. C'est ce qui apparaît lors des déclarations du ministre de l'Intérieur à l'occasion des débats devant le Sénat. Il s'agit de prévenir la fraude 58. Par ailleurs, les politiques semblent se méfIer de certains immigrants 59. Devant l'Assemblée nationale, le projet de loi initial a été durci. Il ne comprenait au départ que le relevé des empreintes digitales pour les étrangers en situation irrégulière ou qui ne remplissaient pas les conditions d'entrée. L'amendement n° 343 ajoute aux empreintes digitales la photographie numérique. A également été voté l'amendement n° 365 qui rendait systématique le relevé des empreintes digitales. Par contre, la Commission des lois a repoussé les amendements hostiles à l'utilisation ou à l'utilisation systématique des procédures biométriques. Certains sénateurs font valoir qu'il ne convient pas de recourir à la biométrie dans ce contexte. 58
Il faut « pouvoir retrouver l'identité et l'ori&ifle de ceux qui entrent en France gJ:âce à un visa de court séjour et s'y maintiennent en detruisant leurs papiers ». Nicolas Sarkozy, Sénat, octobre 2003. 59 « Certaines personnes perdent leur visa ou le déchirent après trois mois puis oublient d'où elles viennent. Ce nouveau fichier constituera une aide particulièrement numaine pour ceux qui auront perdu la mémoire )}. Nicolas Sarkozy, Sénat, octobre 2003. 146
La donnée
biométrique
et le document
de voyage:
le point de vue du juriste
La prise d'empreintes est prévue pour tous ceux qui sollicitent un visa. Or, les demandeurs de visas ne sont pas tous des délinquants ou des criminels. Le fichage systématique peut être considéré comme une atteinte aux liberla classe politique, dans sa majorité, est favorable au fités 60. Néanmoins, chier, fait valoir que les citoyens français qui demandent une carte d'identité nationale sont obligés de se plier au relevé de l'empreinte digitale 61. L'accord n'est pourtant pas total. Les sénateurs socialistes sont favorables à un relevé d'empreintes digitales pour les étrangers qui obtiennent un visa et non pour ceux qui sollicitent un visa. Le problème de la mise en place pratique des relevés dactyloscopiques dans les consulats est noté par toutes les organisations politiques. Les consulats ne sont pas armés, ni en termes de ressources financières, ni en termes de ressources humaines, pour faire face au relevé des empreintes digitales. C'est pourquoi l'incertain se glisse dans les discours politiques: Jean-Patrick Courtois enjoint: « Laissons donc des marges de manœuvre au gouvernement et aux consulats ». En écho, Christian Cointat fait remarquer 62: « le texte adopté par l'Assemblée nationale impose la prise d'empreintes digitales et la photographie pour tous les demandeurs de visas, ce qui est excessif et impossible à réaliser par les services consulaires». De multiples allusions sont faites aux longues files d'attente devant les consulats (les demandeurs) et au travail important qui est exigé des fonctionnaires (l'institution consulaire). Finalement, le texte de loi n'impose pas le relevé des données dactyloscopiques et de la photographie. Les personnes concernées sont non pas celles qui obtiennent mais sollicitent un visa et le terme « peuvent» (être relevées, mémorisées) a été introduit dans la loi du 26 novembre 2003. Cette dernière doit être en conformité avec les dispositions relatives à la protection des données personnelles. Un décret en Conseil d'État est pris après avis de la Commission nationale de l'informatique et des libertés. L'avis est rendu par la CNIL en date du 5 octobre 2004. Le décret annoncé est en date du 25 novembre 2004. Les données à caractère personnel sont notamment les photographies numériques et les empreintes digitales des demandeurs de visas. Le droit d'accès et 60 « Cela contribue à jeter le discrédit sur l'ensemble des immigrés en situation régulière présents en France », Nicole Borvo, Sénat, séance du 9 octobre 2003. 61 « Le relevé des empreintes digitales est absolument nécessaire pour permettre d'identifier les étrangers qui sont sur notre territoire et qui seraient entrés dans la clandestinité! En effet, nous connaissons nombre de cas de personnes ayant fait disparaître leurs papiers au bout d'un certain temps.. »,Jean-Jac'l.ues Hyest, Sénat, séance du 9 octobre 2003. « En effet, nous sommes favoraoles a la photographie et au relevé des empreintes digitales et vous devez concevoir qu'il s'agit là d un accord important entre nos groupes», Jaques Mahéas, Sénat, séance du 9 octobre 2003. 62 Au Sénat, 9 octobre 2003. 147
La sécurité de l'individu numérisé
de rectification s'exerce auprès du ministère des Affaires étrangères, Direction des Français à l'étranger et des étrangers en France, du ministère de l'Intérieur, Direction centrale de la police aux frontières, de la chancellerie consulaire ou du consulat où la demande de visa a été déposée. Le droit d'opposition ne s'applique pas. Afm de faciliter l'authentification du détenteur de visa aux postes frontières, un composant électronique, qui contient les images numérisées des empreintes digitales et de la photographie du titulaire du visa peut, à titre expérimental, être associé à la vignette visa. Les 63 mêmes techniques biométriques sont utilisées dans la loi du 24 juillet 2006 sur l'immigration. Sur le plan juridique, trois séries de dispositions étaient mises en cause par les parlementaires socialistes et communistes: la suppression de la délivrance d'un titre de séjour à l'étranger qui réside habituellement en France depuis plus de dix ans, les nouvelles dispositions afférentes au regroupement familial et la procédure juridictionnelle applicable aux mesures d'éloignement. Sur la suppression de la délivrance automatique d'un titre de séjour, le Conseil constitutionnel rappelle les prérogatives de l'État: « Aucun principe non plus qu'aucune règle de valeur constitutionnelle n'assure aux étrangers des droits de caractère général et absolu d'accès et de séjour sur le territoire national », « Seules des exigences constitutionnelles particulières telles que le droit d'asile ou le droit de mener une vie familiale normale peuvent faire obstacle au pouvoir du législateur de revoir, dans un sens plus restrictif, le droit de séjour des étrangers ». Pour le regroupement familial, le Conseil constitutionnel considère que les nouvelles dispositions ne sont pas contraires au droit des étrangers installés de manière stable et régulière en France de mener une vie familiale normale, ce qui est garanti par les droits de l'homme. Il appartient au législateur de fixer la période au terme de laquelle le demandeur sera reconnu comme séjournant de façon stable en France. La durée de dix-huit mois n'est pas jugée excessive. Il est également possible de refuser le regroupement familial lorsque le demandeur ne respecte pas les principes fondamentaux reconnus par les lois de la 64. République L'autorisation de séjour délivrée au conjoint peut être retirée
63Validée par le Conseil constitutionnelle 20 juillet 2006 et entrée en vigueur le 1et janvier 2007. 64 Ces principes sont « la monogamie, l'égalité de l'homme et de la femme, le respect de l'intégnté physique des enfants et des adolescents, le respect de la liberté du mariage, l'assiduité scolaire, le respect des différences ethniques et religieuses, l'acceptation de la règle selon laquelle la France est une République laïque ». 148
La donnée biométrique et le document de voyage: le point de vue du juriste
en cas de rupture de la vie commune dans les trois ans qui suivent la délivrance. En effet, le titre de séjour n'a plus de raison d'être 65. Un arrêté du 19 décembre 2006 est enfin pris en application de l'article 7
de la loi du 23 janvier 2006
66.
Il crée, à titre expérimental, un traitement au-
tomatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs de transporteurs aériens 67. La mise en œuvre de ce traitement automatisé de données à caractère personnel relève de la Direction centrale de la police aux frontières du ministère de l'Intérieur. Une décision du ministre de l'Intérieur, communiquée à la CNIL, précise les provenances et les destinations, situées dans des États qui n'appartiennent pas à l'Union européenne, des passagers. Ces données à caractère personnel comprennent le numéro et le type de document utilisé, la nationalité, le nom et le prénom, la date de naissance, le sexe, le point de passage frontalier utilisé pour entrer sur le territoire français ou en sortir, le code de transport, c'est-à-dire le numéro du vol et le code du transporteur aérien, les heures de départ et d'arrivée du transport, le point d'embarquement et de débarquement, la mention « connu(e) » ou « inconnu(e) » qui est conservée 24 heures. Les données spécifiques à la lutte contre l'immigration clandestine ne peuvent être consultées que dans les 24 heures qui suivent leur transmission. Le traitement automatisé fait l'objet d'une interconnexion avec le fichier des personnes recherchées et le système d'information Schengen. Le droit d'accès est direct, le responsable du fichier étant la Direction centrale de la police aux frontières du ministère de l'Intérieur. Pour ce qui concerne la donnée afférente à la mention « connu (e) » ou « inconnu (e) « au fichier des personnes recherchées et dans le système d'information Schengen, le droit d'accès est indirect; il implique la saisine de la CNIL.
2) Les passeports Pour la France, l'émission de la nouvelle génération de passeports a commencé en avril 2006. Cela correspond à un cheminement difficile. En 2004-2005, le gouvernement avait dans un premier temps envisagé de s'adresser à l'Imprimerie nationale. Le 15 juillet 2005, un fonctionnaire de la direction des libertés publiques exigeait de l'Imprimerie nationale la fourniture d'un prototype, avec photographie digitalisée et zone de lecture optique 65
« Aucun principe de valeur constitutionnelle ne garantit le maintien ou le renouvellement d'une autonsation lorsque les conditions mises à sa délivrance ne sont plus satisfaites ». 66 Loi relative à la lutte contre le terrorisme. 67 Rappelons qu'au niveau de l'Union européenne, le droit oblige les transporteurs à communiquer les données concernant les passagers. 149
La sécurité de l'individu numérisé
protégée par un film plastique. La puce biométrique devait être intégrée dans une deuxième étape. Le 22 juillet 2005, le ministre de l'Intérieur, Nicolas Sarkozy, qui succède à Dominique de Villepin, demande l'introduction de la puce intégrée dès le 26 octobre 2005 68. En conséquence, le ministère de l'Intérieur lance un appel d'offres en urgence. Trois opérateurs principaux concourent: l'Imprimerie nationale, Thalès et le Suisse Oberthur. Ce dernier a de bonnes références et de l'expérience: il produit déjà les passeports biométriques belges. Oberthur devient titulaire du marché public, puisqu'il présente la solution économiquement la plus avantageuse. L'Imprimerie nationale réagit vivement. Elle se trouve dans une situation économique difficile. Elle est passée par un licenciement économique im69. portant, ce qui implique un plan de sauvegarde de l'emploi Sise à Douai, l'Imprimerie nationale se trouve dans un bassin d'emploi menacé. Elle comptait sur l'obtention de ce marché public et avait reçu de la Commission européenne l'autorisation d'injecter 197 millions d'euros pour accompagner le plan de restructuration. Les syndicats saisissent le tribunal administratif, arguant que la société est la « seule autorisée à réaliser les documents... dont l'exécution doit s'accompagner de mesures particulières de sécurité, et notamment les titres d'identité, passeports, visas» 70. L'Imprimerie nationale obtient satisfaction mais le ministère de l'Intérieur fait appel. Selon lui, cette position monopolistique ne peut s'appliquer au passeport biométrique, puisque le passeport biométrique n'existait pas en 1993 71. Le Conseil d'Etat conf1rme le jugement du tribunal administratif. En avril 2006, les premiers nouveaux passeports sont émis dans le département des Hauts-de-Seine. Le processus est ensuite généralisé: avec quelques mois de retard, l'Imprimerie nationale a délivré les passeports biométriques. Conclusion L'équilibre entre liberté de circulation et utilisation des techniques biométriques revêt des contours incertains dans le cadre de la mondialisation et de la globalisation. Dans certains cas, celui des citoyens qui sont en situation 68 « Le projet que nous avons trouvé en arrivant place Beauveau ne tenait pas la route. Les Américains auxquels nous l'avons soumis l'ont refusé tout net. Nous n'avlOns pas d'autre solution» déclare un membre du cabinet du ministre de l'Intérieur, jtÙllet 2005. 69 Les effectifs, à la stÙte de ce plan de sauvegarde de l'emploi, sont passés de 1 200 à 500 salariés. 70 Loi de 1993. 71 « Comment pouvions-nous imaginer que les magistrats intégreraient dans leurs considérations la biométrie qtÙ n'existait pas en 1993 ? » déclarait Claude Guéant, le directeur de cabinet du ministre de l'Intérieur. 150
La donnée biométrique et le document de voyage: le point de vue du juriste régulière, le recours à la biométrie est susceptible d'accélérer les modalités de circulation, dans la mesure où les formalités administratives se trouveraient simplifiées, réduites. Par contre, la liberté de circulation, contingentée par les technologies biométriques, est réduite quand la personne n'est pas en situation régulière 72 ou bien se trouve en situation régulière, sans que cela soit évident pour l'État ou le groupe d'États dont dépend la personne, pour un visa, une demande d'immigration, un passeport. Malw:é les différences de cultures juridiques, le constat est identique partout. L'Etat ou les groupes d'États régulent et réglementent de plus en plus et se servent de la biométrie pour faire preuve d'efficacité dans le cadre de cette régulation et de cette réglementation. La biométrie est très souvent au service de la sécurité nationale. Dans le cadre de l'internationalisation des échanges, il est à craindre que cette préoccupation ne favorise la distorsion redoutée par Mme ChemillierGendreau. Bibliographie BEAUDU (Gérard), JILEV A (Elena), GUIRAUDON (Virginie), SAAS (Claire), La mise à l'écart des étrangers, /es iffets du visa Schengen, Paris, L'Harmattan, 2003. BIMBAUM-SARCY (Laurence), DARQUES (Florence), « Electronic signature Comparison between French & US law», International Business Law Journal, avril2001. CRAIPEAU (Sylvie), DUBEY (Gérard), GUCHET (Xavier), « Biodev : du contrôle à distance au macro-système technique », Rapport final INT / Ministère de l'Intérieur/ Ministère des Affaires étrangères/ Communauté européenne, document confidentiel 2006. GUERRIER (Claudine), CORNELlE (Laure-Anne), « Les aspects juridiques de la biométrie », Rapport GET /INT, 2004. GUERRIER (Claudine), « Les cartes d'identité et la biométrie: sécuritaire », Communication Commerce électronique,mai 2004.
l'enjeu
LEBIHAN (Rachel), « Drug dispensing device demands an aye for an eye », Australian Financial Review, supplement, 19 juin 2003. NICHOLLS (paul), « Bill would regulate biometric news, 17 février 1998.
72
Ce que démontrent
les techniques
biométriques. 151
identifiers
», Interer-
La sécurité de J'individu numérisé
NOIRIEL (Gérard), État, Nation et immigration, Paris, Gallimard,
2001.
SCHEERES Gulia), « Face scanners 31 juillet 2001.
turn lens on selves », Wired news,
SOBEL (Richard)
of identification
«The
Demeanig
and pershood
in
national identification systems », HaroardJournalif Laws & Technology, vol. 15, n° 2, 2002.
152
Sécurité et exploitation des données
Appropriation
des données
! Little Brother Is Watching You - commercialisation through 'webification' John Soren PETIERSSON
of personal
La commercialisation des données personnelles, perspectives prospective: l'exemple des données de santé et du DMP Jean-Jacques LAVENUE et Grégory BEAUVAIS
data
et
Appropriation et eXploitation des bases de données: le droit sui generis, les mesures techniques de protection et les mesures anti-contournement peuvent-elles entraîner la monopolisation de l'information? Estelle DERCLA YE Base de données 2.0 : nouvelles approches d'extraction « loyale» des données
Adel JOMNI
d'appropriation
et
Little Brother Is Watching You commercialisation of personal data through 'webification' JOHN SOREN PETTERSSON Department
of Information
Systems, Karlstad
*
University
Nous présentons le rapport d'un débat en Suède, du printemps 2006 à l'été 2007, sur l'existence de services Internet qui vendent ou diffusent des données personnelles que les agences d'analyse de solvabilité ne vendraient normalement qu'à des instituts de crédit ou un certain nombre d'autres entités légales, comme les employeurs. L'accès public à des données économiques et la possibilité d'enregistrer des sites Internet afIn qu'ils soient aussi protégés que le sont les institutions mass médiatiques par l'article sur la liberté de la presse ont rendu possible la présentation des informations personnelles à tout individu désirant se renseigner sur les conditions de vie d'autres personnes. Nous avons également effectué une comparaison avec un cas américain et conclu que la question de la qualité des informations est aussi reliée à la qualité de la lecture. Le fait de rendre accessible à tous des informations personnelles sans une vérifIcation raisonnable de la qualité est dangereux: des individus peuvent être mal représentés et il n'existe pas d'assurance que les récepteurs de la (dés)information soient sufflsamment compétents pour effectuer des jugements judicieux. Nous reconnaissons en même temps que le libre flux d'information sur le Web permet à toute personne de vérifIer rapidement quelle est l'information disponible à son sujet pour les employeurs, les propriétaires ou d'éventuels futurs partenaires. D'un autre côté, un tel « voyeurisme» de l'individu sur lui-même devrait de toute façon être accessible (en Europe), sans que d'autres aient pour autant accès à cette information. La directive européenne 95/46/EC garantit ce droit de tout individu à l'accès à l'information sur les données le ou la
*
[email protected]
La sécurité de l'individu numérisé
concernant. La possibilité de s'identifier par le biais de cartes d'identité électroniques existe aujourd'hui et devrait donner un accès rapide aux données appropriées existant sur le Web. En effet, il ne devrait pas être si controversé que cela d'obliger également les usagers « normaux» des données de solvabilité à vérifier l'objet de ces données avant qu'elles ne soient divulguées. La libération de ces données pourrait être effectuée par la personne concernée elle-même dans la mesure où il existe une possibilité de les compléter par des preuves de l'authenticité de leur origine dans les banques, les registres fiscaux, etc. Les sites discutés dans cette présentation collectent quant à eux des données de sources différentes, ce qui rend plus facile pour l'investigateur de se faire une idée adéquate. Un bon fonctionnement du « voyeurisme de soi-même» dont nous parlons plus haut ne peut être uniquement basé sur l'identité électronique: il faut y ajouter des fonctions d'assistance aidant l'utilisateur à effectuer une bonne compilation des requêtes. Nous avons également employé le terme de « webification» et avons noté que la question ne concerne pas simplement une webification des registres publics mais également une tendance plus générale où chaque partie formelle, qu'elle soit technique ou légale, de la direction d'une entreprise est de nos jours adaptée au milieu Internet. Ceci réduit sûrement les coûts administratifs et rend le web plus accessible à d'autres que les « Big Brothers» (administration publique, grandes compagnies). Cela permet de rassembler de petits revenus et de gérer son entreprise le week-end. Ceci pourrait être vu comme une tendance démocratique, mais c'est en même temps une incitation pour des acteurs divers, et parfois sans scrupules, à entrer en jeu et à exploiter même des secteurs qui autrefois étaient considérés comme de petits secteurs, tels que la collecte et la diffusion des données personnelles à partir des registres publics.
156
Little Brother Is Watching You
- commercialisation
of personal data through 'webification'
Individuals as data receivers The EU Directives 95/46/EC and 2002/58/EC deal with data processors' obligations vis-à-vis data subjects; it is a service client perspective: big organisations against vulnerable individuals, government authority against citizens. No doubt, these are interesting and necessary concerns. However, there are also other potentially problematic relationships. This presentation discusses cases where ordinary citizens receive personal data. There are several types of such access. One is outright illegal: when employees peep into personal records outside their work duties. E.g., now and then there are reports in the press about unauthorised access to data concerning 'celebrities'. It is tempting for, say, nurses at a hospital with access to the hospital case record to peep at the records of a well-known person being treated. From the Swedish horizon, the Data Inspection Board (i.e., the national data protection authority), holds it very hard to limit the access technically because of alllegacy systems 1.The Data Inspection Board's approach is rather to insist on better systems when old systems are replaced. The Board's actions are in fact limitedby the national implementation of Directive 95/46/EC, the Personal Data Act (1998:204). Its ~31 states the duties of the data processor as : "The measures shall provide a level of security that is appropriate having regard to" technical possibilities, cost, special risks, and "how sensitive the personal data processed really is." What the cost and sensitiviryprovisions in effect means is that in most cases the data protection authority has no legal means to demand better standards. Another type of access to personal data is in the mundane world of social interaction. In virtual communities each individual user is in principle able to control the access permissions concerning their own data (remember the old slogan "On the Internet no one knows you are a dog"). However, it belongs to social interaction that one has to disclose data about oneself in order to be trusted. Trust building without privacy risks is complicated in the digital world as it is in the physical world but perhaps for slightly different reasons. E.g., a complicating feature is found in the online gaming world where meta-trading between real players is not limited to only electronic properties, such as a jolly good axe to slay dragons with, but includes also the characters themselves. The figures with their acquired properties and social networks may be sold by the owner giving his password to 1 Personal communication summer 2007 with Jarl Hellberg. For one of the more sensitive cases, viz. the medical records, a recent survey was published by DagensMedicin (2007). 157
La sécurité de J'individu numérisé
whoever is willing to pay for it (in real money). This makes the new owner possess bits of the history of other players' interaction with this character. When a player passes his account on to other persons, it is more than gossiping; the seller may be unaware of how much of other players' social sphere is 'sold out' to say nothing about how hard it is for these other players to exercise any control. Personal data are more and more populating the Internet and may be used in building 'knowledge bases' profiling people. They may have different sources such as public files, blogs, polls, and other forms. The web may be used as a data federator and well built search queries may simulate some form of database linking. For the moment the biggest threat against privacy seems to come from services exploiting debt and tax records and similar databases, as will be explained in this chapter. The focus will be on the commercialisation of personal data through 'webification' of various register data exemplified by a case of mass distribution of personal data in Sweden. We will also briefly discuss the problems to remedy these cases by the assistance functions envisioned in the EU FP6 project PRIME - Privacy and Identity Managements for Europe. Providing
persona!
data to the genera! public
In USA some companies are recording success in the business of selling personal data. Among these, Intelius receives large amounts of visitors each month, attracting people wanting to know more on their neighbours or on their recruits. When searching a person on www.intelius.com the result page explains the richness of data like this:
.. . .. .. ... ..
"Background report includes (when available) : Statewide criminal check Sex offender
check
Bankruptcies & liens Small claims & judgments Address history Relatives & associates
Neighbors Home value & details Neighborhood info Satellite & map images
Alias names
Much more..." (www.intelius.com) 158
Little Brother Is W atching You - commercialisation
of personal data through 'webification'
In a background report each major section has an introductory paragraph, such as these two : Single State Criminal Check: "This section lists criminal records from county courts, department of corrections, administration of the courts, and other legal agencies for the selected state. The types of offenses include felonies, misdemeanors, sexual offenses, and more. Please closely review each record as subjects with a common name may return multiple criminal record results." Civil Judgment Report: "This section lists civil records from county courts for the selected address. The types of records include property tax liens, general tax liens, bankruptcies, small claims, judgments, and more associated with the selected address. Please closely review each record as common addresses may return multiple civil record results." Noteworthy is the sentence ending each introduction, mentioning that it is in fact not certain that the user of this service gets information about the person he is interested in but about other people with the same name or address. Thus, in addition to the questionable state of affairs, that the person being searched does not know he is investigated, people might even get the wrong information about him. This last point can be stated as that there is both a question of data quality and a question of the qualitY if the readershiparising from the webification of records concerning individuals. Will, e.g., employers having a pile of applications and a corresponding pile of Intelius reports really take care to check that applicant John Smith is not the same as the John Smith that the criminal records speak about? If there are many applicants, it would be easy to make a superficial screening and then concentrate only on applicants whose Intelius reports do not have to be further checked. For the company it does not matter if one or two good candidates are excluded from the process when there are several candidates still on the list, but for the persons excluded beforehand on the wrong grounds the situation is worse: they are always excluded in this way by organisations using Intelius data. In Sweden, on the other hand, where every citizen and person in the census register has a unique personal number, a law about the public availability of authorities' information makes it possible to more precisely identify a person. This has been exploited by certain credit-rating agencies which have used also the act of the freedom of press to make sensitive information normally only electronically accessible to employers and credit insti159
La sécurité de l'individu numérisé
tutes available on websites. The websites have been registered with named persons as publisher - this is enough to be covered by the laws on freedom of the press and freedom of speech (the latter law covers registered radio stations, etc., nowadays including Internet-based publishers). They can publish anything, including information usually used for credit ranking on individual citizens. Such requests should normally be followed by information to the one concerned (i.e., the 'data subject' in legal texts). In spring 2006 there was a debate in Sweden about this as the web services took only a small fee from their customers which made many signing up for such services (see, e.g., Datainspektionen, web 2006-05-15; Süddeutsche Zeitung, web 2007-07-06). In November the same year, there was even a service (ratsit.se) providing the data for free attracting lots of people and selling advertisement slots on its web pages. In March 2007, the National Tax Board declared its intention to deliver information only in printed form and not electronically to credit information agencies which passed information on to websites. (In addition, ratsit.se did not register as a publisher until March so the legality of its data dissemination activities between November and March was in doubt, but we will not go into this matter here.) FromJune 11,2007, there is an agreement within the credit-rating branch that when individuals order information, a copy will be sent to the one concerned including information about who requested the data, while a company may inquire without any copy being sent. There is a further restriction (from the 'old' times) that for a request from an individual "a legitimate need must exist". Companies could be thought of having a legitimate reason, such as checking job applicants or customers placing large orders or landlords checking prospective tenants. At least in older 'paperbased' times it would be expensive for company managers to misuse this, and for many years only larger companies had electronic access to creditranking data. In principle, the agreement should stifle data supervision by 'little brothers'. Who could have a legitimate reason to get credit-ranking data for his/her neighbour or boss? Furthermore, the demand that a copy is sent to the data subject also brings with it costs, so it is difficult to have gratis services any longer. One euro per data request must be charged to cover postage and the paper-based process of sending a copy (the copy has to be in print as there are not legally valid e-mail addresses for people in general; only physical address can be used). One may moreover note that if customers of these web services have to pay, they will be identified by their physical address (invoice) or credit card numbers. Thus, the information about 160
Little Brother Is Watching You
- commercialisation
of personal data through 'webification'
who requested the data will certified information on the identity of this inqU11:er. So, in principle, this should be the end of unwarrantable supervision by hundreds of thousand little brothers (by the time of the agreement, ratsit.se claimed to have more than 600 000 registered customers and that more than 14 million inquires had been done; Sweden has 9 million citizens). But this is only 'in principle' as shown by the following two points concerning the site upplysning.se :
.
.
Testing upplysning.se there was not any request for information about the need for the data requested, but later the paper copy to the person being investigated contained a sentence "If you have questions about why John Soren Pettersson has taken this information about you, you can turn direcdy to him at the address [pettersson's address]." For the limitation that only a company may inquire without copies being sent out, the only check is that the company is registered at the address given. Many persons have their own registered companies and the limitation of anonymity to only companies does not seem to be an important restriction. In fact, upplysning.se seems really keen to point out that for registered companies nothing has really changed and one will still be totally anonymous. In an e-mail message sent out about a week before the agreement would be effective, they noted this, ending with: "no copy will be sent out and one will be fully anonymous!" (sic, with exclamation mark) 2. This e-mail message was sent to all registered customers, not only company customers.
The ease with which companies nowadays are registered (and later checked) makes the differentiation between companies and persons questionable when the issue is who gets information. Ratsit.se tried to keep to the gratis branding by still offering information about companies gratis as still no copy needs to be sent to the company concerned of an inquiry. A company is an economical entity first and foremost, so this latter kind of differentiation between companies and physical persons should be uncontroversial.
2
"For foretag som tar upplysningar ar det som vanligt, dvs. ingen omfdgekopia kommer att skickas ut och man kommer fortfarande vara helt anonym!" (e-mail fromupplysning.se. 2007-06-04; note the "l"). 161
La sécurité de l'individu numérisé Webification
if the whole value chain
A particular feature of the webification is not only the easy access people have, but also the ease with which new distribution spots, i.e. web servers, are set up, registered, etc. It is also easy to set up the economical infrastructure needed to motivate the web site owner to at all bother for publishing data about individuals. Solutions for credit card payment, or other electronic payments nowadays available (e.g., paynova), are easily installed. Also the other major economic source, advertisement, has found easily implementable forms, both technically speaking and economically. For the economic perspective, it is noteworthy that organisations interested in advertising have an efficient means of paying: it could be per view or per click. This makes it risk-free to invest in advertisements - the organisation only pays if the web ad has some effect. There are marketing companies such as Google selling advertisement slots on a huge variety of web sites - the organisation only has to tell what types of site should host its advertisement and then the ads are put at the relevant web sites more or less automatically. Thus, the webification concerns more than databases with personal data. The webification of payment and advertisement infrastructures makes these means for income available to everyone - it is easy to set up a 'professional' hobby site. A single person could set up a site for the dissemination of personal data and hope the adverts will generate a positive return on the (minimal) investment without charging the users anything, at least if personal data is easily accessible electronically. An example of this is a recent site, tubo.se, trying to fill the vacuum left when the credit-ranking information sites no longer can provide information totally gratis. Tubo makes available all salaries in public organisations, because this information is public by available as are all other official records of public organisations in Sweden. The web site claims a serious goal, viz. to analyse salary differentials revealing, e.g., gender discrimination. However, what strikes the eye when entering the site is the "Search [name]" box. .. .and also the ads; see Figure 1.
162
Little Brother Is W atching You - commercialisation
of personal data through 'webification'
Figure 1 - The web site tubo.se invites users to search ("sok") individuals' salaries.
Peeping on oneself So far, this text has been critical to the existence of web sites providing personal data. At the same time it should be acknowledged that there are positive sides of the free flow of information allowed in the Swedish example above: any data subject can very quickly check what information about him is available to employers, landlords, and prospective partners. This would of course hold also for American subjects if they pay the $8-$50 that Intelius wants to have for information about a person. Cf. the citizens' questions put to a German Data Protection Authority (see report R1, page 20, with data from the Datenschutz in Kiel, Schleswig-Holstein; full report in German: ULD, 2006). A question such as why a telephone company does not want to offer a specific individual a mobile phone contract could presumably be answered very quickly by the individual himself had he lived in Sweden. Most likely, what the German telephone company had done was to screen applicants based on credit-rating data and then the company found that this individual got a bad ranking. Thus, if this individual, rather than writing to the Data Protection Authority, could have checked what economic data about him is available, he would most probably have found
163
La sécurité de l'individu numérisé
the answer to his question and he might even be able to explain his present situation better to the telephone company than what these data do. On the other hand, such peeping on oneself should be available anyhow without allowing others to peep on one's data. The EU Directive 95/46/EC and its implementation in nationallaws grant this right of access to information on data concerning oneself. The possibility to identify oneself by electronic identity cards now exists and should give swift web access to relevant data and should also ensure unique access by the one concerned. Indeed, it should not be extremely controversial to force also the 'normal' users of credit data (organisations of all kinds) to ask the data subject before data is released. (The release could in fact be done by the subject him/herself because there is means to let the data be supplemented by proofs of the authentic origin in banks, tax registers, etc., of the data.) To this should be added one factor. What sites such as Intelius and upplysning.se do is to collect data from differentsources, which makes it much easier for the inquirer to get a relevant picture. Therefore, a good function for 'peeping on oneself' cannot solely be based on e-IDs. One would wish assistance functions aiding the user to the right compilation of requests, and also when prospective landlords, employers, etc., ask for data, warning the user if they ask for too litde data or too old data for a good and fair picture to emerge. More on assistancefunctions for identifY management [Jstems In some publication we have discussed the prospect of more userassistance by automated assistance functions in-built in future personal identity management systems (e.g. Pettersson et al. 2006a, 2006b, Hansen et al. 2007). From our studies in particular within the PRIME project (www.prime-project.eu) we know that users suffer a great lack of knowledge about the rights to their personal data and built-in assistance functions would be of great help. We have also suggested that such automated assistance functions could guide users to the web sites of consumer organisations and data protection authorities (see references Ri, R2). The EU Directive 95/46/EC could be a base for good solutions based on electronic identity cards, but only when the data transmissions fall under what the Directive deals with. So long as the freedom of press and speech acts prohibit any reasonable follow-up on the use of an individual's data by the individual himself, assistance functions would have to work more on suggesting investigation on what could possibly be gathered about the individual. This should perhaps 164
Little Brother Is Watching You
- commercialisation
of personal data through 'webification'
not only concern the data used by credit-ranking institutes but rather any information available 'openly' on the Internet including personal data (or personally identifiable information) disclosed by the data subject to 'closed' communities. For privacy protection in virtual communities there is of course less chance to have really functioning automated assistance. Instead some web-based assistance may be in place. For instance the Swedish Data Inspection Board has a subsite with information for people (youngsters) who feel offended and a special page informs about what to do if one is offended on the web or get unwanted contacts. Also such privacy assistance could be accessed via the user side assistance function if there is a proper infrastructure to list reliable sources so that the user side system could rely on an updated list when guiding the worried user. Some of the members of the PRIME consortium are now, together with new allies, negotiating a new Large-scale Integrated Project with the commission (for Framework Program 7), "PrimeLife - Privacy and Identity Management in Europe for Life". The PrimeLife proposal is more focused on life-long privacy maintenance than PRIME, and also on collaborative scenarios in virtual communities. The proposal contains many technical challenges for workable mechanisms for pseudo-identification and reputation building, as well as standards for access control and policy languages, but also research on social issues as well as some of the assistance functions discussed above. From this perspective it might seem surprising that within PRIME we started with legal requirements from the EU domain. An analysis of the legal directives should also include a criticism of the directives themselves rather than only an attempt to follow them (in comparison, the Asphalès project description explicidy mentioned legeferenda analyses). However, the EU Directive has as a starting point the individuals' rights to exercise control over personal data about themselves. Self-determination is, if not synonymous with the concept of 'privacy', at least the essence of this concept. If a person is allowed to determine how data about him is used and if it should be used at all, there is no invasive use of his data, and his privacy is well respected. Indeed, within the PRIME project also socia-cultural requirements for identity management applications has been developed, but these requirements are in essence similar to the EU legal requirements as far as user-control is concerned. Therefore, we found it uncontroversial to follow the EU Data Protection Directive to derive requirements for the main PRIME demonstrator even if the Directive presumes a service-client rela-
165
La sécurité de l'individu numérisé
tion. This is not meant to say that individual articles in a directive might not be challenged; see Petlersson & Fischer-Hübner (forthcoming). Finally, who is peeped
by whom?
So long as no information is sent out to the data subject when information about him is disclosed, it has some advantage that he easily can check out what information about him is easily accessible by others. Let us instead make a volte-face and ask what privacy rights the peeping user of such a service really has. One may note that it could be problematic to protest at, e.g., too high charging for information. Since the user of such a service could be judged by others as peeping on them, it might not be totally without risk to make a public accusation against such a company. There have been complaints on at least one company, Persondata. Such complaints have been sent to the Consumer Agency, not to the Data Inspection Board. Perhaps it is significant that when such a complainant was interviewed by a news paper, she did not want to disclose her name (Dagens Nyheter, web 2007-07-05). More important is though the question about who has access to the history records of such services as ratsit and upplysning.se (both get their information from Business Check i Sverige AB, buisnesscheck.se). If there is sensitive information provided by these services, there is also sensitive information held by these companies on who requested what information about whom. Such information would be interesting for individuals as well as companies. The existence of these electronic registers could make anyone frightened, whether peeping or potentially peeped 3.
Conclusion Above we have presented an account of the debate in Sweden spring 2006 - summer 2007 about the existence of web services selling or giving away personal data that credit-ranking agencies normally would sell only to credit-giving institutions or to certain other legal entities, such as employers. We have also compared with an American case and concluded that the question of quality of data is as much a question of the quality of the readership. Presenting personal data to everybody without a reasonable quality
3
There should be enough for several detective stories: even 'innocent' data subjects maybe searched in this inverted way. Potentially, an employer could be interested to see which employees have been searched by other companies - presumably employees who have sent job applications to these firms. 166
Little Brother Is W atching You - commercialisation
of personal data through 'webification'
check is dangerous: individuals can get misrepresented and there is no assurance that the receivers of the (mis)information are competent to make judicious judgments. We also used the expression 'webification' and noted that the issue is not merely one about the webification of public registers but also the general 'webifying' trend where every formal part, whether technical or legal, of running a finn has been adapted to the web medium. Surely, this is lowering administrative costs and making the web medium more accessible to others than the 'big brothers' (public administration, large companies). It makes it possible to collect small revenues and to run businesses on weekend basis. This could be seen as a democratic trend, but at the same time it gives incentives to various actors to enter even such a small sector as the collection and dissemination of personal data from public registers used to be. At this colloquium, Pierre Trudel spoke about coregulation and initiatives from the private sector. The question is if all hobbyists will feel part of the private sector as this is represented by 'full-time' companies with the need to defend their reputation to protect their existence. One may further ask whether services such as ratsit would in the future expand beyond tax and debt register data. Services like Intelius, could they in the future take place in Europe? And can European citizens' data be found on American sites? One may note that in France, every citizen can go to the local tax office to read about a person (but not to speak about him/her), and what is more, there are agencies that can provide data on economical status and many other information types for a fee. This system is not as open as a web service, but data are available and just await the hobbyist's eXploitation. One should also realise that 'stolen data' can appear on servers anywhere in the world. It should be noted that seemingly harmless attempts to create a total picture of individuals, such as the Spock.com, which are collecting in a Google-like manner data put on websites by the individuals themselves (Facebook, etc.), may inadvertendy get hold of sensitive data. Goggle searches can deliver data that should have been accessprotected (That, 2007). In addition, sites such as Spock should raise concerns about the correctness of how data and persons are paired (again, the double quality issue arises).
Acknowledgment The work on this chapter was sponsored by the Swedish agency for innovation systems, VINNOVA, as part of grant no. 29644-1 for the pilot study "Privacy technology in the framework of consumer support infra167
La sécurité de l'individu numérisé
structure". The author wishes to express his gratidue to those at the fInal Asphalès colloquium who helped improve the text; for the very last paragraph in particular H. Bezzazi, C. Poveda, and E. Derday. References
Dagens Medicin (2007-05-09) Kontroller avslojar intrang i elektrorusk patientjoumal. www.dagensmedicin.se// nyheter/2007 / 05/ 08/kontroller-avslojarintran/index.xml Dagens Nyheter (web 2007-07-05) Persondata backar efter kritikstorm (in Swedish). http://www.dn.se/DNet/road/Classic/artide/ O/jsp/ print.jsp?&a=668018 Datainspektionen (web, 2006-05-15) Lillebror vet allt om dina skulder. ("Little brother knows all about your debts".) Press release in Swedish available at : http://www.datainspektionen.se/nyhetsarkiv / nyheter/2006 / maj/2006-0s-1s.shtml European Commis son, Privacy Enhancing Memo/07/1s9, Brussels, 2 May 2007.
Technologies
(PETs),
HANSEN, M., S. FISCHER-HüBNER, ].S. PETfERSSON & M. BERGMANN (2007) Transparency Tools for User-Controlled Identity Management. Presented at eChailengese-2007, 24-26 October 2007, The Hague. Published in: Cunningham & Cunningham (Eds.): Expanding the KnowledgeEconomy:Issues, Applications, Case Studies; lOS Press, Amsterdam 2007; pp. 1360-1367. PETfEIL<.;SON, ].S., S. FISCHER-HüBNER, & M. BERGMANN (2006a) Outlining Data Track: Privacy-friendly Data Maintenance for Endusers. Presented at The 15thInternationalCoiferenceon IliformationSystems Development(ISD 2006), Budapest, 31 st August - 2nd September 2006. Published in Advances in Inftrmation Systems Development,Volume 2, ed. by G. Magyars, G. Knapp, W. Wojtkowski, G. Wojtkowski,]. Zupancic, Springer, 2007, pp. 215-226. PETfEIL<.;SON, ].S., S. FISCHER-HüBNER, M. CASASSAMONT, & S. PEAIL<.;ON (2006b) How Ordinary Internet Users can Have a Chance to Influence Privacy Policies. Short paper presented at NordiCHI, Oslo 16-18 October 2006. NordiCHI 2006 Proceedings.ACM Conference Proceedings Series. ACM Press. 168
Little Brother Is Watching You - commercialisation
of personal data through 'webification'
PETIERSSON, ].S. & S. FISCHER-HüBNER (forthcoming) Transparency as the Key to User-controlled Processing of Personal Data. To be published in Human IT: Technologyin Social Context, ed. by Ch. Christensen. Cambridge Scholars Press. R 1 - First report from the pilot study on privacy technology in the framework of consumer support infrastructure (ed. J .S. Pettersson). Working
paper December
2006. Information
Systems
/
Centre
for
HumanIT, Karlstads universitet, Karlstad. http://www.humanit.org/ pdf/R l_Privacy _rights_infra_December~006. pdf R2 - Second report from the pilot study on privacy technology in the framework
of consumer
support
infrastructure
(ed. J .S. Petters-
son). Working paper July 2007. Information Systems / Centre for HumanIT, Karlstads universite t, Karlstad. http://www.humanit.org/pdf/ R2_Privacy _rights_infra_J uly_2007 _flnal_ version.pdf Süddeutsche Zeitung (web, 2007-07-06) Datenschutz in Schweden: Einblick beim Nachbarn. By Elmar Jung. http://www.sueddeutsche.de/computer/ artikel/ 403/122239/ Tath, E.!. (2007) Google hacking against privacy. Presented at the Third IFIP Summer School on Future of Identity in the Information Society, August 6-10, 2007, Karlstad. http://www.cs.kau.se/IFIPsummerschool/papers/SOCP3_Emin_ Islam.pdf; to appear in proceedings published by Springer. ULD (2006) Erhohung des Datenschutzniveaus zugunsten der Verbraucher. Studie im Auftrag des Bundesministeriums für Verbraucherschutz, Ernahrung und Landwirtschaft. Unabhangiges Landeszentrum für Datenschutz, Kiel, 201 pages. To be published at http://www.datenschutzzentrum.de
169
La commercialisation des données personnelles, perspectives et prospective: l'exemple des données de santé et du DMP JEAN~ACQUESLAVENUE Professeur
des Universités
\ Université
de Lille 2, IREENA T
GRÉGORY BEAUVAIS Doctorant ATER 2,Université de Lille 2, IREENAT 3 Le développement du recours à l'électronique dans les actions de l'État, l'implantation de services personnalisés à destination des administrés impliquent la mise en réseau de renseignements et la constitution de fichiers. Ceux-ci représentent un enjeu important en matière de protection des données personnelles, tant en ce qui concerne les relations entre les administrés et l'Etat, qu'entre les administrés et la société marchande. Le problème qu'ils posent prendra une dimension particulière lorsque la mise en place de prestations personnalisées pour l'État conduira à la conclusion d'un partenariat public privé (externalisation à caractère technique voire externalisation des prestations elles-mêmes). Dans ce contexte, après avoir été parée de tous les mérites liés à la modernisation de l'État (efficacité, simplification, économie, rapidité etc.), l'administration électronique suscite des interrogations de plus en plus nombreuses. Elles portent sur la protection des libertés, de la vie privée, des données personnelles et sur la possible eXploitation de celles-ci, tant à des fins politiques que policières et marchandes. Faute d'avoir pu établir de lien entre des traces génétiques que l'on pourra avoir relevé n'importe où, et un fichier d'empreintes génétiques en France 4 ou à l'étranger 5, la police n'aura-t-elle pas un jour la tentation d'aller le 1 http://www-droit.univ-!illeZ.fr/lafaculte / enseignants / jean-jacques-lavenue.h tml 2 http://www-droit.univ-!illeZ.fr/la-faculte/ enseignants/ gregory-beauvais.html 3 http://ireenat.univ-!illeZ.fr/ 4 www.lexinter.net/PROCPEN / fichier_nationaLautomatise_des _empreintes-,genetiques. htm
La sécurité de l'individu numérisé
rechercher dans les dossiers de santé d'un individu, sur une plateforme 6 ? Un chargée de gérer les DMP par exemple, voire sur un site marchand assureur avant de valider une police d'assurance, un banquier avant d'accorder un crédit, un bailleur, ne pourra-t-il pas, comme aux États-Unis par exemple, se renseigner sur votre passé médical comme sur votre capacité financière? L'individu lui-même ne sera-t-il pas tenté de vendre ces ren7 ? seignements contre des remises ou avantages commerciaux et fmanciers Le débat autour du DMP 8 est l'occasion de réfléchir sur une problématique qui se développe de manière dialectique dans une sorte de jeu à trois bandes impliquant des relations entre des pôles ayant selon les cas des intérêts communs ou contradictoires. Le premier pôle est celui de l'État en charge à la fois de l'intérêt public et de la protection des individus. Son objectif de réforme le conduit à extemaliser ses prestations, à développer l'interconnexion de ses fichiers, mais également à assurer les missions régaliennes dont le charge la Constitution. Beaucoup de choses dépendront alors du rôle que l'on voudra lui donner. Le second pôle est celui des individus qui souhaitent voir protéger à la fois leurs libertés et leur vie privée mais qui, au nom de la sécurité (et de la protection sociale), sembleraient prêts à accepter de renoncer à certains éléments relevant de la protection des données personnelles 9. La question qui peut être posée à ce niveau est celle de la réalité de l'information et de la conscience de ce qu'implique la protection des données personnelles et, entre autres, de la protection que pourront lui apporter des organes indépendants tels que la CNIL 10par exemple.
5 http://www.cnil.fr/index.php?id=2087 6 http://www.intelius.com/ 7 Remboursements d'alicaments (yaourt contre le cholestérol) en communiquant un relevé d'analyse prouvant que vous avez telle ou telle pathologie mais qui par la même occasion fourrura un ensemble d'informations vous concernant. 8 http://www.d-m-p.org/ 9 L'acceptation du principe liant le niveau de remboursement des dépenses de santé à l'acceptation ou non de la communication des données de santé ou à la désignation d'un médecin référent est un exem]?le caractéristique où sous prétexte de rationalisation se met en place un système de santé a plusieurs vitesses qui remet en cause l'égalité des citoyens. « Le niveau de prise en charge des actes et prestations de soins par l'assurance maladie prévu à l'article L. 322-2 est subordonné à l'autorisation que donne le patient, à chaque consultation ou hospitalisation, aux professionnels de santé auxquels il a recours, d'accéder à son dossier médical personnel et de le compléter. Le professionnel de santé est tenu d'indiquer, lors de l'établissement des documents nécessaires au remboursement ou à la prise en charge, s'il a été en mesure d'accéder au dossier. » (Loi n° 2004-810, du 13 août 2004 relative à l'assurance maladie, JO, n° 190, 17 août 2004, p. 14598). 10 Commission nationale de l'informatique et des libertés. http://www.cni1.fr/ 172
La commercialisation des données personnelles: l'exemple des données de santé et du DMP
Le troisième pôle est celui du secteur marchand dont l'accès aux données constituées par l'État - qu'il s'agisse de données publiques au sens strict ou de données rassemblées à l'occasion de la mise en place et du fonctionnement du service public - est une revendication de plus en plus forte. On retrouve là le débat sur le rôle qui doit être attribué à l'État (régulation? abstention ?), l'importance d'un choix préalable qui doit être politique et, là encore, la nécessité d'information de celui qui fixe la norme. Or dans ce domaine se posera souvent le problème d'une expertise bien souvent confiée à des entreprises du secteur marchand à la fois fournisseurs et conseillers du Prince. La problématique est donc complexe et l'enjeu est d'une importance considérable. Quitte à passer pour des Cassandre, il nous paraît donc important de mettre en évidence des risques, que l'on a trop souvent tendance à minimiser, de manière à permettre d'envisager les façons de concilier peutêtre les impératifs de la prestation électronique de service envisagée, et la nécessité de protéger la vie privée des personnes. Le but sera alors de permettre que soit maintenue la confiance de l'administré dans la capacité des organismes et des entreprises d'assurer un niveau de protection adéquat. L'évocation de la possibilité d'existence de risques de commercialisation des données autour, ou à la suite, de la constitution du DMP pourra alimenter le débat et la réflexion pour une nécessaire prise de conscience collective. Sans doute ce risque n'existe-t-il pas dans l'immédiat, et l'utilisation des données de santé n'est-elle éventuellement envisagée qu'à des fins de recherche scientifique 11.Mais certains modes de raisonnement déjà tenus et l'exemple 12 peuvent à juste titre laisser croire que l'exception d'autres pays d'aujourd'hui pourrait bien demain devenir la règle. L'exemple des données de santé et du DMP permettra ainsi de s'interroger sur les possibilités futures de commercialisation des données personnelles
13. À
cet effet, un point sera fait sur la place des données de
Il Art 8, II, 8°; 54 à 61 de la loi n° 2004-801 du 16 août 2004. 12 Cf. Milt Freudenheim et Robert Pear, " Health Hazard: Computers Spilling Your History" : « But the legislation has bogged down, largely because of differences over how to balance the health care industry's Interest in efficiently collecting, studying and using data with privacy concerns for tens of millions of ordinary Americans », The New-York Times, 3 décembre 2000. 13 À noter qu'il existe également un danger relatif à un profilage des données de connexions des internautes sur les sites médicaux. Il ne s'agit donc pas de données personnelles de santé stricto sensu. Ces données permettent cependant d'établir un profil de l'internaute en fonction des rubriques qu'il consulte. Un encadrement de ces sites est donc vivement recommandé par la CNIL: délibération n° 01-011 du 8 mars 2001 portant adoption d'une recommandation sur les sites de santé destinés au public. 173
La sécurité de l'individu numérisé
santé panni les données personnelles (1) puis, la tentation de la commercialisation des données de santé, malgré l'existence d'une protection, sera étudiée (II). I - Données personnelles,
données de santé
Dans le rapport adopté par le Conseil national de l'Ordre des médecins en juin 2000 14, le professeur Lilliane Dusserre observait: « À notre époque 15personnelles constituent une ressource stratégique essenles informations tielle dans beaucoup de domaines et tout particulièrement dans le domaine commercial. Sur le plan décisionnel l'accès à certaines informations permet aux décideurs d'anticiper sur les évènements, c'est-à-dire de prévoir la demande des clients pour mieux faire face à la concurrence. Il en résulte que la valeur économique des informations personnelles ne cesse de croître, qu'elle devient un objet de convoitise, voire la cible de malfaiteurs, et que les législateurs français et européens s'en sont déjà préoccupés. L'information médicale n'échappe pas à ce constat, en plus sa commercialisation acquiert un intérêt tout particulier dans la mesure où la santé représente un secteur 16. Le degré de protecd'activité qui concerne l'ensemble de la population» tion de ces données dépendra de la façon dont elles seront définies et de la nature juridique qui leur sera reconnue. L'idée qu'à un degré ou à un autre ces données puissent avoir un caractère patrimonial, commercialisable ou marchand ouvrirait alors des perspectives pleines de menaces pour les libertés. Le problème est que le statut juridique de ces données n'est pas universel et que les individus eux-mêmes n'ont pas toujours conscience de la manière dont elles peuvent leur être extorquées. Par ailleurs, les débats menés aux États-Unis sur l'ouverture aux entreprises des dossiers de santé soulignent l'actualité de la remise en cause des positions adoptées en ce domaine n . 14 http://www.web.ordre.medecin.fr/rapport/ commercialisation.pdf 15 Le professeur Lilliane Dusserre utilise les termes « données» et « informations» remment. . 16 0 'P. ett., p. 1 .
17
indiffé-
Cf. Robert Pear, "Employers Push White House to Disclose Medicare Data", « Employers want to use the data to compare and rate doctors and to rein in soaring health costs - the very purpose advocated by the president. The data would show, for example, which doctors performed the most knee operations with the fewest complications. Employers said they could then compare the average cost per case for different doctors. And they could steer patients - workers, and retirees and tneir dependents - to doctors who achieved the best results and offered the best value ». « The Medicare data would be a gold mine of information,» said Maria M. Ghazal, director of public policy at the Business Roundtable. Medicare handles more than a billion claims a year. 174
La commercialisation des données personnelles: l'exemple des données de santé et du DMP
Une interrogation sur le statut juridique des données de santé (A) doit donc être menée avant de mesurer les implications du DMP (B). A
- Les données personnelles
et le statut juridique
des données de santé
Le problème qui se pose à ce niveau est lié à la recherche d'une double adéquation. Celle d'une définition juridique donnée confrontée à une évolution technologique permanente d'une part. Et, d'autre part, celle de l'adéquation entre des conceptions quasi différentes de la nature juridique des données personnelles dans un monde où les activités concernées dépassent largement les frontières nationales et régionales. Une illustration du premier type d'interrogation ressort de deux observations que l'on peut lire dans une publication de l'OCDE: «Le droit à la vie privée et au secret médical est considéré comme acquis dans les pays de l'OCDE. Or avec les nouvelles technologies de la génétique, les informations sur un patient peuvent fournir des indices sur la santé et les caractéristiques physiques de toute sa famille, et même sur ses futurs enfants. Alors que l'on cherche à améliorer les performances des données dans le domaine de la santé, existe-t-il des systèmes de protection des données suffisamment solides pour prendre en charge ces nouvelles réalités? (...) Si toutes les directives actuelles mentionnent la nécessité de "mesures appropriées" pour protéger les données, on n'est pas encore parvenu à préciser ce que doit recouvrir le terme "appropriées", ni comment cela peut se traduire dans la . 18 pratique» . De la différence de nature juridique des données personnelles découlera, par ailleurs, la possibilité d'envisager que l'on puisse admettre ou non l'éventualité d'une consultation voire une commercialisation de celles-ci 19. Le débat sur la protection de la vie privée, dans le domaine de la santé, aux États-Unis, en fournit de très nombreuses illustrations 20.
18
Eletta Ronchi et Anne Carblanc, Direction de la science, de la technologie et de l'industrie de l'OCDE, in "Vies privées'; L'observateur de l'OCDE, novembre 2001, p. 21. 19 Cf. Robert Pear, « Employers Push White House to Disclose Medicare Data», The New York Times, 2 avril 2006 20 Milt Freudenheim et Robert Pear, « Health Hazard: Computer Spilling Your History », The New York Times, 3 décembre 2006. http://www.nytimes.com/2006 / 12/03 /business / yourmoney / 03health.html?ei =5090&en = o2c0f7946b4e3d9d&ex= 1322802000&partner=rssuserland&emc=rss&pagewanted = all
175
La sécurité de l'individu numérisé a) Définitions
.
et statut
juridique
des données
de santé
Définitions des données de santé Les données de santé sont des données personnelles (cf. art. 1 alinéa 1er de la loi n° 2004-801) 2\ que l'on qualifie de données sensibles (cf. art. 8, alinéa 1er de la loi 2004-801). Le développement de la science, en matière de génétique par exemple, peut susciter des interrogations sur l'évolution possible de leur protection. Il est juridiquement plus exact de parler de données de santé à caractère personnel dans la mesure où il existe des données de santé publiques dont le statut peut être moins protecteur. La CNIL reprend d'ailleurs l'expression
de données de santé à caractère personnel
22.
Il s'agit donc d'une catégorie
de données à caractère personnel. On soulignera à ce propos le processus de ce qui peut être une tentative de faire évoluer le statut de ces données. Il joue sur la volonté de confondre données publiques et données personnelles. Si les données publiques sont « l'ensemble des données produites dans le cadre de l'activité du service public» 23, le discours néolibéral, par exemple, et notamment celui du Medef 24, cherche à amalgamer les données personnelles avec les données publiques 25, pour en revendiquer la mise à disposition du secteur privé. Ce n'est pas encore le cas mais le gisement est convoité par les entreprises que l'on soit à New York ou à Paris 26.
.
Le statut des données de santé Il n'y a pas de droit de propriété sur les données personnelles. Il existe un débat sur cette question: « C'est la perception intuitive, qui veut que selon des modèles économiques du web naguère très florissants, mais toujours présents, on cède ou « vende» ses données personnelles, en échange 21 Article 1er alinéa 1cr de la loi n° 2004-801 : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiabfe, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne» : loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JO, n° 182, 7 août 2004,
~.2 14063.
Voir par exemple: déclaration CNIL n° 01-011 du 8 mars 2001 portant recommandation sur les sites de santé destinés au public. 23 Bruguière a-M.), Les données publiques et le droit, Litec, 2002, p. 5 24 Mouvement des entreprises de France. 25 Voir infra.
adoption
d'une
26«The Medicare data would be a gold mine of information," said Maria M. Ghazal, director of public policy at the Business Roundtable », New-York Times, 11 avril 2006. 176
La commercialisation des données personnelles: l'exemple des données de santé et du DMP
notamment de services gratuits. Et il est vrai que si un droit de propriété doit être reconnu sur les données personnelles, ce droit de propriété devra plutôt être conféré à la personne qui est concernée par les données qu'au détenteur de la base de données» 27, Certains y voient d'ailleurs un moyen pour encourager le développement de l'administration électronique 28. Il existe cependant des arguments juridiques contre la reconnaissance d'un tel droit: Ces données ne peuvent pas être librement dent en effet de la loi (état civil). La législation sur l'informatique et les sur l'idée des droits de l'Homme plutôt faut d'ailleurs reconnaître qu'« un droit mais les droits de l'Homme ne peuvent sactions » 29,
pu
Elles dépen-
libertés est davantage basée que celle de la propriété. Il de propriété peut être vendu jamais faire l'objet de tran-
La reconnaissance d'un droit de propriété nelles fonderait des relations contractuelles . :\O services
modifiées.
sur les données personentre les usagers et les
bli cs'.
L'absence de droit propriété sur les données personnelles est un élément protecteur pour les usagers, complété par les recommandations de la CNIL et l'encadrement législatif sur le traitement des données de santé à caractère personnel :\1. Dans une recommandation de 1997 :\2, elle préconise ainsi la nécessité de garantir l'anonymat des patients avant toute transmission de données le concernant. Elle rappelle, sur le fondement du code de la santé 27
Truche (p.), Administration électroniqueet protection des donnéespersonnelles: Livre blanc, Paris, La Documentation française, 2002, p. 76. 28 Chatillon (G.), « L'Administration électronique a le visage de l'usager», ZDNet, 6 février 2003. Disponible sur http://www.zdnet.fr/actualites/telecoms/0.39040748.2130021.00.htm 29 Margaret-Jane Radin, citée par Arnaud Belleil, ePrivacy,Dunod, 2001. 30 L'usager est ainsi dans une situation réglementaire et législative de droit public vis-à-vis des SPA (Services publics à caractère admtnistratif). La reconnaissance d'un tel droit pourrait donc remettre en question les relations juridiques entre les patients et les services publics hospitaliers. 31 L'article 1er alinéa 2 de la loi n° 2004-801 dispose: « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ». 32 Délibération n° 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données de santé à caractère personnel. 177
La sécurité de l'individu numérisé
publique, l'interdiction d'utiliser à des ftns de promotion ou de prospection commerciales des données dès lors qu'elles sont associées à l'identiftcation du professionnel de santé. La CNIL recommande le recueil du consente1er ment des personnes. L'article 8 alinéa de la loi 2004-801 dispose: « Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». Il importe également de s'interroger sur la place des données génétiques parmi les données médicales personnelles. Si, ainsi que l'observaient Elettra Ronchi et Anne Carblanc 33, « les données génétiques sont généralement couvertes par les lois sur la protection et la conftdentialité des données personnelles, combinées dans la plupart des pays avec un recours à une protection constitutionnelle ou à une législation des droits de l'Homme. Cet arsenal peut ne pas suŒre pour couvrir les informations très précises et très détaillées que contiennent les données génétiques et génomiques. L'empreinte génétique d'une personne peut révéler des informations importantes non seulement sur l'individu concerné mais aussi sur les membres de sa famille, comme par exemple une prédisposition héréditaire au cancer du sein ou à la maladie de Huntington qui pourront avoir ultérieurement une incidence considérable sur son existence, notamment sur le choix d'avoir des enfants et même sur son assurance-vie. C'est pourquoi la protection des données dans ce domaine est une importante question politique. » Ces deux spécialistes soulignent qu'en l'espèce il sera important de clarifter plusieurs points en ce qui concerne les données fournies par les tests génétiques. Entre autres la déftnition de données personnelles par rapport à la génomique « et la distinction entre données génétiques/génomiques et les autres données sur la santé ». Le contexte de l'utilisation de ces données devra également être pris en compte selon que la collecte des données aura lieu à des ftns médicales, de recherche ou d'enquête criminelle, par exemple. Les mêmes conditions ne doivent pas s'appliquer selon que le but de l'utilisation des données personnelles concerne les domaines de la santé publique, de la sécurité publique ou du commerce. Or, concluent Elettra Ronchi et Anne Carblanc : « si toutes les directives actuelles mentionnent la nécessité de « mesures techniques appropriées» pour protéger les données, on n'est pas encore parvenu à préciser ce que doit recouvrir le terme « appro33
ln Vies privées,L'Observateur
de l'OCDE, novembre 2001, p. 21. 178
La commercialisation des données personnelles: l'exemple des données de santé et du DMP
priées », ni comment cela peut se traduire dans la pratique. Et il y a eu peu de débats sur les conséquences possibles d'un anonymat irréversible des principales données sur la santé, ou pour savoir si cela est vraiment souhaitable. Dans certains cas l'identification d'individus peut être importante, par exemple si une mutation génétique révèle que chez certaines personnes un médicament peut entraîner des effets secondaires avec risque de mort» 34. b) Données personnelles
et données marchandes
La conception tendant à rattacher les données personnelles au concept de droit de l'Homme insusceptible de transactions est loin d'être universelle. Discutée par la doctrine dans le contexte européen, elle ne fonde pas le régime juridique qui leur est reconnu dans certains pays. Aux États-Unis, par exemple, le fait que ces données soient actuellement protégées ne repose pas sur la reconnaissance à leur égard d'une nature juridique particulière. Protégées aujourd'hui par la loi, rien ne s'oppose à ce que leur régime juridique soit modifié sans avoir à se prononcer sur un changement de leur « nature juridique». Cette observation de l'administration Bush, rapportée dans le New-York Times, à propos de la revendication de mise à disposition des fichiers du système Medicare, nous paraît fournir une illustration de la véritable différence culturelle qui existe sur ce point entre les États-Unis et l'Union européenne: « Administration officials said they shared the employers' goals, but were constrained by court rulings that limited the disclosure of data showing Medicare payments to individual doctors, identified by name. Employers disagree, saying those court rulings are no longer relevant» 35. B - Le DMP et sespossibles implications Conçu comme un instrument de rationalisation et de bonne gestion des dépenses de santé, le DMP, qui pour des raisons budgétaires semble être mis entre parenthèses, peut apparaître comme un formidable gisement d'informations dont l'existence peut stimuler l'imagination du secteur marchand. Au fur et à mesure que s'élaborait le projet du DMP, sont apparues des difficultés relatives à la protection des données personnelles qui incitent à la prudence dans la mise en place de ce système.
. 0 Clt.,p. 21 . 35 'P. The New-York Times, 11 avri12006. 34
179
La sécurité de l'individu numérisé
a) Le projet DMP Le DMP a connu des précédents. Le centre hospitalier universitaire de 36 qui permet de Lille a ainsi élaboré en 2000 une plate forme informatique fluidifier l'échange d'informations médicales avec les professionnels de santé de la région, grâce au logiciel « Rithme» créé par l'entreprise lilloise 37. PLANET Company Il correspond à une volonté de rationalisation et d'amélioration de la gestion du système de santé en tenant compte des apports de l'informatique. Le principe d'un dossier médical mettant à la disposition du corps médical, avec l'accord préalable du patient, des informations médicales le concernant a été posé par la loi sur les droits des malades du 4 mars 200238.
Il a été créé par la loi du 13 août 2004 relative à l'assurance maladie
39
qui
comporte des dispositions sur l'organisation de l'offre de soins et la maîtrise médicalisée des dépenses de santé, l'organisation de l'assurance maladie et le financement de l'assurance maladie. Outre un volet destiné à la prévention, ce dossier comprendra l'ensemble des données recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, notamment des informations qui permettent le suivi des actes et des prestations de soins. Dans le respect des règles déontologiques applicables et des dispositions du code de la santé publique, « chaque professionnel de santé exerçant en ville ou en établissement de santé, quel que soit son mode d'exercice, devra reporter dans le DMP à l'occasion de chaque acte ou consultation, les éléments diagnostiques et thérapeutiques nécessaires à la coordination des soins de la personne prise en charge ». Les professionnels de santé habilités des établissements de santé reporteront également sur le DMP les principaux éléments résumés relatifs à un séjour hospitalier. La CNIL, qui a été saisie pour avis par le gouvernement du projet de loi de réforme de l'assurance maladie, s'est prononcée dans une délibération du 10 juin 200440. Elle a admis que les assurés sociaux ne soient pas réellement
36
Sous la direction de Régis Beuscart. 37180, rue Eugène-Avinée, 59120 Loos. 38 Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, JO, n° 54, 5 mars 2002, p. 4118. 39 Loi n° 2004-810 du 13 août 2004 relative à l'assurance maladie, JO, n° 190, 17 août 2004, p. 14598. 40 Disponible sur le site: http://www.cnil.fr/index.php?id=1614. 180
La commercialisationdes données personnelles: l'exempledes données de santé et du DMP libres de refuser l'accès à leur DMP 41, mais elle a demandé que des garanties appropriées, de nature à préserver la vie privée des individus et la confidentialité des données, entourent la mise en place de ce dossier. Elle a ainsi préconisé que la commercialisation des données susceptibles d'être portées dans le DMP soit interdite. La loi a pris en compte ces remarques puisqu'elle insère, dans l'article L. 1111-8 du code de la santé publique, cette disposition: «Tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine des sanctions prévues à l'article 226-21 du code pénal» 42. Le DMP n'est pas accessible dans le cadre de la médecine du travail. Le DMP sert d'exemple pour des initiatives similaires. Le 15 mai 2007, la CNIL a ainsi autorisé pour une durée de six mois l'expérimentation du dossier pharmaceutique dans six départements (Doubs, Meurthe-et-Moselle, Nièvre, Pas-de-Calais, Rhône et Seine-Maritime). Le dossier pharmaceutique (DP) sur Internet a pour objet de permettre aux pharmaciens de partager les données nominatives relatives aux délivrances de médicaments, afin de prévenir les interactions médicamenteuses. Ces dossiers seront hébergés
. ., par un prestatau:e pnve b) Les implications
43
.
et les risques de l'extemalisation
Le DMP sera hébergé chez un organisme spécialement agréé. Il s'agit d'un exemple d'externalisation d'un traitement de données à caractère personnel. Dans ce contexte spécifique, un hébergeur peut être défini comme un organisme qui tient « les données de santé à caractère personnel qui ont été déposées» auprès de lui «à la disposition de ceux qui les lui ont confiées » 44.
41 La CNIL estime que la subordination du niveau de remboursement des soins à l'accès du professionnel de santé au DMP est justifiée par un motif d'intérêt général, puisque le projet vise à « sauvegarder l'assurance maladie ». 42 L'article 226-21 du code pénal: « Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregtstrement, de leur classement, de leur transmission ou de tout autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300000 euros d'amende ». Il s'agit de peines très importantes. Voir 1a jurisprudence tout de même. 43 http://www.cnil.fr/index.php?id=2223. 44 Article L. 1111-8 du code de la santé publique. 181
La sécurité de l'individu numérisé
Les conditions de l'agrément sont désormais fIxées par le décret n° 200645qui organise la procédure d'agrément et fIxe le conte6 du 4 janvier 2006 nu du dossier qui doit être fourni à l'appui de la demande. Cet agrément est délivré par le ministre chargé de la Santé, qui se prononce après avis de la CNIL et du Comité d'agrément créé auprès de lui. Il s'agit d'une procédure particulière et préalable qui s'applique sans préjudice des dispositions propres à la loi Informatique et Libertés 46. La loi encadre fortement cette externalisation puisque les hébergeurs ne peuvent « transmettre les données à d'autres personnes que les professionnels de santé ou établissements de santé (...) » 47. 48 La loi de 2004 prévoit enfIn qu'un décret en Conseil d'État, pris après avis de la CNIL, détermine les conditions dans lesquelles un identifIant peut être utilisé pour l'ouverture et pour la tenue du DMP tel que déftni à l'article L. 161-36-1 du code de la sécurité sociale, dans l'intérêt de la personne concernée et à des fIns exclusives de coordination des soins. Ce décret n'a pas encore vu le jour. Le DMP fait actuellement l'objet d'une eXpérimentation au sein de treize régions et dix-sept sites pilotes retenus par le groupement d'intérêt public du dossier médical personnel (GIP-DMP) 49. La CNIL a autorisé cette expérimentation, mais a insisté sur le fait que les bases de données des hébergeurs doivent faire l'objet d'un chiffrement complet pour assurer pleinement la confIdentialité des données: «Une architecture de sécurité reposant uniquement sur le chiffrement des canaux de télétransmissions et
45
Décret n° 2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires), JO, n° 4 du 5 janvier 2006, page 174. 46 http://www.cnil.fr/ftleadmin/ documents/ approfondir/ dossier/ sante/procedure_ hebergeurs_sante.pdf 47 Article L. 1111-8 du code de la santé publique. 48 Titre 1er, section 1, article 2. 49 Six consortiums chargés de l'hébergement ont été agréés par décision du ministre de la Santé du 22 mai 2006, après avis de la CNIL du 21 mars 2006 et du comité d'agrément placé auprès du ministre du 16 mai 2006, conformément au décret du 4 janvier 2006 précite. Il s'agit: - Cegedim- Thalès créé - D 3 P(R..C:;S/ Cegetel-
Microsoft
- Medcost/Doctissimo)
- France Télécom-IBM-CAP GEMINI-SNR - i~ Vita-Accenture-La Poste-Neuf Cegetel-Intra Cali Center- Jet Multimedianucrosystems - Santeos (Atos-Unimedecine-HPStrateos-Cemer) - Siemens-Bull EDS
182
Sun
La commercialisation des données personnelles: l'exemple des données de santé et du DMP
sur un contrôle d'accès au système informatique n'est pas suffisante au regard de la sensibilité des données médicales» 50. La question est de savoir dans quel état d'esprit est menée cette expérimentation par les prestataires. Lors d'un colloque parlementaire du 13 juin 2005, Dominique Gerbod, directeur "Santé" de Microsoft France affirmait: « réussir le DMP passe par une approche autour du retour sur investissement pour les différents acteurs» et proposait de « casser les clivages en mettant en place des outils de partage, de collaboration et d'échanges; sécuriser l'information liée aux patients à travers une gestion simplifiée des cartes à puces et une gestion des accès aux documents sur le poste de travail; fournir aux gestionnaires des outils de pilotage et de programmation de l'activité et des ressources »... Sans qu'il soit naturellement question ici de faire un quelconque procès d'intention à qui que ce soit, on peut quand même se demander ce qu'il adviendrait si les « ressources» en question devenaient un jour accessibles au banquier auquel un individu demanderait un crédit, un assureur, un bailleur ou un employeur. Sans doute n'en est-il pas question aujourd'hui... mais demain? Et si ces données étaient sous-traitées hors d'Europe dans des pays où les libertés de l'information et du commerce seraient définies selon d'autres paramètres?
II - La protection des données et la tentation de la commercialisation L'analyse des discours sur la commercialisation des données personnelles CA) conduit à s'interroger sur les risques existants et futurs en la matière ainsi que sur les mesures possibles pour les éviter (B). A - AnalYse des discours sur la commercialisation des donnéespersonnelles Le Medef ne parle pas explicitement des données personnelles de santé. Derrière son discours favorable à la commercialisation des données publiques, se cache cependant une volonté de favoriser l'utilisation commerciale des données personnelles dont celles portant sur la santé. a) Le cheval de bataille de la conception
libérale du rôle de l'État
Si, à l'origine, le Medef semble s'inscrire dans une logique de communication des données publiques telle que le concevait la Commission européenne dans sa communication du 26 septembre 2003, pour une meilleure . 50 0 'P.etl. 183
La sécurité de l'individu numérisé
communication des informations fournies par le secteur public, son livre blanc fait état de ce que l'on peut considérer comme une dérive inquiétante pour la protection de la vie privée. Le Medef souhaite en effet la commercialisation des données publiques et l'amalgame entre ces dernières et les données personnelles. 1. Dans le livre blanc qu'il a publié le 14 janvier 2004, le Medef affiche un discours volontariste dont la priorité n'est pas l'individu, personne physique. Allant même au-delà, il affirme que si tel était pour l'État sa priorité, celle-ci est à changer: «La priorité actuelle des pouvoirs publics paraît se concentrer sur des applications tournées vers les personnes privées, applications probablement perçues comme plus porteuses d'une image de modernisation. Mouvement des entreprises, le Medef entend renverser cette perspective et insister d'autant plus sur la priorité « entreprise» qu'il faut tenir compte de trois éléments (dont) : [...] « - le danger qu'il y aurait à mettre une trop forte pression sur les applications liées aux personnes physiques, dans la mesure où celles-ci peuvent soulever des problèmes lourds en matière "Informatique et Libertés" susceptibles de provoquer à terme un blocage ou un coup de frein; les applications liées aux personnes morales ne soulèvent pas ces problèmes; «- le progrès que constituerait la participation des entreprises à la conception des systèmes en tant que partenaires à l'échange, dans les réseaux d'information interactifs et évolués. L'administration électronique n'est pas en effet un sujet qui va dans un seul sens. Il ne s'agit pas uniquement d'aspirer des informations, en automatisant des formulaires. L'enjeu, c'est de permettre également aux partenaires de l'administration d'avoir accès aux informations qui les intéressent au moment où ils en ont besoin (...). Il ne fait pas de doute que les entreprises sont mieux placées pour jouer ce rôle d'interlocuteur actif, participant à la conception des systèmes, que des particuliers. Même si certaines administrations entendent désormais les appeler leurs "clients" » 51.
Simple observation innocente d'une offre de collaboration technique ou OP A sur la mise en place de l'administration électronique en plaçant les entreprises au centre des réseaux et des systèmes d'échanges informatisés que développe l'administration?
51
Livre Blanc du MEDF, 14 janvier 2004, p.S. 184
La commercialisation des données personnelles: l'exemple des données de santé et du DMP
Le caractère extrêmement directif des principales conclusions du livre blanc ne plaide pas en faveur d'approches philantropiques et citoyennes. Il suffit encore de les évoquer sans avoir à lire entre les lignes: «L'administration électronique doit être conçue comme un chantier exemplaire de partenariat public/privé. Les obstacles gênants des formes efficaces et réactives du travail, qu'il s'agisse d'apports de compétence dans la mise en œuvre des projets 52, de réalisations conjointes dans la promotion de certains systèmes de circulation des données utiles au développement d'un secteur d'information à valeur ajoutée ou du fonctionnement fluide des marchés publics, devront être analysés et supprimés... Il faut en effet permettre une circulation aisée et sans rupture de charge entre les systèmes de gestion des entreprises, les systèmes de communication avec l'administration et les systèmes administratifs... L'administration doit s'attacher à mesurer les progrès accomplis et à en rendre compte de manière transparente, vis-à-vis de ses partenaires. Ceci amène à identifier les différentes sources de freins, notamment les éventuels freins juridiques, et à adopter dans les évaluations une optique transversale, multi-canal, conforme à la perception externe des performances administratives» 53. L'évaluation, par hypothèse de départ impliquant les entreprises et non les individus. Reste à savoir si ce qui est bon pour l'entreprise l'est nécessairement pour le citoyen... fut-il client? Dans un partenariat public/privé, qui exclut les personnes physiques au profit des entreprises, l'efficacité comme critère et les «verrous juridiques» comme obstacles à éliminer, il est difficile de ne pas voir de possibles éléments de dérives aux dépens des administrés. La préconisation du recours aux ordonnances en ce domaine ne fait pas preuve d'une grande volonté de débat participatif sur ces questions 54. 2. Le Medef, partisan du plus large réemploi possible des données utilisées par l'administration, va nettement plus loin lorsqu'il « préconise une réutilisation des données telles que l'identité des entreprises, des personnes, des immeubles et l'identité bancaire» 55. C'est de protection des données
52
Qui pose juridiguement le problème de l'expertise dans l'élaboration dçs normes, du statut juriaique des reférentiels, ae la confusion entre expertise et client de l'Etat, etc. 53 Livre Blanc du Medef, 14 janvier 2004, p. 7. 54 « En France la modification d'un texte par ordonnance est un vecteur intéressant que le Medef encoura~e chaque fois qu'un texte est un frein au développement de l'administration électronique» (version Medef s'entend), Livre Blanc, p. 29. 55 Renard (L.), « Médecine du travail: la directrice et son adjoint gardés à vue», Var-Matin, 20 janvier 2005, p. 2. 185
La sécurité de l'individu numérisé
personnelles et de la vie privée face aux entreprises qu'il s'agit alors, et le débat n'est pas anodin. Le fait de pouvoir aller vérifier les données d'un candidat à une assurance dans une banque de données de santé, fait partie de ce que le Medef appelle « avoir accès aux informations qui les intéressent, au moment où ils en ont besoin». Sans doute non en l'état actuel des choses. Mais le Medef incite à aller prendre exemple sur les meilleures pratiques des pays étrangers et, comme nous le verrons, il est des pays étrangers où cela se pratique habituellement. Reconnaissons, sans faire de mauvais esprit que sans y changer une lettre la plaidoirie des représentants de grandes entreprises pourrait en fournir une justification. Une légère paranoïa en ce domaine peut avoir un intérêt préventif. b) Les expériences déjà en cours de commercialisation des données personnelles Des expériences de commercialisation des données personnelles sont à relever aux États-Unis et en France. Le développement aux États-Unis de ce que l'on appelle les Brockers d'information fournit un exemple d'utilisation par le secteur privé d'informations et de données qui peuvent être personnelles et trouvent leur il origine dans le secteur public au profit du secteur privé 56. Paradoxalement arrive même que le secteur public soit client de ce type de fournisseur. ChoicePoint 57, fournisseur privilégié du gouvernement (FBI et administration fiscale-IRS), peut ainsi grâce à des listes de réservation d'hôtel, de voitures, de retrait d'argent, données d'organismes de crédit et divers achats, patrimoine, condamnations, traquer des individus. En dehors du fait qu'ils portent atteinte, selon les critères européens, à la protection de la vie privée, ils offrent, par manque de protections 58 et de vérification suffisantes, la possibilité à des délinquants de vols d'identité par bris de confidentialité. ChoicePoint en février 2005, par exemple, a été au centre d'une affaire en ayant donné accès à des criminels à d'énormes banques de données personnelles par manque de contrôle de sa clientèle 59. « C'est une 56 Par exemple: Choice point (http://www.choicepoint.com/) ; et Intelius ~ttp:/ /www.intelius.com/). 7 http://www.choicepoint.com/. 58 http://www.kitetoa.com/Pages /T extes /Les_Dossiers / Admins / Admin 7/ choicepoint. html. 59 Il semble que les voleurs ont agi au nom de diverses entreprises en ouvrant plusieurs comptes chez ChoicePoint et ont ainsi reçu des renseignements détaillés sur au moins 145000 Américains comme des noms, adresses, numéros d'assurance sociale et rapports de 186
La commercialisation
des données
personnelles:
l'exemple des données
de santé et du DMP
catastrophe à laquelle il fallait s'attendre» afftrmait Philippa Lawson, directrice générale de la Clinique d'interêt public et d'Internet du Canada 60 (CIPPIC) de l'Université d'Ottawa. « Il est impossible d'autoriser la libre collecte, utilisation et divulgation de renseignements personnels sur le marché en pensant qu'il n'y aura pas de conséquences. Plus les bases de données sont importantes et plus elles sont attrayantes pour les voleurs d'identité. Plus il y aura de renseignements personnels enregistrés et transigés et plus le nombre de personnes qui subiront des préjudices à cause des décisions basées sur des renseignements erronés ou mal interprétés augmentera ». Le risque évoqué par Philippa Lawson sera de même nature si le modèle nord-américain est adopté en France et dans l'Union européenne. Les revendications du Medef sont claires en ce domaine. Il sera beaucoup plus élevé encore si les données dont nous parlons se retrouvent dans des pays tiers. Rappelons le texte de l'accord PNR qui a de quoi inquiéter en ce domaine: « s'appuyant sur le présent accord, rUE conftrme qu'elle ne fera pas obstacle au transfert de données PNR entre le Canada et les États-Unis, et que le même principe s'appliquera à tout accord similaire concernant le traitement et le transfert de données PNR». En France, l'exploitation commerciale des données médicales des patients est pratiquée par le consortium Thalès-Cégedim, comme l'explique, sur un ton ironique, M. Tavé : «Il était une fois une société «la Cogedim», dirigée par Jean-Claude Labrume qui avait mis au point le système Thalès. À environ six cent vingt médecins volontaires, elle avait fourni «gratuitement» un ordinateur, le logiciel Doc Ware, avec une base de données pharmaceutiques, un modem, les mises à jour et la maintenance du matérieL Ces praticiens, en contrepartie, s'engageaient à télétransmettre chaque nuit les actes de leur journée d'une manière anonyme.. Les diagnostics, pathologies et prescriptions étaient analysés et les informations médicales, ainsi recueillies, vendues sous forme de statistiques aux clients de la Cégedim, autrement dit aux laboratoires pharmaceutiques car 90 % des ftrmes pharmaceutiques étaient sous contrat avec la Cégedim. Thalès lui rapportait vingt millions de francs chaque année. Et tout le monde était content» 61.
solvabilité. ChoicePoint a été condamné par la Federal Trade Commission à 10 millions de $ d'amende et 5 millions d'indemnités. 60 h ttp: II WWW.Clpplc.ca.I 61 Tavé (D.),« Bienvenue chez Cégedim! », Pratiques,n° 12, pp. 18-19, décembre 2000. "
187
La sécurité de l'individu numérisé
B - Les risques et les mesurespossibles pour les éviter Ces risques s'appuyent directement ou indirectement pour pallier ces risques.
en effet sur des précédents qui touchent le DMP. Des mesures sont donc souhaitables
a) Analyse du marché de la commercialisation
des données
Des médecins du travail ont ainsi dénoncé les fuites informatiques des services de santé au travail dans la région de Pau, fm 2004. Des agents administratifs ont ainsi accédé à des données médicales détenues par des associations interprofessionnelles de médecine du travail 62. Le rapport de la mission Babusiaux sur l'accès des assureurs 63 complémentaires aux données des feuilles de soins électroniques (FSE) préconise que « les assureurs santé complémentaire puissent, dans certaines conditions, accéder aux données de santé contenues dans les FSE )). Cette transmission devra, selon les recommandations du rapport, « s'effectuer dans le respect du droit à la vie privée )). Deux solutions sont prônées pour sa mise en œuvre: le consentement « exprès)) de l'assuré ou l'anonymisation des données. En 2008, les assureurs et mutuelles devraient pouvoir formuler des demandes d'accès à certaines données de santé. Les mutuelles pourront ainsi bâtir des statistiques nouvelles, et proposer des tarifs en fonction des pathologies des individus. L'expérimentation du DMP a donné lieu à de grosses difficultés pour la sécurisation des données personnelles de santé. Des failles ont ainsi été décelées. L'expérimentation Santénergie (Consortium Siemens-Bull-EDS), qui se fait sur quatre sites (pays de Loire, Basse-Normandie, Limousin et MidiPyrénées) et qui concerne environ 5 000 dossiers, a ainsi posé de graves difficultés en novembre 2006. Le patient pouvait en effet accéder à son DMP simplement en utilisant un identifiant de connexion et un mot de passe qui lui étaient attribués au moment de son adhésion. Le mot de passe et le login étaient identiques et facilement décelables. Deux médecins, l'un en Mayenne, l'autre en Loire-Atlantique, ont ainsi réussi à « décrypter )) les logins et les mots de passe. Le code d'accès donné à chaque patient était en effet toujours composé selon le même principe: il commençait par les 5 premières lettres du nom du patient et se terminait par les deux premières lettres de 62
Renard (L.), « Médecine du travail: la directrice et son adjoint gardés à vue », Var-Matin, 20 janvier 2005, p. 2. 63 http://www.sante.gouv.fr/htm/actu/babusiaux/sommaire.htm. 188
La commercialisationdes données personnelles: l'exempledes données de santé et du DMP son prénom 64. Le GIP-DMP a réagi en exigeant que le consortium une meilleure sécurisation de son système 65.
élabore
b) Mesures possibles pour la protection des données Il existe certes des verrous juridiques à une commercialisation des données de santé, mais ceux-ci semblent bien faibles face au discours néolibéral et aux exemples anglo-saxons vus précédemment. Les mesures possibles pour la protection des données sont donc à un autre niveau que celui de l'interdiction législative. Il s'agit de repenser les techniques juridiques de l'externalisation de l'hébergement des données et partant, de celle des prestations administratives. Cette réflexion revient à évoquer la notion d'infogérance. Le terme « infogérance » - qui ne connaît pas de déftnition légale ou réglementaire - signifte étymologiquement « la gérance de l'informatique». L'expression « gérance des systèmes d'information» - plus précise -lui sera préférée 66. La gérance peut être déftnie comme la mission de gérer 67, c'està-dire d'« administrer des intérêts, une entreprise, etc., pour son propre compte ou pour le compte d'autrui» 68. Il s'agit d'une mission très large «administrer» - qui peut s'entendre comme la possibilité de pouvoir prendre des actes relatifs à l'activité en cause, actes qui sont fonction de l'implication du gérant dans le processus de gérance. L'infogérance ne doit donc pas être assimilée à une externalisation pure et simple des systèmes d'information. Le mouvement actuel de l'infogérance tend cependant à prendre la forme d'une externalisation ; il en découle une confusion entre les deux termes. Cette confusion doit être évitée car même si le plus souvent l'infogérance est conftée à un prestataire extérieur, elle peut également être assurée en interne. L'infogérance est une opération juridique complexe qui peut aller de la simple fourniture de matériels informatiques jusqu'à la délégation de gestion
64
Landais (R.), « Le dossier médical personnel 24 novembre 2006, p.S.
65
trop facilement piratable », Le Parisien,
Voir le communiqué du GIP-DMP sur ce point:
http://www.d-m-p.org/ docs/ communiqueGIP _DMPdu2111 06.pdf 66 La définition du système d'information est plus large que celle d'informatique car elle englobe également des aspects organisationnels et humains. Un système d'information est en effet « un ensemble organisé de ressources: matériel, logiciel, personnel, données, procédure permettant d'acquérir, de traiter, de stocker, de communiquer des informations (sous formes de données, de textes, d'images, de sons. . .) dans les organisations ». 67 Cornu (G.) (Dir.), Vocabulairrjuridique, PUF, 3" édition, 1992, p. 383. 68 Petit Larousse, édition 2001, p. 474. 189
La sécurité de l'individu numérisé
de prestations administratives. Il en découle une multitude de configurations d'infogérance qui varient en fonction des techniques juridiques utilisées. En cas d'infogérance externalisée, il peut s'agir d'un marché public, d'un contrat de partenariat public-privé ou encore, d'une concession de service public. Si l'infogérance est assurée en interne, elle peut être mise en œuvre par une régie directe, voire par un établissement public de coopération intercommunal (EPCI) afin de mutualiser les connaissances entre les collectivités locales. La protection des données de santé doit donc être recherchée à travers un équilibre entre une infogérance externalisée, qui est nécessaire pour obtenir une expertise technique et juridique que ne possède pas forcément la personne publique, et une infogérance interne, propre à assurer l'indépendance de l'administration. On peut, par exemple, envisager que l'hébergement soit confié à un service administratif de l'Etat assuré en régie directe, comme La Documentation française ou l'INSEE, sous le contrôle de la CNIL ou d'une autorité administrative ad hoc. Cette infogérance interne serait complétée par la passation de contrats administratifs ou de droit privé en vue de la location ou de la location-vente de produits ou matériels informatiques nécessaires à l'hébergement des données de santé.
190
Appropriation et eXploitation des bases de données: le droit SN;generis, les mesures techniques de protection et les mesures anti-contoumement peuvent-elles entraîner la monopolisation de l'information? ESTELLE DERCLAYE Lecturer, Université de Nottingham, Faculté de droit Résumé Cet article aborde la question de savoir si la combinaison du droit sui generis sur les bases de données, les mesures techniques de protection et les mesures anti-contournement entraînent la monopolisation de l'information. La réponse à cette question est importante pour la sécurité des individus car si seulement un petit nombre d'individus peut avoir accès aux bases de données météorologiques, climatiques, médicales ou scientifiques plus généralement, la plupart d'entre nous ne peut promouvoir sa propre sécurité. De plus, les sociétés ou le gouvernement peuvent manipuler ces informations, les détruire, les perdre ou les cacher au détriment de notre sécurité. Le critère le plus précis pour déterminer une protection adéquate du droit sui generis et de ses protections complémentaires ou alternatives (dont notamment les mesures techniques de protection et les mesures anticontournement mais aussi les contrats et la théorie du parasitisme) doit être basé sur une combinaison de certaines justifications du droit d'auteur (utilitariste, économique et basée sur les droits de l'homme) et des intérêts protégés en droit d'auteur (ceux des auteurs, éditeurs et du public) vu ses aspects similaires. D'autres publications ont déjà montré que le droit sui generis en lui-même est déjà surprotecteur et doit être révisé. Cependant, il ne mène à une monopolisation de l'information que dans des cas très limités. Pour ces cas limités, le présent article examine si les deux autres couches de protection (les mesures techniques de protection et les mesures anticontournement) renforcent ces situations de monopoles. L'article envisage trois cas de surprotection possible: simultanée (protection en même temps
La sécurité de l'individu numérisé
et plus extensive que le droit sui generis), négative (protection alors que le droit sui generis ne peut être acquis) et a posteriori (protection après l'expiration du droit sui generis). Au £il de la discussion, on découvre que les trois types de surprotection peuvent intervenir au niveau de la mesure technique de protection mais pas toujours au niveau de la mesure anticontournement (pas de surprotection a posteriori ni négative). Pour ces cas de surprotection, l'article propose des remèdes, essentiellement des révisions des directives «bases de données» et «droit d'auteur dans la société de l'information» et ensuite les droits nationaux pour inclure des dispositions impératives empêchant les producteurs de bases de données: de se donner plus de droits que les droits de réutilisation d'extraction (par exemple droit d'accès et d'usage),
et
d'annuler les exceptions l'intérêt public,
et
d'empêcher le transfert principe de l'épuisement
qui reflètent
les droits
de la base de données et
de l'homme contrairement
de protéger la base par des mesures techniques l'expiration de la durée de protection ou de protéger res techniques des bases non protégeables ab initio.
au
même après par des mesu-
Entre temps, le droit de la concurrence et les droits de l'homme être utilisés pour empêcher de tels cas de surprotection au bénéfice sécurité à tous.
peuvent de notre
Introduction The database sui generisright (suigenerisright for short) is now more than 10 years old. As is known, the right originates in the 1996 Database Directive 1 and protects the substantial investment in obtaining (collecting), verifying or presenting the contents of a database. Even though it is meant to protect investment only, in reality it protects the materials (generally information) included in the database itself, as the database producer has the right to prevent any extraction or re-utilisation of a substantial part of the protected database. Many commentators therefore claimed that the new intellectual property right created a right on information per se that would ge-
1 Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the legal protection of databases, OJ L77 120, 27.03.1996 ("the Database Directive"). Member States had to implement the Database Directive for 1 January 1998. 192
Appropriation
nerate
monopolies
2. The
et eXploitation
protection
des bases de données
of databases
by the sui generis right
3
is
onlya first layer. Article 13 of the Database Directive specifically allows database producers to add additionallayers to the right to protect their databases. In other words, the right can be combined with several types of alternative protections having effects similar to that of the sui generis right, mainly parasitism, contracts, technological protection measures (fPMs 4) and their legal protection (the so-called "anti-circumvention provisions") 5. This accumulation can lead to over-protection by overriding the limits of the sui generis right, which in turn may entail monopolisation of information 6. This article examines whether the combination of two of these protections (the suigenerisright on the one hand and TPMs and anti-circumvention provisions on the other) leads to over-protection and monopolisation of information. In order to determine whether they do, a standard against which 2
See e.g. N. Mallet-Poujol,
« La directive
concernant
la protection
données: la gageure de la protection privative» [1996] 1 Droit de
juridique des bases de l'ÙifoT7Jlatzque et des telecoms
6, at 10 ; J. Re1chman & P. Samuelson, « Intellectual property rights in data?» [1997] 50 Vanderbilt Law Review 51, at 94; C. Geiger, Droit d'auteur et droit dupublic à l'infoT7Jlation, Approchede droit comparé,Litec, Paris, 2004, 268-273. 3 Throughout the article, unless otherwise provided, when the terms "database protection" or "the protection of databases" are used, they will refer to the protection of aatabases by the sui ,generisright exclusively and not by copyright as the articfe is not concerned by the protection of the structure of a database but the investment that went into its contents. This article assumes that the reader knows what TPMs are. They are basically technical means to protect copyright works and other subject-matter protected by rights related to copyright. EX!!llples of TPMs include cryptography, watermarking and Digttal Rights Management (DKM). For a description of the different types ofTPMs, see e.g. K. Koelman & N. Helberger, "Protection of Technological Measures", in P. Hugenholtz (ed.), C0l!Yright and electronzccommerce[2000] Kluwer Law International, The Hague, p. 166-169; S. IJusollier, Droit d'auteur etprotectiondes oeuvrrsdans l'universnumérique,Droits et exceptionsà fa lumièredes dispositifsde verrouillagedes oeuvres,Larcier, Bruxelles, 2005, p. 45 ff. For more details on the nature ofTPMs, see also below section IV. 5 Although article 13 does not list the protection of databases by TPMs and the legal protection against their circumvention (also called anti-circumvention provisions), as 1tSwording is "[tJhis Directive shall be without prejudice to provisions concerning in particular copynght, nghts related to copyright..." (emphasis added), TPMs and anti-circumvention provisions can be included as potential additional protections for databases. A stronger proof that TPMs and anti-circumvention provisions can protect sui generis right-J:>!otected databases is article 6 and specifically 6.4.5 of the Copyright Directive (Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society, OJ L167/10, 22 une 2001 ("The Copyright Directive")), which relates to the legalprotection ofTPMs, an expressly states that such protection applies to the Database Directive. 6 For more details on how over-protection can arise from the combination of the sui generis right and contract andlor parasitism, see E. Derclaye, The legalprotection of databases:a comparative anaqsis, Cheltenham, Edward Elgar, 2008, Chapters 3 and 4 and E. Derclaye, "Can and shoUld misappropriation also protect databases? A Comparative Approach", in P. Torremans, Research Handbook on Copyright Law, Cheltenham, Edward Elgar, December 2007, p. 83-108.
J
193
La sécurité de l'individu munérisé
to check this assertion is necessary (section I). It is a criterion against which features of the sui generisright can be said to be over- or under-protective and be rectified accordingly. In other words, its purpose is to determine an adequate (level of) database protection. Simultaneously, it informs whether the protection of databases by TPMs and anti-circumvention provisions is over-protective or not. The application of the standard to the suigenerisright itself shows that many of the features of the right are already overprotective per se (section II). The question whether the combination of the sui generisright with TPMs and anti-circumvention provisions reinforce these over-protective features can thereafter be tackled (section VI). Before doing this, a few preliminary issues and the exact scope of the study must be clarified (section III) and an explanation of the nature of TPMs and anticircumvention provisions (section IV) together with a brief overview of the legal protection of TPMs must be given (section V). The article concentrates mainly on EU law and its implementation in France. The analysis will show that TPMs and anti-circumvention provisions confirm and reinforce the over-protective features of the sui generisright and increase the possibility of monopolisation of information. The article proposes remedies to the over-protection and monopolisation arising from the use of TPMs and anticircumvention provisions on databases (section VI). A final but central point must be made. How do the issues in this article relate to the security of data or information 7? The data the article is concerned with is "public data" (i.e. data that can be disclosed to the public as opposed to data confidential by nature) as the Database Directive seems to deal exclusively with publicly disclosed databases (see art. 8, 9, 10 of the said Directive). It makes sense as, in order to recoup their investment, database producers must commercialise their databases i.e. make them public. Generally, personal data will be kept confidential at the request of the individual and be subject to the rules of the Data Privacy Directive 8.No doubt many of the contributions at this conference [in this book] will touch upon the security of this data. On the other hand, "public information" included in databases is also very important to every individual on the planet and has 7 Throughout the article, the terms "data" and "information" will be used interchangeably to mean data comprehensible to man. On the differences of meaning between the terms "data" and "information", see E. Derclaye, "What is a database? A critical analysis of the definition of a database in the European Database Directive and suggestions for an international definition" [2002] 5 JWIP 6, p. 1004-1005. 8 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281,23.11.1995, p. 31-50. 194
Appropriation et eXploitationdes bases de données a strong impact on everyone's personal security. This is because many databases generally contain scientific data e.g. medical discoveries, genomic data informing on diseases and remedies, climate, meteorological and geographical data which inform on our safety on the planet 9. If this information is monopolised, only a few individuals may be able to "save themselves" or worse, it can be kept confidential by companies whose interest is to hide data which could endanger their economic growth or existence (e.g. oil companies wishing to resist the move towards other greener sources of energy). In addition, as the information is held only by one source, it can be either lost or manipulated. It is the security not only of individuals but of the data itself which is then at risk. It now becomes clear that the possibility that the sui generis right in combination with TPMs and anti-circumvention provisions has to monopolise such information is a great source of concern.
I - Criterion establishing an adequate database protection In order to determine whether the sui generisright itself and in combination with TPMs and anti-circumvention provisions over-protects database producers' investment, a yardstick needs to emerge. It would be too long to detail the complete argumentation that leads to the discovery of the standard here but the reader is referred to it elsewhere 10.For the purposes of this article, a summary of such argumentation is sufficient. Accordingly, it is appropriate to refer to copyright when trying to determine such standard because the suigenerisright is akin to copyright and related rights. This involves analysing the justifications for having copyright and the interests protected by copyright law as they can help in the determination of this yardstick. Indeed, those justifications and interests shape the checks and balances that exist within copyright law. A review of the justifications (naturalist, utilitarian, economic and based on human rights) and of the interests protected in copyright law (those of the authors, publishers and of the public) shows that the most precise criterion to determine an adequate copyright protection is to be based on a combination of the economic and the human rights justifications and of the interests protected by copyright law 11.This is because they do not focus on one right (e.g. copyright) but on the economic rationale for protecting information in general 9 Police and defence data should on the other hand certainly remain confidential levant state bodies for evident state security purposes. 10 See E. Derclaye, supra fn. 6, Chapter 1, Introduction and authors cited. 11 For detailed developments on this issue, see ibid., Chapter 1, Section 1.
195
to the re-
La sécurité de l'individu numérisé
on the one hand, on all relevant human rights on the other (i.e. the right to the protection of property (this includes intellectual property rights), the right to freedom of expression and the right to the respect of privacy) and all the interests at stake in copyright law. They take into account the broader picture and can address the accumulation of different protections on one subject-matter (e.g. the protection of works by copyright, contract, parasitism, TPMs and anti-circumvention provisions). This combined framework or criterion can be extrapolated to the protection of investment in databases because the rationale of the two protections is the same: promoting and protecting an investment in producing some sort of information (the difference between the two being that copyright protects structure and the sui generisright, contents). Therefore, at least the copyright balance must also be respected by the sui generisright and similar additional protections. This criterion provides general principles of protection and limits to the protection of databases. According to this criterion, databases should not be protected by similar protections (such as TPMs and anti-circumvention provisions) over and above the limits of the sui generis right (as modified to respect the criterion 1~. Indeed, such overriding of the sui generis right's limits would go against the economics of information goods, the public's right to information and the public interest. For instance, if a TPM can override the sui generisright's exceptions protecting e.g. the right to information, this value is a dead letter. Over-protection by accumulation of protections (by combining the protection of the sui generisright with parasitism, contract, TPMs and/or anticircumvention provisions) can occur in three ways. As this article is concerned only with the accumulation of the sui generisright with TPMs and anticircumvention provisions, examples of these three types of over-protection will therefore be given only in respect of TPMs and anti-circumvention provisions. First, over-protection can occur simultaneously. A database is protected by the sui generis right and by TPMs and/or anti-circumvention provisions. Second, over-protection can also occur "negatively". For instance, sui generisprotection is not available because the database has not required a substantial investment. But the protection of the database by TPMs and/ or anti-circumvention provisions leads to over-protection simply because it does not deserve protection in view of the economic rationale and unduly restricts the right to information and the public interest. Creations which have not required investment should not be protected by intellectual 12
See ibid., chapter 10 for remedies to the over-protective 196
features of the suigenerisright.
Appropriation
et exploitation des bases de données
property or similar protections. This gives protection for no reason. There is no investment so no market failure to correct. Finally, over-protection can happen aposteriori.This happens when a database once protected by the sui generisright is later protected by TPMs and/or anti-circumvention provisions. This latter point is linked with the limitation of protection in time. Despite all the above mentioned similarities between the sui genens right and copyright, one major point differentiates them. Contrary to what may occur when database contents are protected, copyright does not grant protection on information itself and therefore no monopoly can arise on it. That said, copyright grants a monopoly on the expression of information. Thus, normally all copyright markets should be monopolistically competitive. However, reality shows that not all copyright markets have a similar structure. Some are quasi-monopolistic (operating systems), oligopolistic (recorded music) or competitive (e.g. pornographic movies, some computer programs, landscape paintings, romance novels) 13.However, for the purpose of the demonstration in this article, when comparisons are made between copyright and database protection, the copyright model referred to will be that of monopolistic competition. The several market structures existing in the field of copyright should nevertheless not be forgotten as database markets may sometimes present similar structures because database producers may collude. This simply means that the less competitive a market is, the more likely a copyright work or database will be over-protected because the copyright holder or the database producer has this power (unless the law prevents them expressly from doing so). Accordingly, the following consequences can be drawn in relation to the criterion to be followed in this article. As database protection may in some cases grant a monopoly on information itself, the economics of copyright can therefore not be applied en blocto investment in database creation. A more refmed analysis needs to be made. Under the economic analysis of copyright, ideas must not be monopolised because it reduces social welfare 14. By analogy, it can be safely said that granting a monopoly on facts or information also reduces social welfare. Sole source information like ideas exist in only one exemplary: if a piece of information is created, it is unique to its creator, like an idea created by an individual. However, there is a tension between market failure and welfare 13 This may be why market structure was not an aspect discussed by W. Landes & R. Posner, "An economic .analysis of <:opyright law" [1989] 18 Journal of Legal Studies 325 and many other economists of copynght. O 14, See e.g. 1"b 1d . 197
La sécurité de l'individu numérisé
loss. It may in some cases be important to grant a right on a database for a short period and at tight conditions in order to induce production of this information. In this respect, a distinction between sole source databases and multiple source databases must be drawn. On the one hand, if the data is available through only one database, legal protection can be granted if there has been investment in making the database but it must be tighrly regulated. Access to the information must not be prevented by refusal to grant access or by the setting of abusive prices. This can be achieved by providing for a 15 i.e. in the legislation protecting database compulsory licence in advance producers or by leaving it to the competition authorities to prosecute such abuses 16. On the other hand, if the database is made of data existing in the public domain, no monopoly is by defInition possible since anybody can create the same database independenrly. In this case, granting protection does not create a monopoly on information. If there are several sources of the same information, there is (potential) competition and the price will be reasonable. If one database maker refuses access, the user can get access to another existing or future source. The two market structures should therefore be at the extremes: monopoly and "perfect competition". Nevertheless, because of possible concentrations or collusions between database producers, competitive database markets may become oligopolistic or even monopolistic. EU competition law provides detailed rules on how to regulate those markets (article 81 ECT and rules regulating mergers). With this framework in mind, we can now see how the application of the criterion reveals that many features of the sui generis right are over-protective.
15
E. Dommering, "An introduction to information law, works of fact at the crossroads of freedom and protection" in E. J. Dommering & P. B. Hugenhotlz (eds.), Protectingworks of fact, copyrightfreedom of expressionand information law [19911 Kluwer law and taxation publishers, Deventer/Boston, p. 39 ; J. Ginsburg "Creation ana commercial value: copyright protection
of works
of information
in the United
States"
in E.
J. Dommering
& P. B. Hugen-
holtz (eds.), Protectingworks of/act, copyrightfreedom of expressionand Ùiformationlaw [1991] Kluwer law and taxation pubhshers, Deventer/Boston, p.41 ff. esp.54-56. Note that the compulsory license provision originally provided in the draft Directive was finally deleted (see art. 8 of the Proposal for a Council Directive on the legal protection of databases, èOM (92) 24 final- SYN 393 Brussels, 13 May 1992, OJ C/156, 23 June 1992). On comf,ulsory licenses, see E. Derclaye, supra fn. 6, Chapter 10, Section 5. 6 Recital47 of the Directive safeguards this possibility. Article 82 ECT prohibits abuses of dominant position. 198
Appropriation
II
- The
over-protective
et eXploitation des bases de données
features of the sNi generis right
It has been abundantly shown elsewhere that some features of the sui generisright are much too protective 17.The same is true according to the criterion described in section I. These over-protective features are summarised
here
18.
The deftnition of a database (art. 1) is broad and so are the rights of
extraction and re-utilisation (art. 7). The protection requirement (a substantial investment in the collection, presentation or veriftcation of the contents of a database, art. 7) is low, the exceptions (art. 9) 19are scarce and narrowly drafted and the term of protection (art. 10) is potentially perpetual. However, taken without nuances, the afftnnation that the suigenerisright inevitably generates monopolies is a myth. Whilst it is true that the right is overprotective in many ways, it does not in every situation give a monopoly on information to the database producer. Information monopolies can only occur if the database producer is the only one to detain the information, in other words in the case of a sole source database. Such monopolies rarely exist. They can arise in only two situations: when the database producer creates the information or when she or he records it. In the case the database producer creates the information 20 (e.g. event schedules, television programmes, travel timetables, sports ftxtures), in order to obtain protection, she or he will have to prove a separate substantial investment in the obtaining, verifying or presenting of the information, which will be difftcult as the two stages of creation on the one hand and obtaining, verifying or presenting on the other are generally inseparable 21. Thus producers of such spin-off databases often remain unprotected by the sui genens right. When the producer records information occurring in nature, for instance results of sport competitions, geographic, meteorological or genomic data, it often re-
17 See e.g. P. B. Hugenholtz "De databankrichtlijn eindelijk aanvaard: een zeer kritisch commentaar" f1996] Computerrecht 131 ; M. DaVIson, The legalprotection of databases,Cambridge, Cambndge University Press, 2003. 18 For detailed developments of the over-protective features of the sui generis right, see E. Derclaye, supra fn. 6, Chapter 2. 19 Right to extract a substantial part of the contents of an electronic database for private purposes, right to extract such a part of any database for the purposes of illustration for teaching or scientific research as long as it is not for commercial purposes and the source is indicated and right to extract and/or reutilise a substantial part of any database for the pur~oses of public security or an administrative or judicial procedure. o See The British HorseracingBoard LId v. William HillO'J,anisation LId (case C-203/02) [2005] 1 CMLR 15 (European Court of Justice (ECJ)), paragraphs 30-41 (further referred to as "BHB"). 21 Creation and collection are two mutually exclusive concepts. No sui generisright can arise simply from creating information. Ibid. 199
La sécurité de l'individu numérisé
quires special equipment of measure in order for it to be intelligible by man. This is generally very costly so that generally only a single company, or the state, has the fmancial means to record the data. If only one single database producer records this data, she or he has a monopoly. However, whether recording is collecting or creating is unclear 22; therefore, in many, albeit, not all cases, the investment in recording information may not grant a database right to the database producer. The cases where a monopoly on information through the protection of the sui generisright will arise are therefore extremely reduced. In all other cases, database producers will be in direct competition with one another, all drawing the data from the public domain. The remainder of the article assumes that the above mentioned features of the suigenerisright are over-protective and only focuses on whether and if so how TPMs and anti-circumvention provisions reinforce them and may lead to monopolisation of information. Before we turn to this question, the next section must clarify certain issues including the exact scope of this article's study. III - Preliminary
issues and scope of the study
To the best of my knowledge, there are no studies on the issue whether TPMs and anti-circumvention provisions over-protect database producers' investment. Commentators have only concentrated on the effect of TPMs and anti-circumvention provisions in the field of copyright. A number of commentators held that digital lock-up of copyright works is a reality in many cases 23.But as some have also sensed 24,and as Rothchild has recen22
As recorded data is generally recorded by instruments of measure in order for it to be intelligible by man, in this sense, it can also be described as created since it did not exist in intelligible form before. As a result, it is difficult to determine whether the data is created or only collected by man. Perhaps it is both collected and created. Nonetheless, the difference with the other category of created data is that anyone can record it since it pre-exists in nature. It is not data arbitrarily created by man's brain. Therefore, in more cases than with created data, it will be possible to claim that a substantial investment went into presenting recorded data in an intelligible form. 23 See e.g. J. Ginsburg "From Having Copies to Experiencing Works: The Development of an Access Right in U.S. Copyright Law", 1; avalaible at http://papers.ssrn.com/paper.taf?abstracCid=222493. See also in H. Hansen (ed.), U.S. Inte/lectuarProperty:law anapoliry, Sweet & Maxwell, London, 2002, p. 11 and 16 citing J. Cohen, "Some Reflections on Copyright Management Systems and Laws designed to protect them" [1997] 12 Berkelry TechnologyLaw Journal161 ; L. Lessig "The law of the horse: what crberlaw might teach" [1999] 113 Harvard Law Review 510. 2 A. Strowel, "La protection des mesures techniques: une couche en trop? Quelques remarques à propos du texte de Kamiel Koelman" [2001] A&M 90;} Ginsourg "Legal Protection of Technological Measures Protecting Works of Authorship: International Obligations and the U.S. Experience" [2005] 29 ColumbiaJournal of Law & theArts 11, p. 36. 200
Appropriation et eXploitationdes bases de données
tly more clearly exposed 25,this is the case only when the market for the copyright work is monopolistic, monopolistically competitive or oligopolistic. The less competitive the copyright market is, the more likely the digital lock-up. As there are no studies on the accumulation of the sui generisright, TPMs and anti-circumvention provisions, the literature on the interface between copyright and TPMs and anti-circumvention provisions will enlighten the discussion. As section II has showed, analogies with copyright can be made only for sole source databases. The article will review how commentators envisaged the problem of over-protection posed by TPMs and anti-circumvention provisions in the field of copyright, when they did so, apply the criterion to assess over-protection explained above (the combination of the economic and human rights approaches with the public interest) to the accumulation of the sui generis right, TPMs and anti-circumvention provisions and examine whether the French implementation respects the criterion or not. As with the suigenerisright and any additional protection giving a similar effect to the sui generisright (e.g. contract, parasitism), when there is competition among database producers, the use of TPMs and its backing by law does not generally entail over-protection. The article will therefore deal principally with sole source databases and refer to multiple source databases only for comparison purposes. Before analysing the core issue (whether the accumulation of the suigeneris right, TPMs and anti-circumvention provisions leads to over-protection and monopolisation of information), one question still needs to be answered. To which type of databases does this problem of accumulation apply? The protection by TPMs and anti-circumvention provisions can only apply to databases that can be recorded on some sort of technical medium. These databases include, at this stage of technical development 26,mainly those in digital format (off- or on-line). The conclusions drawn in this article therefore only apply to those databases. To the extent that databases are com-
25
J. Rothchild, "Economic analysis of technological r.rotection measures" [2005] 84 OITlg,on Law Riiview 489, esp. p. 561. See also P. Samuelson 'Intellectual Propel]' and the Digital Economy: Why the Anti-Circumvention Provisions Need to be ReVlsed' [1999] 14 Berkeley TechnologyLaw TournaI519, p. 566 ("competition among information providers may also affect the successful deployment of technical protection systems. If one Information provider tightly locks up his content, a competing provider may see a business opportunit)' in supplying a less tightly restricted copy to customers who might otherwise buy from the first ~rovider.") 6 Article 6.3 of the Copyright Directive defines TPMs neutrally so that they may encompass future technical developments and not only digital technology. 201
La sécurité de l'individu numérisé
mercialised only in analog format 27, the protection by TPMs and anticircumvention provisions is irrelevant. In this respect, for those databases, it can be said that in most cases, the sui generis right does not lead to monopolisation of information. When it does, recitals 45 and 46 of the Database Directive should normally prevent the monopolisation of single pieces of in28. formation In the other cases, competition law is there to prevent anticompetitive behaviour by database producers 29.
When a database is marketed in both technically protected and nontechnically protected format (broadly speaking in analog and digital format), the problems caused by the use of TPMs and their legal protection still exist but arguably are less acute as users can revert to the analog copy of the database. This is subject to two caveats. First, according to the current interpretation of the suigenerisright, extraction and/or re-utilisation from the paper format of a database whose term has expired, may still indirecdy infringe the on-line version of it 30.This should not happen. The Database Directive should be modified to exclude old elements from the renewed protection of a dynamic database 31.Second, if the analog version of the database is distributed only by contract, then depending on the circumstances, overprotection may still occur because terms can override the limits of the sui generis right. Conversely, if the database is also available in analog format outside the bounds of a contract, arguably, over-protection does not exist 32. Users can still make lawful uses of the database, e.g. extract substantial parts for research purposes or transfer their copy of the database, the "oldfashioned way" 33.This is not true for sole source databases. As the databa27
As above, this means non-technically protected analog format. For databases, it will mainly be paper. 28 The recitals read as follows: "(45) Whereas the right to prevent unauthorized extraction and/ or re- utilization does not in any way constitute an extension of copyright protection to mere facts or data; (46) Whereas the existence of a right to prevent the unauthorized extraction and/or re-utilization of the whole or a substantial part of works, data or materials from a database should not give rise to the creation of a new right in the works, data or materials themselves." 29 Whether this is the best mechanism to tackle monopolisation is a question not dealt with in this article. It will be briefly touched upon in section VII. 30 T. Aplin, CopyrightLaw in the Digital SocietY,The Challengesoj Multimedia, Hart Publishing, Oxford; 2005, p. 94. 31 See E. Derclaye, supra fn. 6, Chapter 10, Section 6. 32 This is if the over-protective aspects of the sui generisright are corrected legislatively. See ibid., Chapter 10, Sections 1 à 6.
33
T. Heide, "Copyright, Contract and the Legal Protection of Technological Measures
-
Not "The Old Fashioned Way" : Providing a Rationale to the "Copyright Exceptions Interface" [2003] 50 Journal of the CopyrightSocietYoJthe U.SA. 315, p. 318 citing UniversalCitYStudios v. Corley,273 F.3d 429, 459- (2â Ciro 2001) ("We know of no authority for the praposi202
Appropriation
et eXploitation des bases de données
se producer has a monopoly, she can choose to price the analog version at an astronomic price, causing users to buy the less expensive digital version leaving them no real choice between the two versions. In this case, the problem is the same as with a database only marketed in digital format. The article will therefore assimilate sole source databases marketed in analog and digital format to sole source databases marketed in digital format exclusively. In addition, even if users of digital databases may be able to reproduce text of databases solely marketed in digital format the old-fashioned way (by typing instead of cutting and pasting), this is generally not possible for some other type of data, such as graphic works (e.g. photographs, maps, drawings) as well as musical works 34. These clarifications being made, the article must address four questions for the following reason. Two types of protection are available to database producers: one is solely technical (protection of works by TPMs), the other is legal (protection against the circumvention of TPMs). Two separate identical questions must therefore be posed for each of these protections. First, should database producers be allowed to use TPMs to protect their sui generis right-protected databases over and above the protection granted by the sui generis right (simultaneous protection)? In other words, is it overprotective for a database producer to override the limits of the sui generis right by TPMs ? (section VI. 1.1) The same question applies to the legal protection against the circumvention of TPMs (section VI.1.2). Next, should database producers be allowed to technologically protect their databases tion that fair use, as protected by the Copyright Act, much less the Constitution, guarantees copying by the optimum method or in the Identical format of the original.. Fair use has never Deen held to be a guarantee of access to copyrighted material in order to copy it by the fair user's preferred technique or in the format of the original." See also United States v. Elcom, Ltd., 203 F. Supp. 2d 1111, 1131 (N.D. Cal. 2002) ("nothing in the DMCA prevents anyone from quoting from a work or comparing texts for the purpose of study or criticism. It may be that from a technological perspective, the fair user my find it more élifficult to do so--quoting may have to occur the old fashioned way, by hand or by re-typing, rather than by "cutting and pasting" from existing digital media"). 34 Even if the TPM also prevents printing, musical or graphic works can be reproduced by a tape recorder or camera filming the screen but this WiJJ.usually not produce good quality resUlts. Compare e.g. S. Bechtold, "Digital Rights Management in clie United States and Europe" [20041 52 American Journal of ComparativeLaw 323, p. 363 who argues without explairung why cliat "such copying, capturing and re-recording will not be feasible in many cases" with A. Lucas & P. Slrinelli, "La loi n° 2006-961 du 1er août relative au droit d'auteur et aux droits voisins dans la société de l'information: premières vues sur le texte promulgué à l'issue de la censure du Conseil constitutionnel" [2006] 20 PropriétésIntellectuelles297, who do not see how the user, who has had access to the work, could because of a lock be deprived of the benefit of her exceptions e.g. parody, citation, which do not imply a complete material mastery of the work, but do not specify how. An exact reproduction of a complex musical work will definitely be almost impossible if the work is not available in written but only in aural form. 203
La sécurité de l'individu numérisé
that are not protected by the sui generisright, either because they were protected but have now fallen into the public domain or because they do not meet the requirements to gain protection by the sui generisright (a posteriori and negative protection) ? (section VI.2.1) The same question is posed for the legal protection against the circumvention ofTPMs (section VI.2.2). Before answering these questions, the nature of TPMs and anti-circumvention provisions must be elucidated (section IV) and a brief overview of the legal protection ofTPMs in Europe is mandated (section V). IV - Nature
of TPMs and anti-circumvention
provisions
The question of the nature of TPMs and anti-circumvention provisions is important as it will condition the answer to the four questions articulated above. As the name itself indicates, TPMs are technicalmeans used by holders of copyright and related rights to protect their works or other subject-matter. TPMs are therefore a second (technical) layer protecting such subjectmatter in addition to the first layer (copyright or related rights). They are therefore not law as such, but a purely mechanical type of protection, or as some have described them, they are "code" 35.A TPM can be compared to a (wooden or electric) fence around a plot of land. In other words, a TPM is the factual mastery of a thing not a legal right and afortiori not a property right. Therefore, TPMs reserve the material copy of a work but not the work itself, i.e. the intellectual content 36.Nevertheless, because use of the work necessitates use of the medium embodying the work, a defacto monopoly on the medium in which the work is embodied may lead to a defacto monopoly on the work 37.This happens when a work is only available in digital form. However, as noted in section III, such monopoly can also exist if the work is available in both formats and the analog version is available at an excessive price, forcing consumers to buy the digital version. Depending on the type of TPM and the type of relationship between the right holder and the user, a TPM is (akin to, part of) a contract or not. For instance, a TPM translating digital rights ("DRM") can itself be the vehicle
35
L. Lessig, Code and other laws of ryberspace,Basic Books, New York, 1999. The difference with law is that the technical nonn is "self-executing". Technique sanctions ex ante whilst law uses ex post sanction mechanisms. Ibid., p. 236. 36 Dusollier, supra fn. 4, p. 108-109. 37
Ibid., p. 122.
204
Appropriation et exploitation des bases de données of the law contractually agreed 38. Otherwise, a TPM can be contractually agreed. If a database is available only by contract, the contract may mention that the copy of the database is protected by a TPM or that the user accepts that the work is technologically protected, which technology can or cannot be circumvented 39. In a competitive market, the user could always accept a clause providing that the TPM cannot be circumvented in exchange of a less expensive price. In this case, a TPM is a term of a contract or part of a contractual arrangement, and is not the subject of this article 40. The latter
will therefore deal only with unilaterally imposed TPMs. This situation can occur when a database is available outside of the bounds of any contract or where a lawful user borrows the copy of the database or acquires it through a resale or gift. The effect of such unilaterally imposed TPMs is very similar to that of an adhesion contract. But the difference and advantage, for the right holder, is that the TPM is self-enforceable 41. The right holder does not have to take legal action if the user does not comply as the TPM by itself forces her to comply. So they are even more efficient and less expensive (as no additional cost is necessary for their enforcement) than contracts. On the other hand, the anti-circumvention provisions are obviously a type of legal protection. In Europe, their protection is secured in article 6 of the Copyright Directive 42.They are a third layer of (legal) protection (the 38
Ibid., p. 111 ; Bechtold, supra fn. 34, p. 325 ("DRM systems also employ usage contracts and tedinology license agreements to protect digital content.") and 344; C. Sellars, "Digital Rights Management Systems: Recent European Issues" [2003] Ent. L.R. 5. 39 Koelman & Helberger, supra fn. 4, p. 204 note that "it will be possible to oblige each user contractually not to circumvent a T[PJM that protects information disseminated online". 40 For developments on this issue, see E. Derclaye, supra fn.6, Chapter 4. 41 See also supra fn. 35. ~2Article 6 reads: "Obligations as to technological measures
. Member
States shall provide
adequate
legal protection
against
the circumvention
of any
effective technological measures, wnich the person concerned carries out in the knowledge, S;Jrwith reasonable grounds to know, that she or he is pursuing that objective. . Member States shall rovide adequate legal protection agamst the manufacture, import, distribution, sale, renta,f. advertisement for sale or rental, or possession for commercial purposes of devices, products or components or the provision of services which: Ca)are promoted, advertised or marketed for the purpose of circumvention of, or (b) have only a limited commercially significant purpose or use other than to circumvent, or (c) are primarily designed, produced, adapted or performed for the purpose of enabling or facilitatmg the circumvention of, ~ny effective technologic~ measur~s. . ." '. For the purposes of this Dtrectlve, the expressiOn technological measures " means any technology, device or component that, in the normal course of its operation, is designed to prevent or restrict acts, in respect of works or other subject-matter, which are not authorised by the rightholder of any copyright or any right related to copyright as provided for by law or the sui generisright provided for in Chapter III of Directive 96/9 lEe. Technological measures shaH be deemed "effective" where the use of a protected work or other subJect205
La sécurité de l'individu numérisé
second being TPMs and the first copyright or related rights). The question is: what kind of legal protection? Some noted early on that article 6 of the then still draft - Copyright Directive does not specify what it is, so it will depend on the national implementation laws whether or not the legal protection of TPMs is a part of copyright or not 43. Many have qualified the prerogative given by law to act against circumvention acts or devices as a right. Some have even argued that anti-circumvention provisions were a new type of intellectual property right or a new economic right within copyright prerogatives 44.However, others believe that they simply give to their benificiariesthepossibilitYto sue 45.These beneficiaries are not clearly identified in the law. The Copyright Directive does not specify who the beneficiaries are (art. 8 amy requires Member States to provide for sanctions). They are not always the right holders but can include the licensee, the person who created the TPM and the seller or distributor of the TPM. This is reflected in some national implementations. For instance, in the United Kingdom, not amy the right holder can have the right to sue but also the distributor of matter is controlled by the rightholders through application of an access control or protection process, such as encryption, scrambling or oilier transformation of the work or other ~ubject-matter or a copy control mechanism, which achieves the protection objective. . Notwithstanding the legal protection provided for in paragraph 1, in the absence of voluntary measures taken Dy nghtholders, including agreements between rightholders and other parties concerned, Member States shall take appropriate measures to ensure that rightholders make available to the beneficiary of an exceEtion or limitation provided for in nationallaw in accordance with Article 5(2)(a), (2)(c), (2)(d), (2)(e), (3)(a), (3)(b) or (3)(e) the means of benefiting from that exception or limitation, to the extent necessary to benefit from that exception or limitation and where that beneficiary has legal access to the protected work or subject-matter concerned. A Member State may also take such measures in respect of a beneficiary of an exception or limitation provided for in accordance with Article 5(2)(b), unless reproduction for private use has already been made possible by rightholders to the extent necessary to benefit from the exception or limitation concerned and in accordance with the provisions of Article 5(2)(b) and (5), without preventing rightholders from adopting adequate measures regarding the number of reproductions ID accordance with these provisions. The technological measures applied voluntarily by rightholders, including those applied in implementation of voluntary agreements, and tedinological measures applied in implementation of the measures taken by Member States, shall enjoy the legal protection provided for in paragraph 1. The provislOns of the first and second subparagraphs shall not apply to works or other subject-matter made available to the public on agreed contractual terms in such a way that members of the public may access them from a place and at a time individually chosen by them. When this Article is applied in the context of Directives 92/100/EEC and 96/9/EC, this paragraph shall apply mutatis mutandis." 43 Koelman & Helberger, supra fn. 4, p. 207. 44 See e.g. A. Latreille "La protection des dispositifs techniques. Entre suspicion et sacralisation" L200212 Propriétés[nteffectueffes35 and others cited by Dusollier, suPra fn. 4, p. 111112, fn. 35-31. 45 Dusollier, supra fn. 4, p. 113. 206
Appropriation et exploitation des bases de données the technologically protected work and the owner of an IPR on the TPM 46. Similarly, the DMCA states that the right belongs to any person who is prejudiced 47whereas in copyright law, in principle, it belongs only to the right holder 48, suggesting that TPM protection is not a copyright 49. In any case, even if it is not one of the exclusive rights of the copyright or related right holder, the effect of anti-circumvention provisions is almost that of such a right 50. To add to this, anti-circumvention provisions are in some ways a supercopyright. This is because although not anything can be protected against the circumvention of a TPM, i.e. anti-circumvention provisions apply only to works and other protected subject-matter, protection against circumvention is very broad as it encompasses a'!)! act not authorised rythe right holder 51. This includes the act of accessing works. In addition, article 6.4 of the Copyright Directive only preserves a few exceptions, not all of them. Thus if the right holder does not authorise access, consultation or use of the database, or acts of re-utilisation after the expiration of the term of protection or for the purposes of criticism or review or reporting current events, or does not authorise transfer, then it is illegal to circumvent the TPM to perform such acts. Similarly, in the United States, section 1201 prohibits the circumvention of TPMs controlling access to works, thereby creating a new access right. And users benefit only from a few minor exceptions (s. 1201 (d)-G)).
v - Overview of TPM protection in Europe As the previous section demonstrated, TPMs are technical means of protecting works or other protected subject-matter. They therefore do not constitute a legal protection. Since such technical protection is often easily circumvented ("hacked") and therefore vulnerable, right holders asked for legal backing of their technical means and the law now provides for the le-
46 See s. 296ZA (3) and 296ZD (2) of the CDP A. 47 Koelman & Helberger, supra fn. 4, p. 187. 48 17 D.S.C. s. 1203. American courts conf11'tI1edthat the person who conceived the TPM could sue. Dusollier, supra fn. 4, p 113, fn. 41. 49 Koelman & Helberger , supra fn. 4, p. 206. 50 L. Lessig, "Open Code and Open Societies", Keynote address,. Free Software - a Model for Society? June 1, 2000, Tutzing, Germany, available on http:// cyber.law.harvard.edu/works/lessig/ opensocd1.paf, p. 9. 51 See article 6.3 of the Copyright Directive, supra fn. 42. 207
La sécurité de l'individu numérisé
gal protection of TPMs.52 This can be compared to protecting the fence by law i.e. making it illegal to jump over it or remove it, notwithstanding the simultaneous possible encroachment on the property right in the land 53. The legal protection of TPMs originates in the WIPO Internet treaties (WCT and WPPT). When the European Union implemented the treaties in the Copyright Directive, it therefore harmonised the legal protection of TPMs in the entire Union. As introduced in section IV, the anticircumvention provisions are set out in article 6 of the said Directive 54.According to article 6.1, circumventing a TPM is illegal. An element of knowledge is required, i.e. only a person knowing or having reasonable grounds to know she is circumventing a TPM is liable. Certain commercial dealings with circumvention equipment including its distribution to the public are also illegal. This liability is strict (art. 6.2). A TPM is defined as "any technology, device or component that, in the normal course of its operation, is designed to prevent or restrict acts, in respect of works or other subjectmatter, which are not authorised by the right holder of any copyright or any right related to copyright as provided for by law or the sui generisright provided for in Chapter III of Directive 96/9 lEe" Only effective TPMs are protected against circumvention. TPMs are "deemed "effective" where the use of a protected work or other subject-matter is controlled by the right holders through application of an access control or protection process, such as encryption, scrambling or other transformation of the work or other subject-matter or a copy control mechanism, which achieves the protection objective" (art. 6.3). Because TPMs often prevent users from benefiting from exceptions, article 6.4 provides a mechanism safeguarding some exceptions. These eight exceptions are: reprography, private copying, certain permitted acts by libraries, educational institutions, museums and archives, the making of certain ephemeral recordings and archival copies by broadcasters, the reproduction of broadcasts by certain "social institutions", certain uses for teaching or research purposes, certain uses by the handicapped, and uses for the purposes of public security or to ensure the proper performance or re52 Dusollier, supra fn. 4, p. 55-56. 53 M. Ledger & J.P. Triaille "Dispositions contre le contournement des dispositifs de protection technique, Rapport belge pour les journées d'étude de l'ALAI", Copyrightin ryberspace, Amsterdam, June 1996 (not included in the publication of the proceeâings) compared the circumvention of a TPM to jumping over a fence. 54 A separate system exists for the circumvention of TPMs protecting computer programs (art. 7 of the Software Directive). As this article does not deal with ilie protection otcomputer programs, the legal protection of TPMs protecting computer programs will not be aiscussed. For a comprehensive review, see Dusollier, supra fn. 4, p. 70 ff. 208
Appropriation
et eXploitation des bases de données
porting of administrative, parliamentary or judicial proceedings. Member States must safeguard all these exceptions (if they chose to enact them in their law) but may choose to safeguard the private copying exception or not (art. 6.4.2). The mechanism functions as follows: the right holders mayact voluntarily to allow lawful users to benefit from the exceptions above mentioned if implemented in nationallaw. If right holders do not act, Member States must ensure the safeguard of the exceptions. This mechanism suffers a considerable exception: if the subject-matter is "made available to the public on agreed contractual terms in such a way that members of the public may access them from a place and at a time individually chosen by them", then the exceptions are not to be safeguarded (art. 6.4.4). This situation encompasses databases accessed on-line (examples from the legal world would include Wesdaw or Lexis-Nexis). To be complete, the Copyright Directive requires that at least civil remedies must be provided by Member States for infringement of article 6 (art. 8). This short presentation of the legal protection of TPMs shows that not only the protection is extremely strong, as not all exceptions are safeguarded let alone the exhaustion principle and the term of protection, but also these exceptions can be contracted out in the on-line environment. The online "TPMs interface" 55is not fully applicable as the legislature itself allows its annihilation by contract (art. 6.4.4.). In this case, the reasoning and conclusions of the interface between the sui generisright and contracts apply 56.The article will therefore focus on the off-line TPMs interface 57.
VI - Over-protection and monopolisation by TPMs and anti-circumvention provisions 1 - Simultaneous protection
The fUst question is whether database producers can and if so, should use TPMs to protect their suigenerisright-protected databases over and above the limits of the suigenerisright (as modified to be adequate) (section 1.1). The same question must be answered for the legal protection against the circumvention ofTPMs (section 1.2). 55 A terminology ~sed by H~ide, suprf!~n. 33, to designate the safeguard of copyright exceptions by the anti-CIrcumvention proVisIons. 56 For the details, see E. Derclaye, supra fn. 6, Chapter 4. 57 The developments will also apply to on-line databases where the database producer has not used contract to override the exceptions or has used a contract that does not override the exceptions, as the TPMs interface applies in this case. 209
La sécurité de l'individu numérisé
1.1- The protection
of databases
by TPMs
Of course, a TPM which does not override the limits of an adequate database protection is not over-protective. Often, however, as it is attached unilaterally to the database, the TPM will go over and above the legal norm 58. A TPM can virtually protect anything in any manner. Therefore, it can lock up the database so that the user cannot benefit from the exceptions including the right to extract and re-utilise insubstantial parts, cannot extract or re-utilise substantial parts once the term of protection is expired or cannot transfer the database to anyone 59. The effect of a TPM is private ordering. because a TPM can make any act virtually possible or impossible, it is the right holder who decides what is allowed or not 60. Thus database producers can override the limits of an adequate database protection with TPMs. The remaining question is whether they should be allowed to do so. Article 15 of the Database Directive does not deal with the question whether holders of the sui generis right may obtain more protection by TPMs when TPMs cannot be equated with contracts. In other words, the Database Directive does not render exceptions let alone the other limits of the sui generis right imperative as far as unilateral TPMs are concerned. The Copyright Directive gives no answer either as it does not deal with the regulation of TPMs but only with their legal protection. As we know, there have been no studies made of the question whether holders of the sui generis right may obtain more protection by TPMs and anti-circumvention provisions. However, an extensive study of this problem has been made in the field of copyright 61. This analysis is useful to find the answer to the questions this article has posed in respect of sui generis right-protected databases. As noted in section I, at least the copyright balance (as insured by the criterion determining its adequate scope) must be maintained as the sui generis right is close to copyright. Also, the distinction between multiple and sole source databases must also be made. In the case of multiple source databases, copyright solutions cannot be applied, but as with other protections that the database producer can use to protect its sui generis right-protected database, knowing that she or he faces potential competition, the database producer will not attach to its database TPMs that prevent more acts than those unauthorised 58
59
Dusollier,
supra fn. 4, p. 110.
E.g. by preventing
the electronic copy from leaving the computer where it has been down1oadea or by not functioning on another computer than the one it has been installed on. 60 Dusollier, supra fn. 4, p. 117. 61 Ibid. See also K. Koelman, Auteursrecht en technische voorzjewingen, SDU, The Hague, 2003. 210
Appropriation
et exploitation des bases de données
under the sui generisright (as modified to reflect an adequate database protection). In conclusion, the protection of multiple source databases by TPMs and anti-circumvention provisions is generally not over-protective 62. As regards sole source databases, the situation is similar to copyright in the sense that a monopoly exists, although not on original expression but on information. The situation must therefore be at least the same as under copyright law. Commentaries analysing the use of TPMs and their legal protection to protect copyright works can be used by analogy and the remainder of the article will therefore deal mainly with sole source databases. 1.1.1 - Additional
pOli/ers and ove"idabi/ity
of exceptions
Before applying the economic and human rights approaches and the public interest to the question of over-protection by TPMs, this section summarises S. Dusollier's comprehensive study of the question of the appropriateness of the additional protection afforded by the use of TPMs as applied to copyright works. Her developments concerning both TPMs and anti-circumvention provisions are more conveniently presented in this section, as anti-circumvention provisions generally simply echo technical protection. S. Dusollier ftrst shows that TPMs and their legal protection grant more rights than copyright and related rights 63.As seen above, article 6.3 provides that TPMs, which prevent or restrict acts which are not authorised by the right holder of any copyright or any right related to copyright, including the sui generisright, are protected against circumvention 64.This means ftrst that acts of access to and use of the work (e.g. receiving, browsing, reading, viewing, listening) can be prevented by TPMs 65. Although material and intellectual access to the work must always be distinguished - a TPM will only prevent access and use of the (material) copy of a work - if the work is available only in digital format, then not only the material but also the intellectual access to the work is blocked 66. Hence, right holders can even prohibit a use which is allowed by copyright. These 62
It can be when an imperative provision (as described in section 1.1.1.) applies to multiple source databases as it overly restricts the parties' contractual freedom. See section 1.2.4 and for more details, see E. Derclaye supra fn. 6, Chapter 4. 63 Dusollier, supra fn. 4, p. 119-122. 64 Ibid., part 1, chapters 2 and 3 (p. 119 ff.). 65 See also Koelman & Helberger, supra fn. 4, p. 168 ("by controlling access one can control the use in general of information; if material cannot be accessed, it cannot be used"). 66 Dusollier, supra fn. 4, p. 144 ff. 211
La sécurité de l'individu numérisé
rights of access and use are legally protected as the anti-circumvention provisions prohibit the circumvention of TPMs preventing such acts. Second, TPMs can prevent the exercise of exceptions. Again this is confIrmed by law to a large extent 67.Once more, it is not really the exception as such which is restricted but its exercise in respect of a copy of the work. Therefore, the more numerous the unprotected copies of a work, the less strong the impact on exceptions, and vice versa 68.Although TPMs in isolation from their legal protection are simply a factual protection and can be circumvented, their use causes a real problem for users because most of them cannot circumvent them easily or at all. As they are not computer engineers, users need to rely on the former to do this 69. S. Dusollier then reviews the foundations of copyright to determine whether this technological power corroborated by its legal protection is justifIed or not (by copyright law). This involves looking at four different aspects: the justifIcations for copyright, the economic analysis of copyright, the interests protected by copyright and the legal nature of copyright. In the fIrst place, the justifIcations for copyright show that copyright is far from absolute 70.For S. Dusollier, the most important justifIcation is the notion of public sphere. This justifIcation sees copyright's aim as the constitution of a public space of discussion and completes the fIrst pillar of copyright, which is property. Under the "public sphere paradigm", the author, her works and the public are equally represented within the public sphere. Copyright law intends the work for the public, the latter comprising users, but also authors. Consequently, copyright's dimension is not purely commercial. This means that the work escapes the market contrary to the medium in which the work is incorporated. In other words, a broader public than the sum of the buyers of the copies of the work enjoy the work. This means that the author is not remunerated for every use of its work (for ins67
As stated above, only a few exceptions are safeguarded and this safeguard can legally be cancelled out by right holders in the on-line environment (art. 6.4 of the Copyright Directive). 68 Dusollier, supra fn. 4, p. 154. 69 This is even if the anti-circumvention provisions provide that users can benefit from exceptions. Indeed, article 6.4's safeguard mechanism 1Snot perfect, as not all exceptions are safeguarded and if right holders do not act voluntarily, users have to wait for Member States to act. 70 On this first aspect, see Dusollier, supra fn. 4, p. 216-243. For her, there are only two justifications: the naturalist (Locke) and that basea on the notion of public sphere (Habermas). For an overview of the naturalist justification, see E. Derclar.e, s'Pra fn. 6, Chapter 1, Section 1.1.1. S. Dusollier does not distinguish the utilitarian justification from the economic analysis of copyright, which she does not rank among copyright's justifications (for an explanation, see next paragraph). 212
Appropriation
et eXploitation des bases de données
tance, if a user lends a copy of the work to a friend). The "public sphere paradigm" therefore requires that accessibility to works is guaranteed. This requirement of accessibility can be satisfied in different ways, e.g. through the enactment of a limited term of protection, exceptions, etc. The application of this paradigm to TPMs and anti-circumvention provisions means that whilst, they can be used to protect the authors' interests in the public sphere, if they protect the author over and above its current rights, it privatises the public or in other words, eliminates the public sphere. This private ordering by copyright holders contradicts the public aspect of the literary and artistic sphere. The legal protection of TPMs extends the protection (réservation) beyond the authors' prerogatives and encroaches on the participation of the public to the public sphere. In short, the public sphere justification of copyright entails that TPMs and anti-circumvention provisions may not grant absolute control to authors on their works. Second, S. Dusollier examines the economic analysis of copyright. Whilst she recognises that the economic foundation of exceptions is not only based on market failure and accommodates the free use of copyright for the purposes of criticism and to respect privacy, she dismisses the economic analysis of TPMs and anti-circumvention provisions 71.Indeed, most of the commentators on this question plead for the abolition of copyright and its replacement by TPMs and anti-circumvention provisions. This of course means the end of exceptions and of the public sphere. The main criticism is that the economic analysis of TPMs and anti-circumvention provisions is entirely based on individual transactions and thus does not take into account the entire social value of the work which includes the creation of new works, the information and the education of the public, which are not intemalised by these transactions. Works are not only goods of which the law must facilitate the creation and circulation but also elements of society's discourse and constitute a public space. This is why in her view, the economic analysis of copyright is not sufficient to found a normative model of copyright. Economic analysis must yield or at least be integrated in other definitions of the value of a work in all the aspects of copyright which are not reduced to qualification of the work as a good. At the end of her analysis however, S. Dusollier ironically and most certainly unconsciously falls back on a pure economic analysis to come to the same conclusion she drew whilst examining the public sphere justification. She notes that if TPMs and anti-circumvention provisions are used without restrictions by authors, the 71
On this second aspect, see Dusollier, supra En. 4, p. 244-288. 213
La sécurité de l'individu numérisé
creation of new works will decrease and the cost of new works will increase. The control by TPMs of all access and use and their legal backing would lead to a market failure. This absolute power could lead to the tragedy of anti-commons (too much privatisation of a good leads to its under-use) n. And this is detrimental to the maximisation of social welfare. This reasoning is exacdy that of Landes & Posner's (but applied to TPMs and anticircumvention provisions) 73. What she really rejects is therefore a certain 74 who advocate the disapview shared by some (most maybe) economists pearance of exceptions to the benefit of an all-technological market-based protection. Third, copyright protect three interests: the authors', the producers' and the users' 75. Whilst these interests are balanced differendy in each country (for instance, France favours the author whilst the United States prefers the public), this shows again that copyright is not absolute. Therefore, whereas copyright must certainly adapt to technological changes and allow the protection of works by TPMs and anti-circumvention provisions, the public interest cannot be eliminated. Fourth, S. Dusollier revisits the legal nature of copyright 76. She rejects the classification of copyright as property for several reasons. First, property is the absolute mastery of an object, which includes its use, fruits and abuse. Copyright's logic is reverse: it only grants a few well-defmed rights to the author. In addition, the control afforded by copyright is not as complete. For instance, the author does not have the exclusive use of the work once it is divulged. Sometimes, the rights are simply rights of remuneration which do not constitute the absolute enjoyment that property law grants. This is another proof that copyright is not absolute. The logical conclusion of S. Dusollier's study of the foundations of copyright is that even if the latter conf1ttIl the legitimacy of using techniques to protect works and thereby of the legal protection of this technology, the foundations of copyright reject an absolute protection of works 77. 12 M. Heller "The tragedy of the anticommons: property in the transition from Marx to Markets" [1998] 111 Haroard Law Review 621. 73 Landes & Posner 1989, supra fn. 13. See also R. Towse "Economics and copyright reform: aspects of the EC Directive" [2005] 22 Telematicsand Informatics11, p. 19. For a summary, see E. Derclaye, supra fn. 6, Chapter 1, Section 1.1.4.2. 74 These would fall within the radical neo-classicist view or expansionists. For an explanation, see E. Derclaye, supra fn. 6, Chapter 1, Section 1.1.4.2 infine. 75 On this third aspect, see Dusollier, supra fn. 4, p. 289-308. 76 On this fourth aspect, see ibid., p. 309-323. 77 Ibid., p. 325-326. 214
Appropriation
et exploitation des bases de données
S. Dusollier then applies these findings to the rights created by TPMs and anti-circumvention provisions 78 and to the copyright exceptions 79.The power to control acts of access and use of works granted by TPMs and their legal protection is not justified as it does not come within the rights granted by copyright law. The appropriate legal protection of TPMs should not allow a protection of the work broader than the traditional copyright rights. They could include a control of certain acts of access or fmal use of the work only if they are means to control reproduction or communication 80. to the public As to the exceptions, their legal nature rather than their jus81 helps to determine their force against TPMs and antitifications circumvention provisions. According to their actuallegal nature (exceptions are objective not subjective rights), exceptions translate in copyright law certain legitimate interests and civil freedoms without giving rights to users. As the conflict between TPMs and exceptions is only partially resolved by article 6.4, a rule must be formulated for the other exceptions. When an exception reflects fundamental rights such as freedom of speech or the right to privacy, the exception should be deemed imperative or even of public policy. Exceptions that favour the existence and development of the public sphere, such as the exceptions for purposes of parody, citation, reporting current events and exceptions granted to libraries, archives, educational establishments and handicapped persons should also be imperative. But when the exception exists only because there is market failure, it could remain a default provision. In this respect, private copying could be imperative if it aims to protect the private interest of the legitimate user and is not only due to market failure. In conclusion, the legal nature of exceptions implies that the exceptions must be preserved despite TPMs and anti-circumvention provisions. As this is not fully the case in the current legislation, in the meantime, the interest or freedom founding the exception can be taken into account by judges in the conflicts which oppose users to the right holders' freedom to use a TPM to protect their works.
78 Ibid., p. 330-373. 79 Ibid., p. 423-513. 80 Ibid., p. 374-375. 81 The following justifications of exceptions are reviewed: the justification by the model of public sphere, the economic justification of exceptions and the sociological basis of exceptions. The human rights justification is not reVlewed. The only significant finding of her analysis of the exceptions' justifications is that as the WIPO Treaties underline the balance of interests in the application of the treaties, the lawmaker must accordingly preserve exceptions especially those related to teaching, research and access to information. Dusollier, supra fn. 4, p. 475-476.
215
La sécurité de l'individu numérisé
As far as the relationship between what T. Heide called the contract interface and the TPMs interface 82, S. Dusollier rightly reasons that although imperativity in the current legislative instruments so far on1y applies to the overriding of exceptions by contract, it would be strange that what has been taken away from the contractual power be given back to the author by the technical application of the clause of the contract that is void. Therefore, the imperative nature of exceptions suggests that it annuls all will of the parties be it expressed by contract or through technical means. It would be shocking that the exception prevails over the will of the parties but could be overridden by the strictly unilateral will of the right holder. Imperative provisions whose aim is to protect the interests of the weaker party would be rather ineffective. However, she believes that the imperative character of exceptions has less effect in respect of TPMs and anti-circumvention provi83. sions than in respect of contracts She states, without explaining why, that it is difficult to imagine that users could, on the single basis of the imperative character of exceptions, demand the removal of a TPM 84. 85 are that because copyThe general conclusions of S. Dusollier's thesis right law is the fruit of a balance of interests, it does not tolerate an absolute mastery of each act of access or use of a work, including overriding copyright exceptions. As a result, the use of TPMs and their legal protection must be limited to the control of right holders' rights. Additionally, users must be given a means to effectively benefit from exceptions without being subject to the will of the right holders or to a burdensome procedure. This is what article 6.4 of the Copyright Directive aimed to achieve but it must be improved as it still protects authors too much. For instance, it must apply to more exceptions and in the on-line environment. Several solutions to enable users to benefit from exceptions are proposed as well as a reformulation of article 6.4. Applying S. Dusollier's developments on the scope of the rights to the sui generis right leads to the following conclusions. TPMs and anticircumvention provisions should not in effect grant rights of access and use to database producers. Rights to prevent the access and use of a database are rights additional to the rights of extraction and re-utilisation and do not exist in the Database Directive. Right holders cannot privately create and
82
Heide, supra En. 33. 83 Dusollier, supra En. 4, p. 510-511. 84 Ibid. 85 Ibid., p. 515-549.
216
Appropriation
et exploitation
des bases de données
enforce those rights. This seems to have been acknowledged implicidy by the ECJ in the BHB case as it ruled that rights of extraction and reutilisation do not cover consultation of the database 86.This means that once the database producer has decided to market its database, its consultation cannot be restricted. However, the ECl did not clearly state that the user's freedom of consultation is imperative. The application of S. Dusollier's reasoning based on the legal nature of copyright exceptions to the sui generisright has the following results. TPMs and anti-circumvention provisions may not override exceptions. All exceptions stated in article 9 of the Database Directive as well as the right for the lawful user to extract and re-utilise insubstantial parts (art. 8.1) should be imperative as they represent the public interest (research and teaching, public security, administrative or judicial procedures), private interests (private use) and should be public policy for those representing fundamental rights (right to use insubstantial parts). This imperativity should also apply to unilateral acts (such as TPMs) not only to contracts. For S. Dusollier, something more than imperativity would however be required as she thinks imperativity is not enough to enable a user to demand the removal of the TPM. However, S. Dusollier does not indicate whether rendering exceptions imperative changes their nature. She probably did not mean that and therefore, the "pure exceptions" which do not imply compensation for the right holders should remain so, as well as those implying such compensation, be they compulsory or legallicences 87.Finally, the improved article 6.4 mechanism should also apply to databases in order to allow users in practice to benefit from their exceptions. The application of the criterion to determine adequate database protection, as set out in section II, produces similar results. In short, the combination of the economic and human rights justifications and the public interest mandates that the use of TPMs to secure powers to prevent access and use of a sole source database and to override exceptions over-protects the data, . 88 b ase pro d ucer s lnvestment
.
86 Paragraphes 54-56 de l'affaire BHB, supra fn. 20. 87 M. Buydens & S. Dusollier, "Les exceptions au droit d'auteur: évolutions dangereuses" [2001] CCE 13, p. 14. 88 In detail, this entails the following. Under the economic analysis of information goods, to override the ideal expression dichotomy creates a monopoly on ideas, facts and information. It also infringes die right to information. Thus sole source database producers should not be able to prevent by the use of TPMs the extraction or re-utilisation of single pieces of information (in any case article 15 of the Directive already takes care of this) as it overprotects them. Under the economic analysis of copyright, owners should be able to overriae the exceptions which are reproductive uses of copyright works. Such conclusions apply 217
La sécurité de l'individu numérisé
How has France dealt with this issue? Article L. 331-5, paragraph 6 of 89 the newly amended Intellectual Property Code provides that "les mesures techniques ne peuvent s'opposer au libre usage de l'œuvre ou de l'objet protégé dans les limites des droits prévus par le présent code, ainsi que de ceux accordés par les détenteurs de droits." This article does not set out a preeminence of exceptions over TPMs. The travaux préparatoiresof this article indicate clearly that it only ensures that TPMs do not prevent the playability of works 90.A right to take legal action against the right holders is instituted by article L. 331-8 91but it applies only if a user cannot benefit from the research and teaching exception. On the other hand, in France, as in article 15 of the Database Directive, only the equivalent provision to article 8 (art. L. 342-3-1) is imperative 92. Thus only contractual provisions overriding article 8 of the Database Directive are void. But, even if such imperativity only applies to contracts and not to all exceptions, it would be illogical that whilst right holders have no contractual power to override exceptions, they would get this power back through the unilateral application of a TPM on the work, although a contract with the similar effect would be invalid 93.A fortiori, therefore, it is possible to interpret nationallaws, including French law, as rendering the afortiori for the sui generisright when granted to sole source database producers. However, according to the human rights approach, the right to information and privacy are not respected if exceptions embodying those rights (citation, private copying, CriticiSm, news reporting) are overridden. As far as general interest exceptions are concerned, the conclusion must be similar as that advocated by commentators of the issue relating to cop)'right, in order to respect the public interest. Thus exceptions for the benefit of handicapped people, of libraries and archives, for the purposes of teaching and research, for the purpose of public security and for the proper performance or reporting of administrative, parliamentary or judicial proceedings may not be overridden either. Database producers should not be able to use iPMs to overnde these latter exceptions but to compensate the producers' efforts, the law could provide for an appropriate remuneration (either a lega1licence or a compulsory licence). 89 Law n° 92-597 of 1 July 1992 on the Intellectual Property Code as last amended by Law n. 2006-961 of 1 August 2006 relating to copyright and related rights in the information soclety,jO n. 178,3 August 2006, p. 11529. 911 S. Dusollier "The role of the lawmaker and of the judge in the conflict between copyright exceptions, freedom of expression and technological measures" r2006] Proceedingsoj the ALAI Conference,Barcelona, 19-20 June 2006, p. 6-7 (not yet published). By comparison, the situation is the same in Belgium. See article 12 bis paragraph 5 of the recently amended Database Act (Act of 22 May 2005, implementing in Belgtan law the European Directive 2001/29/EC relating to the harmonisation of certain aspects of copyright and related rights in the information society, M.B. 27 May 2005, p. 24997). 91 The procedure is explained in section VI.1.2.2. 92 See article L. 342-3, infine of the French Copyright Act. 93 Dusollier, srp,ra fn. 4, p. 510-511. See also Koelman & Helberger, supra fn. 4, p. 198, citing J. Spoor General aspects of exceptions and linùtations to copyright" r1998] ALAI Stuffy Dqys 1998, Cambridge,Australian Copyright Council: Sidney, 1999, p. 27 tf. 218
Appropriation
et exploitation
des bases de données
lawful user right to extract and re-utilise insubstantial parts of the contents of a database imperative against TPMs and their legal backing (anticircumvention provisions) as well. Nevertheless, in so far as it provides imperativity of only article L. 342-3-1, like the Database Directive, French law 94.All exceptions should be fully imperative (i.e. in respect is over-protective of unilateral acts in addition to contracts) for sole source databases 95.
1.1.2 - Overridability
of the exhaustion printip/e
There is no reason why the principle of exhaustion should not apply to digital copies of works 96. If someone deletes the legitimate copy of a database it downloaded after having sent it to someone else, it is not actionable. But a TPM can prevent the transfer of a copy of a database, and therefore annihilate the principle of exhaustion. For instance, the TPM can limit the use of a copy of the database only on a single and same computer. In the same vein, a downloaded copy of a database can be impossible to forward even though it is subsequently deleted from the computer on which it was originally downloaded. Database producers may use TPMs to circumvent the exhaustion principle as the Database Directive does not prohibit it. The question of whether it is appropriate for TPMs to override the exhaustion principle has not been addressed even in the framework of copyright. However, some arguments developed by S. Dusollier and those made in relation to contracts based on the criterion followed in this article (the combination of the economic and human rights approach with the public interest) 97can be extrapolated to the principle of exhaustion of the sole source database producer's distribution right. Although S. Dusollier does not envisage the overridability of the exhaustion principle by TPMs and anti-circumvention provisions 98, her conclusions regarding the scope of the rights can be applied by analogy to these two aspects. Extrapolating her thoughts, since TPMs and anticircumvention provisions must adopt the contours of copyright, TPMs 94 For more details see E. Derclaye, supra fn. 6, Chapter 4, section 2.2.1. 95 See supra fn. 88. 96 As suggested by D. Nimmer "How Much Solicitude for Fair Use is there in the AntiCircumvention Provision of the Digital Millennium Copyright Act?" [2002] in N. ElkinKoren & N.W. Netanel (eds.), The Commodificationof Information, Kluwer Law International, The Hague, p. 207. 97 For details, see E. Derclaye, supra fn. 6, Chapter 4, section 2.2.2. 98 Dusollier, supra fn. 4, p. 419-420 discusses the respect of the principle of exhaustion by contracts. However, she draws conclusions as far as its respect by TPMs (thus unilateral acts) is concerned in the same section. 219
La sécurité de l'individu numérisé
should not prevent the transfer of a copy of any (as opposed to sole source only) database to a subsequent acquirer. Overriding the principle of exhaustion is also against national civillaws which forbid the prohibition of transfers as it is contrary to the free circulation of goods 99 and against Community law that safeguards the same principle (art. 28 and 29 ECT and the relevant Community case law 1O~. In addition, it severely encroaches on the exclusive and absolute characteristics of property law. The prevention of transfer by TPMs would be void for absence of cause or object if users were not able to make a normal and minimal use of the thing 101. In conclusion, the Database and Copyright Directives (and French law) are over-protective by not making this limit fully imperative (i.e. in respect of unilateral acts in addition to contracts) with regard to sole source databases. The overriding of the principle of exhaustion by TPMs, but only as far as sole source databases are concerned, should therefore be prohibited.
1.2 - The protection of databases by anti-circumvention
provisions
1.2.1- Additional rights and oIJe"idability of the principle of exhallstion Again even if the question of the protection of sole source sui generis right-protected databases by anti-circumvention provisions has not been studied, the literature discussing anti-circumvention provisions in relation to copyright works can once more helpfully be relied upon 102.As the protection granted by article 6 reflects almost exactly the private ordering that
99
See for instance,
the Belgian
civil code. See ibid., p. 405 citing
J. Hansenne,
Les biens -
Précis, Collection scientifique de la Faculté de droit de Liège, Liege, 1996, R. 584, n. 631. This fmding can certainly be extrapolated to the French civil code on which that of Belgian is in most part based. 100 DeutscheGrammophonv. Metro (Case 78/70) r1971] ECR 487; [1971] CMLR 631 in relation to copyright law and by analogy, the similar aecisions in relation to patent and trade mark laws as well: Centrqfarm v. Sterling Drug (Case 15/74) [1974] ECR 1147; r1976] 1 CMLR 1 and Centrafarm v. Winthrop (Case 16/74) [1974] ECR 1183; [1974] 2 CMLR480. 101 Extrapolating from Dusollier, supra fn. 4, p. 405-406, discussing contracts overriding the ftrinciple of exhaustion. 02 Arguably, beside the issue whether anti-circumvention provisions' grant of additional rights to database producers and permission to override tIle principle of exhaustion are over-protective of the producers' investment, the other requirements that article 6 sets out for TPMs to be protected by law (the conditions of liability for circumvention and provision of circumvention devices and the requirement that TPMs be effective) may present similar over-protective features. They can indeed be seen as limits to the legaf protection of TPMs. An analysis reveals that they are generally adequate. For details of this analysis, see E. Derclaye, suPra fn. 6, Chapter 5, section 3.2. 220
Appropriation et exploitation des bases de données TPMs allow 103, broadly, the conclusions of section 1.1 similarly apply 104. Therefore, most anti-circumvention provisions over-protect sole source database producers, mainly those that back the TPMs granting additional rights of access and use to database producers (art. 6.3) and those that back TPMs overriding the principle of exhaustion. Whilst the over-protection created by the ftrst type is self-explanatory in view of the clear wording of article 6.3, a brief word should be said about article 6's overriding of the principle of exhaustion, as it is implicit. Recital 29 of the Copyright Directive states that the exhaustion principle does not apply if the work is provided as a service especially an on-line one 105.It is unclear what this recital really covers. It could simply mean that users may not transfer copies of downloaded subject-matter (e.g. forward them by email), as this in fact is making a copy of the protected subject-matter (an act restricted by the right of reproduction). If this is what is meant, it does not relate to the principle of exhaustion but is a straightforward application of the right to prevent unauthorised reproduction. In any case, article 6's otherwise complete silence on the issue does not expressly safeguard the exhaustion principle and therefore, it is implicitly overridable, which is as for TPMs, over-protective. It is true that most anti-circumvention provisions over-protect sole source database producers. Nonetheless, as regards sole source off-line and online databases not subject to contract 106, some anti-circumvention provisions, those provided for in article 6.4, are more adequate than TPMs as they preserve some exceptions. The mechanism of article 6.4 has an effect similar to rendering exceptions imperative. The last aspect of anticircumvention provisions left to examine is therefore article 6.4's mechanism, which safeguards some exceptions.
103
In other words, the anti-circumvention provisions are the legal confrnnation of this technical power. Dusollier, supra fn. 4, p. 117. 1114 This is so even if the travaux préparatoiresmake clear that the intention is the protection of TPMs that protect exclusively copyright works and the exercise of the exclusive rights on copyright works. Indeed, article 6.3 of the Directive frontally contradicts this declaration. Article 6 is reproduced at supra fn. 42. 1115 "The question of exhaustion does not arise in the case of services and on-line services in articular. C...) Unlike CD-ROM or CD-I, where the intellectual property is incorporate in a material medium, namely an item of goods, every on-line service is in fact an act which should be subject to authorisation where the copyright or related right so provides." 1116 As a reminder, this notion includes on-line databases in the cases where the database producer has not used contract to override the exceptions or has used a contract but which aoes not override the exceptions.
/
221
La sécurité de l'individu numérisé
1.2.2 - The mechanism safeguarding exceptions As explained in section V, article 6.4's mechanism safeguarding the exceptions enables right holders to voluntarily take appropriate measures to ensure that beneficiaries of a series of exceptions may benefit from them and if they do not, requires Member States to ensure the same UJ7. Article 6.4's mechanism has much to commend in its principle but also attracts several criticisms. First and foremost, only certain exceptions are safeguarded. The Copyright Directive gives no explanation to this. Some commentators have argued that these exceptions translated fundamental in108 terests or confirmed recital 51 which states that "the legal protection of technological measures applies without prejudice to public policy, as reflected in Article 5" 109.But these arguments are not convincing as the exceptions for parody and citation do not feature in article 6.4's list whereas they translate fundamental freedoms and if article 6.4's list of exceptions are public policy, how is it to be understood that their implementation has not 110 been imposed to Member States ? Also, the number of exceptions effectively safeguarded may even be less extensive than that of those listed in article 6.4 as they must match those effectively enacted in national laws 111. According to some, whilst right holders can grant the benefit of more exceptions to users (according to freedom of contract), it is less clear that the state may do so 112.As far as the sui generis right exceptions are concerned, this means that in case Member States have implemented the exceptions for the purposes of research and teaching and of public security or administrative or judicial procedures, right holders may and if they default, Member States themselves should ensure that TPMs cannot prevent users from benefiting from them. On the other hand, it is unclear whether the lawful user's right to extract and re-utilise insubstantial parts is part of the list, as it
Ill? A detailed overview of article 6.4 can be found in Dusollier, supra fn. 4, p. 160 ff. 1118 See e.g. M. Martin-Prat, "The relationship between protection and exceptions in the EU "information society" Directive" in Proceedingsof theArAl Congress2001, Atijuncts and Alternatives to Copyright, Columbia University Scnoo1 of Law, New York, 2002, 466, p. 469 ; J. Sarnnadda, "Technical measures, private copyin,g and levies: perspectives on implementation" [2002] in Proceedingsof the f(Jh Annual Conferenceon International IntellectualPropertYLaw and Polil)',Fordham University School of Law, 4-5 April 2002. 109 See authors cited by Dusollier, supra fn. 4, p. 166, fn. 260. 110 The exceptions listed in article 5.2-5.4 of the Copyright Directive are optional. Dusollier, supra fn. 4, p. 166-167; Lucas & Sirinelli 2006, supra fn. 34. 111 Dusollier, supra fn. 4, p. 167. 112 Ibid. 222
Appropriation et eXploitationdes bases de données
is not clear whether it is stricrly an exception 113.However, as article 15 of the Database Directive provides that contracts may not override it, afortiori right holders may not overturn it through the use of TPMs. As explained in section V.l.l.l, it would not make sense that the exception prevails over the will of contractual parties but could be overturned by the stricrly unilateral will of the right holder. A second criticism is the voluntary nature of the measures to be taken by right holders. Giving the respect of exceptions to right holders is certainly ironic, possibly dangerous and potentially unworkable. They are not interested in allowing users to benefit from them as they want the smallest possi-
ble free use of their databases 114. Since the measures are voluntary, right holders will probably not be encouraged to take any. However, since the state must act if they do not, they may still be encouraged to do so to avoid overarching state measures.l1S Measures taken by right holders can consist in contracts, as article 6 of the Copyright Directive indicates, but could also be TPMs themselves if it is possible for technique itself to allow users to benefit from exceptions (this has been calledfair use ry design)116.However, in many cases, fair use by design is hard to apply 117.Another possibility is for the right holders to entrust a key to unlock the TPM to certain trusted parties who would give it to users after having verified they are authorised to benefit from a particular exception (kry escrowsystem) 118.This option, 113 Aplin, supra fn. 30, p. 183, adding that "consequently, there is the reallikelihood that, in the case of on-line databases, the above exceptions can be overridden by the use of technological protection measures". To be precise, this consequence would not only apply to online databases but also to off-line digttal databases. 114 Heide, supra fn. 33, p. 331. 115 1. Petrit, "Protecting Technology Over Copyright: A Step Too Far" [2003] Ent. LR 1, p.4. 116 Dusollier, supra fn. 4, p. 170 citing the 12th Conference on Computers, Freedom and Privacy, San Francisco 2002, published in Communications of the ACM, April 2003, vol. 46, p. 31 ff. 117 Bechtold, supra fn. 34, p. 369. Contra: D. Marks & B. Turnbull "Technical Protection Measures: the intersection of technology, law and commerciallicenses" [2000] EIPR 198, at 202, who foresaw the now widespread use of more sophisticated TPMs that allow the work to be copied once or only a certain number of times. See in the same vein, the TPM used by Apple on iPods that allows the user to listen to a downloaded song on five different computers. See Apple, Share Easily. Stream Wirelessly., http://www.apple.com/itunes/. 118 D. Burk & J. Cohen "Fair Use Infrastructure for Rights Management Systems" [2001] 15 Harvard Journal if Law & Technology41, p. 65-70 who proposed to combine a key escrow system with a shaping of TPMs ; W. Basler "Techno[ogical Protection Measures in the United States, The European Union and Germany: How Much Fair Use do we Need in The "Digital World" ?" [2003] 8 Virginia Journal of Law & Technology13., paragraph 76 ; Sellars, supra fn. 38, p. 8; Bechtold, supra fn. 34, p. 374-375 (noting tliat SUChsystem could raise privacy concerns as the agency could collect personalmformation on which user wishes 223
La sécurité de l'individu numérisé
however, may very well defeat the protection of works in general119. Once the key is given to one or more users, it can easily be passed on and be used for illegitimate uses. One more possibility would not force right holders to give users the key. In case a user only needs to use part of a specific work or database (which will often be the case as the exceptions generally do not allow use of the whole protected subject-matter), she could inform right holders of her wish and the right holder or independent body would provide her this part unprotected by TPM 120. A third criticism is the absence of clear timescale or deadline given to right holders to take the voluntary measures (recital 51 only states that if right holders decide to take measures, they must do so within a reasonable period of time) 121.Because an exact period of time is not specified, the reasonable character of the period given to take measures is left to the appreciation of the judge. This interpretation can thus differ from court to court. The circumstances of each case will have to be taken into consideration. It will depend on each category of user or each exception 122.However, as will be seen in the next section, the more sophisticated mechanisms put in place by some Member States apparendy give users the right to act at any time so that the absence of voluntary measures is inconsequential. This system is efficient as it is likely to force right holders to adopt measures to avoid state provisions that they may find too restrictive to their taste. Fourthly, the Copyright Directive does not explain what the appropriate measures taken by the state must consist of. This criticism is closely linked to the second criticism. The harmonisation is therefore partial and this delegation to Member States may lead to legal uncertainty if the mechanisms
differ largely from state to state 123. Indent 4 of article 6.4 is perhaps its single most criticisable indent. As stated above in section V, the TPMs interface does not exist if a database is to use a work and for which purpose); F. De Visscher & B. Michaux "Le droit d'auteur et les droits voisins désormais dans l'environnement numérique: la loi du 22 mai 2005 ne laisse-t-elle pas un chantier ouvert?" [2006] JT 133, p. 142 note that the Danish law provides the obligation to give analog copies of works to users or keys to open the TPM. 119 N. Braun "The Interface Between the Protection of Technological Measures and The Exercise of Exceptions to Copyright and Related Rights: Companng the Situation in the United States and the European Community" [2003] EIPR 496, p. 502. 120 See similarly, Sellars, supra fn. 38, p. 8 who mentions the obligation for right holders to provide unprotected copies on request to permitted users or to deposit such copies in desi~ated places where permitted users may make copies. 21 Strowel, supra fn. 24. 122 De Visscher & Michaux, supra fn. 118, at 142. 123 Dusollier, suprafn. 4, p. 172. 224
Appropriation
et exploitation des bases de données
made available to the public on agreed contractual terms at a time and place individually chosen by the user. Arguably, if all sole source databases are made available in this form, it means the death of exceptions (except perhaps for the right to extract and re-utilise insubstantial parts of the contents of the database). Commentators have feared that indent 4 of article 6.4 will apply to all acts of making available on the Internet 124.This is perhaps a litde exaggerated because this would mean that the Internet would not exist anymore as we currendy know it, as no web site or page including protected subject-matter (so most of the Internet) would be accessible without clicking "I accept" or even without paying a fee as well. This has not happened yet, if it ever will. However, indent 4 of article 6.4 certainly over-protects producers of sole source databases solely commercialised on-line. Before concluding which features of article 6.4's mechanism are overprotective, a look at the French implementation law is essential as article 6.4 left options to Member States.
1.2.3 - Implementation in France France only very belatedly implemented the Copyright Directive, over three and a half years after the deadline 125,The new articles L. 331-5 to 33121 of the Intellectual Property Code faithfully implement article 6.4 of the Copyright Directive 126,For instance, L. 331-10 accurately reproduces article
124 See e,g. P. B. Hugenholtz ''Why the copyright Directive is unimportant and possibly invalid" [2000] EIPR 499, p. 500; Martin-Prat, supra fn. 108, p. 475 ; Dusollier, supra fn. 4, P:i51;~~ Member States have fleshed out the skeleton-like mechanism of article 6.4 in various imaginative ways. For an overview of the mechanism in some Member states, see Braun, supra fn. 119, p. 501 ff.; U. Gasser "Legal Frameworks and Technological Protection of Digital Content: Moving Forward Towards A Best Practice Model"[2006] 17 Fordham IntellectualProperry, Media and Entertainment Law Journal 39, p. 76 ff. ; M. Vivant, "La limitation ou "réductIOn" des exceptions au droit d'auteur par contrats ou mesures techniques de protection. De possibles contrepoids", General Report, Proceedingsof the ALAI Congress, Ba.rc~lona,2006, not yet published, p. 12 ff. who also notes that there IS quasi no case law on this Issue yet. 126 Law n° 92-597 of 1 July 1992 on the Intellectual Property Code as last amended by Law n. 2006-961 of 1 August 2006 relating to copyright and related rights in the information society, JO n. 178, 3 August 2006, p, 11529. For comments on me new French law and its
implementation of article 6 of the Copyright Directive, see Lucas & Sirinelli, supra fn. 34 ; S. Dusollier "L'introuvable interface entre exceptions ques d~ protectioI( ~006] CCE, n. 1~, Etude 29;. ç" adaptation du droit auteur aux besoms de la societe de fImmatériel, 2007, p. 75 ; A. Latreille & T. Maillard ques de protection et d'information », D., p. 2171.
J
225
au droit d'auteur et mesures techniGeig7r "La lo.i du 1er août 2006, une de l'mformation ?", Rtvue Lamy Droit «Le cadre légal des mesures techni-
La sécurité de l'individu munérisé
6.4.4. The remainder of article L. 331 establishes an independent body 127in charge of regulating TPMs (Autorité de Régulation des Mesures Techniques ("ARMT"), «the Authority ») and enacts a mechanism to safeguard copyright exceptions. This mechanism is extended to sui generisright-protected databases by article L. 342-3-1. The French copyright act goes further than the Copyright Directive by obliging the right holders to take measures and do their best to do so in cooperation with approved associations defending consumers' interests and other interested parties (art. L. 331-9) 128.As far as sui generisright-protected databases are concerned, the main role of the Authority is to ensure that TPMs may not prevent the exercise of the research and teaching exception as well as the exception for the benefit of handicapped persons (art. L. 331-8). The Authority safeguards exceptions in two ways: either it takes itself the initiative to control TPMs or it reacts to a beneficiary's action 129.Indeed, any beneficiary of the above exceptions and any approved legal person representing her can introduce an action before the Authority if a TPM restricts the benefit of one of these exceptions (art. L. 331-13 and 331-14). The law does not indicate a deadline within which right holders must take voluntary measures. So presumably users may lodge a complaint before the Authority at any time. The Authority favours conciliation between parties and if it is fruitful, the content of the conciliation has executive force. If the conciliation fails within two months of the introduction of the action, the Authority either rejects the action or grants an injunction prescribing the appropriate measures to ensure the benefit of the exception. It determines the conditions of the exercise of these exceptions (art. L. 331-8). In addition, the Authority can also issue an injunction requiring the payment of a daily fine for non-compliance. Parties can lodge an appeal, which stays the proceedings, before the Court of Appeal of Paris. 1.2.4 - Conç/lIsion In conclusion, the flaws of the anti-circumvention provisions are generally the same as those of TPMs as the law has usually merely echoed what 127 It is composed of judges of the highest French courts, a member of the Conseil supérieur de la propriété littéraire et artistique and of one technician. See art. L. 331-17 to 33121. 128 For a similar provision, see article 12 bis of the Belgian Database Act, as amended by the Act of 22 May 2005, implementing in Belgian law European Directive 200l/29/EC relating to the harmonisation of certain aspects of copyright and related rights in the information society, M.B. 27 May 2005, p. 24997. 129 Dusollier, supra fn. 126; A. Latreille & T. Maillard, suprafn. 126, p. 2183. Selon ces derniers auteurs, «l'ARMT ne doit cependant intervenir qu'en cas de carence constatée de l'initiative privée II. 226
Appropriation
et exploitation des bases de données
TPMs can do. The grant of additional rights of access and use and the overridability of the principle of exhaustion are over-protective. Whilst the idea of having a mechanism safeguarding exceptions is adequate, many of its features over-protect database producers. First, neither the Database nor the Copyright Directives list all exceptions embodying the human rights to information and privacy and the public interest and most of these exceptions are also not preserved in article 6.4. As article 6.4 leaves no option to Member States on this point, national implementation laws reflect this flaw. The same is true for article 6.4.4. Like Belgian law which renders all exceptions imperative 130,the general imperativity of article 6.4 (i.e. the fact that exceptions must be safeguarded for both sole and multiple source databases) over-restricts the parties' contractual freedom in a competitive context. Nevertheless, in the procedural aspects, where the Copyright Directive gave a freehand to Member States, the French implementation generally provides adequate protection. The obligation for right holders «to take measures puts them under pressure to ensure that users can benefit from their exception» 131.However, the simple fact that the Copyright Directive left Member States options as to the procedure and the type of measures to be imposed on right holders may well inevitably lead to lack of harmonisation 132.Consequently, depending on the country users are based in, some may be able to benefit from an exception whilst some may not enjoy the same. 2 - A posteriori and negativeprotection The question this section attempts to answer is whether it is overprotective for database producers to use TPMs to protect databases that were once protected by the sui generis right but have fallen in the public domain and databases which cannot attract sui generis right protection (section 2.1). The same question arises if the law backs up this technical unilateral protection (section 2.2).
130 On this see E. Derclaye, supra En. 6, Chapter 4, esp. Section 2.2.1. infine. 131 Such obligation exists also in Belgian law. 132 For a comparison between the French and British mechanisms implementing article 6.4 showing such potentiallack oEharmonisation, see E. Derclaye, supra In. 6, Chapter 5, Section 3.2.3. 227
La sécurité de l'individu numérisé
2.1- The protection of databases by TPMs A TIM can protect a database perpetually 133.A TIM can for instance cause to destroy the fu:st downloaded copy of a database or installed copy of an off-line digital database after a certain period of time, forcing the user to acquire a new copy of the same (updated or not) database and thus pay, potentially for ever, for data fallen in the public domain. Like the other commentators, S. Dusollier does not envisage the overridability of the term of protection by TPMs (nor by anti-circumvention provisions for that matter), but her conclusions regarding the scope of the rights can again be applied by analogy. This means in short that since TIMs must adopt the contours of copyright, TPMs should not extend the term of protection. U sing the yardstick followed throughout this article, as the effect of TIMs is even more protective than that of contracts, the arguments developed in respect of the contractual protection of databases can be similarly
applied
134.
Accordingly, three situations can be identified. First, in the case
of multiple source databases, the market is competitive and database producers will not be enticed to make abusive use of TPMs. If they do, their competitors will propose databases with TPMs, if any, that do not protect the database perpetually. As a result, the former willlose custom. The market should therefore regulate itself. The law does not have to interfere as there is no market failure. Article 81 ECT will deal with cases of possible collusion. In conclusion, there will be neither a posteriorinor negative overprotection of multiple source databases. Second, if a TIM carries on protecting a suigenerisright-protected sole source database after the expiry of its term of protection, there is over-protection if the user has no means to circumvent the TIM 135.Third, a TPM protecting a sole source database that cannot be protected by sui generisright is over-protective per se, at least if it overrides the limits of an adequate database protection. Article L. 331-5, paragraph 6 of the French Intellectual Property Code seems at fu:st sight to reflect this view, i.e. that TIMs cannot prevent the free or normal use of a database, but as seen in section VI.1.1.1., in fact the 133 Rothchild, supra fn. 25, p. 503-504 stating he is unaware of a TPM that includes a feature that renders it ineffective after a certain amount of time. 134 For the full developments, see E. Derclaye, supra fn. 6, Chapter 4, Section 3. 135 Lucas & Sirinelli, supra fn. 34 note, in the field of copyright works, that this kind of de facto monopoly will be rare because it is difficult to imagme that the TPM has resisted all circumvention attempts during 70 years after the death of the author. This comment can be extrapolated to the 15 year term of the suigenerisright. 228
Appropriation
et eXploitation des bases de données
provision has been added simply to ensure that TPMs do not prevent playability of works on different media. 2.2 - The protection
of databases
by anti-circumvention
the
provisions
The law does not protect against the circumvention of TPMs protecting unprotectable databases or databases fallen in the public domain 136.Article 6.3 of the Copyright Directive defines TPMs as those which apply to subject-matter protected by copyright or related rights including the sui generis right. Therefore, since TPMs protecting unprotected subject-matter are excluded from the legal definition of TPM, they are not legally protected against circumvention. Consequendy, no problem of over-protection occurs. This state of affairs is adequate as, according to the yardstick used in this article, those databases do not deserve any protection. Nonetheless, to ensure sole source database producers do not contract out from article 6.3, the latter should be made imperative. 3 - Conclusion According to the economic and human rights justifications for investment in databases and the public interest, the protection of digital multiple source sui generis right-protected databases by TPMs and anti-circumvention provisions is not over-protective. However, article 6 of the Copyright Directive and nationallaws including French law rendering (some) exceptions generally imperative, as they apply to digital multiple source databases, are unnecessary and over-restrict the parties' contractual freedom. On the other hand, digital multiple source databases fallen in the public domain or unprotectable ab initio will never be over-protected. As far as digital sole source sui generis right -protected databases are concerned m, the use ofTPMs to secure rights to prevent access and use of the database, to override exceptions and/or the exhaustion principle overprotects the database producer's investment. The anti-circumvention provisions of article 6 of the Copyright Directive, which mirror this technical power, are therefore also over-protective. Whereas article 6.4's general mechanism of safeguarding exceptions is adequate, it is nevertheless overprotective in so far as it only safeguards a few exceptions and only mosdy in the off-line environment. In addition, the options as to procedure and type 136 Latreille & Maillard, supra fn. 126, p. 2173-2174. 137 As explained in the introduction to this chapter, sole source databases marketed in both digital and unprotected analog formats present the same problems as when marketed exclusively in digital format. 229
La sécurité de l'individu numérisé
of measures to insure the respect of exceptions that the European legislature left to Member States may result in a lack of harmonisation and corresponding probable under- or over-protection. Finally, digital sole source databases fallen in the public domain are overprotected if the T'PM protects the work indefmitely. Similarly, a T'PM protecting a sole source database that is unprotectable ab initio also overprotects database producers. The law however is not over-protective as anti-circumvention provisions do not back such protection by T'PMs. As those T'PMs may be circumvented with impunity, it will be rare that the over-protection caused by the use of the T'PMs lasts long. h now becomes clear that all these over-protections that the law currently allows may correspondingly increase the monopoly already granted by the sui genens right to sole source database producers. The possibility for such producers, through the use of T'PMs and anti-circumvention provisions, to charge excessive prices for access and use to a database and/or to refuse such access or use, to prevent the exercise of the principle of exhaustion and to restrict the exercise of virtually any exception (except most certainly the possibility of taking insubstantial parts of the database) obviously reinforces their monopoly power. Even though such monopolies will be rare (see section II), they must absolutely be curtailed one way or another. The fact that many important scientific databases, whose information can help save human beings, animals and the planet more generally (such as those containing genomic, meteorological or geographic data) may be detained by monopolists, be they private companies or governments, is alarming in a democratic society. Remedies must be found that prevent potential abuses by such database producers whilst at the same time ensuring that such databases still get created by keeping an appropriate incentive alive. VII - Remedies to over-protection
and monopolisation
As commentators have not explored the relationship between T'PMs and anti-circumvention provisions and the sui generisright, they have not proposed any specific solutions to it 138.However, as article 6 of the Copyright Directive applies mutatis mutandis to the suigenerisright, the solutions proposed by commentators in the realm of copyright are a useful guide to fmd an 138 With the exception of A. Kur, R. Hilty, C. Geiger & M. Leistner "First evaluation of Directive 96/9/EC of the Legal protection of DataDases - Comment by' the Max Planck Institute for Intellectual Property, Competition and Tax Law, Munich" l20061 fIC 551, p. 557 who briefly suggest to verify whether article 6.4 sufficiently safeguards the benefit of exceptions when database producers use TPMs to restrict them. 230
Appropriation
et eXploitation
des bases de données
adequate protection of databases by TPMs and anti-circumvention provisions. There are two ways of remedying the several over- and underprotective aspects of article 6 of the Copyright Directive as far as sui generis right-protected databases are concerned. Either, article 6 itself is redrafted or an additional provision is added in the revised Database Directive.139 Perhaps, for clarity, the second solution would be best. In addition, specific provisions prohibiting the use of TPMs as such in addition to anticircumvention provisions should be provided. It should first be noted that the new provisions should only apply to sole source digital databases, as neither TPMs nor anti-circumvention provisions over-protect digital multiple source databases, be they protected by the sui generis right or not. Let us fltst look at remedies to simultaneous overprotection. 1 - Remedies to simultaneous overprotection As to TPMs, the new law should include a provision prohibiting the use of TPMs by sole source database producers which override the sui generis right's limits. A TPM should therefore not grant more rights than those of extraction and re-utilisation, bypass the exceptions and the exhaustion principle. If they nevertheless do, the safeguard mechanism provided by article 6.4 of the Copyright Directive would anyway kick in.
139 Heide, supra fn. 33, p. 332-336 proposed a model based on article 7 of the Software Directive, which already provided a TPM interface. This system would do away with the complicated system set out in article 6.4 of the Copyright Directive. The relevant part of article 7 reads: "Special measures of protection - 1. Without prejudice to the provis10ns of Articles 4, 5 and 6, Member States shall provide, in accordance with their nationallegislation, appropriate remedies against a person committing any of the acts listed in subparagraphs (a), (b) and (c) below:(...) (c) any act of putting into circulation, or the possession for commerc1al purposes of, any means the sole intended purpose of which is to facilitate the unauthorized removal or circumvention of any technical device which may have been ap!,lied to protect a computer program. (...)" This provision allows acts of circumvention ana distribution of circumvention devices in order to benefit from all exceptions (provided in articles 5 and 6 of the Software Directive). This system (which is preserved by recital 50 and article 1.2 of the CO yright Directive as the latter is without prejudice to the ac'juis),has the merit to preserve al exceptions (in contrast to the Co!,yright Directive). This idea is adopted here (see later in this section). But its main flaw is that the distribution of circumventing devices can only be prevented if the device's only pU!E0se is to circumvent the TPM protecting the computer program. As many devices have different purposes including legitimate ones, this provision potentially allows massive infringements. In addition, contrary to what Heide argues, article 7 does not prevent right holders from derogating to this article as article 9 only provides imperativity as far as contracts are concerned and not unilateral acts like TPMs. Therefore, article 7's system arguably cannot be adopted as a model for databases as it does not respect the economics of information goods and weighs too much in favour of users.
f
231
La sécurité de l'individu numérisé
As to anti-circumvention provisions, the granting of rights of access and use to sole source database producers needs to be scrapped 140.Accordingly, the third paragraph should be changed to replace the words in italic in the following part of the paragraph "the expression « technological measures » means any technology, device or component that, in the normal course of its operation, is designed to prevent or restrict acts, in respectof works or other su,?ject-matter, which are not authorised
!?J
the right holder of a'!)! copyright or a'!)! right
relatedto copyrightas providedfor !?Jlaw or the sui generis right' by "breaches of [copyright and related rights including] the sui generisright". This would ensure that database producers cannot restrict the access and use including the consultation of the database by lawful users. Of course, the main revisions to the Copyright Directive concern the mechanism to safeguard the limits of the suigenerisright. The economic and human rights approaches combined with the public interest, which determine an appropriate protection of databases, mandate the preservation of the limits of this appropriate protection for sole source databases. In practice, article 6.4's safeguard mechanism should be modified as follows. First, all the existing and newly proposed exceptions to the sui generis right 141should be safeguarded as they all preserve the public's right to information, the right to privacy and the public interest. This would entail that, as far as the sui generisright is concerned, article 6.4.2 of the Copyright Directive relating respectively to the private copying exception, should be deleted 142.Similarly, the principle of exhaustion should be safeguarded. This safeguard system entails that these limits are imperative. Second, article 6.4's mechanism should be modified to withdraw the possibility of right holders to take measures. The best system would be to give users a direct action against right holders before a single and pan-European independent body which would be in charge of the safeguard of the sui generisright's li-
140
Note that otherwise, the first three paragraphs of article 6 are generally adequate. See
E. Derclaye, supra fn. 6, Chapter 10, Section 7.3.
141 These new exceptions are: extraction and re-utilisation of a substantial part of a database for the purpose of news reporting and for the purpose of criticism or review. These two additional exceptions would effectively guarantee the public's right to information. Exceptions in the pu5lic interest should include at least extraction and re-utilisation for the benefit of disabled people and of libraries and archives (including an exception to the right of f,ublic lending). 42 This was proposed in the field of copyright by Dusollier, supra fn. 4, p. 546. 232
Appropriation et exploitation des bases de données
mits
143.
Of course, if a database modellaw is adopted internationally, there
should be a single international body performing this task. An advantage of this system is that it allows a general and preventive action, as it can act of its own initiative. Indeed, leaving the matter to judges may be conducive of different decisions within the same country and a fortiori between different countries. Such body could also observe how the market evolves and suggest modifications to the legislature. It could therefore intervene ex ante before a TPM is applied to a product (while courts can only act ex post) 144.A third advantage of this system is its inexpensiveness. The user would not have to engage legal proceedings but would just report the matter to the body, who would then act. In this respect, the safeguard mechanism could for instance resemble the system of complaints for breaches of competition law to the European Commission. Appeals of the decision's body could be made to the European Court of Justice. In the context of an international body, such appeal could perhaps be heard by wro panels. A fourth advantage is that the body could also collect remuneration that must be paid ac145. cording to certain exceptions Alternatively, it could work in collaboration with the relevant collecting societies. The most adequate way of allowing users to benefit from their exceptions would be to grant the pan-European independent or international body the power to force right holders to provide users with the substantial part of the contents of the database to the user who wishes to use it without the protection of the TPM 146,or perhaps only in analog format if the part asked is too big. The solution advocated here is a good compromise between the database producers' and the users' interests, and respects the yardstick followed in this article. Before such a pan-European body is put into place, the interest or freedom founding each exception can already be taken into account by the judiciary in the conflicts which oppose users to the right holders' use of TPMs to protect their databases. Courts could also allow users to benefit from the principle of exhaustion while waiting for a modification of article 6.4. 143 This solution had already been sketched out by Strowel, supra fn. 24 ; Dusollier, supra fn. 90, p. 6-7. See also Basler, supra fn. 118, para. 76 (only proposing a national agency) ; Dusollier, supra fn. 4, p. 547 (seemingly only recommending a national orgarusm). 144 Dusollier, supra fn. 90, p. 6-7. 145 Basler, supra fn. 118, paragraph 76, who also notes that the agency or body "could be financed by keeping a percentage of these payments". 146 See similarly, Sellars, supra fn. 38, p. 8 who mentions the obligation for right holders to provide unprotected copies on request to permitted users or to deposit such copies in designated places where permitted users may make copies. 233
La sécurité de l'individu numérisé
Last but not least, article 6.4.4 should not be applicable to sole source databases which are solely commercialised on-line, as it annihilates the safeguard system 147.This indent should not be deleted altogether but made applicable only to multiple source databases. Similarly, in the context of the revised safeguard system, the law should perhaps clearly provide that the exceptions are subject to the independent body's review procedure in case of digital multiple source databases, as such imperativity overly restrict the parties' contractual freedom. 2 - Remedies to a posteriori and negative overprotection
We can now turn to a posteriori and negative protection. First, TPMs should not prevent the falling into the public domain of information at the expiry of the term. It contradicts the economics of information goods, the public's right to information and the public interest. The law should thus state that a TPM protecting a sui generisright-protected sole source database should automatically deactivate itself once the term of protection is over or that right holders should refrain from including a time bomb in the database (causing the database to stop working and be inaccessible). Alternatively, users should have the possibility to ask the database producer the means to deactivate the TPM or ask for an unprotected copy of the database. The independent body, in case of a dispute, could force right holders to comply. The fIrst solution seems more respectful of the criterion followed in this article as the human rights claim of the sui generisright is weaker than that of copyright. In addition, the law should state that a TPM may not protect a database that does not fulf1l the requirements of the revised suigenerisright. A similar sanction could then apply. Second, as to anti-circumvention provisions, article 6.3 already adequately provides that unprotectable databases should not be protected. The new law could make this even clearer by rendering article 6.3 imperative. 3 - Conclusion If these remedies are adopted, the likelihood of monopolisation of information will greatly decrease. Correspondingly, the security of individuals should increase. However, more needs to be done to nuther decrease information monopoly risks. Accordingly, in addition, the law should provide other mechanisms to curtail abuses of dominant position by sole source database producers. Ideally, carefully crafted compulsory licences within statu147 For a similar solution in the context of copyright, see Dusollier, supra fn. 4, p. 546. 234
Appropriation
et eXploitation
des bases de données
tory law (in Europe, within the Database Directive and the national imple148 rather than resorting to commentation laws) would be the best option petition law. The reasons why are explored elsewhere 149. If the Database Directive is not modified to include such compulsory licences, existing competition law rules (article 82 ECT and the Community case law) will in any case continue to be the traditional remedy to abuses by database mono1511 has polists. Unfortunately, the long-awaited decision in the Microsrift case arguably not clarified the case law 151.
148 For proposals, see E. Derclaye, supra fn. 6, Chapter 10, Section 5. 149 See ibid., Chapter 10, Section 7.4. 1511 Case T 201/04, Microsoft v. Commission,CFI, 17 September 2007, available on www.curiaeuropa.eu 151 The last case on point before the Microsoft decision (IMS Health GmbH & Co OHG v NDC Health GmbH & Co KG (C-418/01) [2004] 4 C.M.L.R. 28 (ECJ)) already clarified the previous case law (see e.g. E. Derclaye, "The IMS Health decision and the Reconciliation of Copyright and Competition" [2004] 5 ELR 687-697) but more can be done. 235
Base de données
2.0 : nouvelles approches d'appropriation d'extraction « loyale» des données
et
ADELJOMNI Maître de conférences - Université Montpellier l I
- Introduction
Internet est sans conteste l'évolution technologique, économique et sociale la plus significative de la dernière décennie, marquant l'avènement de l'ère informationnelle. Nous assistons à l'émergence d'un nouveau paradigme où les données \ 3 représentent, 2 dans tous les domailes informations et les connaissances nes, des ressources stratégiques que nul ne peut désormais ignorer ou sousestimer. Depuis sa création, le réseau Internet connaît une progression régulière, rapide et particulièrement significative. Les récents développements constituent un virage important dans l'histoire de ce réseau et ouvrent la voie à une nouvelle génération favorisant le partage, l'échange et l'innovation en matière de communication, d'information et d'accès à la connaissance. Le Web 1.0: les fondations
du réseau
La première génération d'Internet a permis de mettre en place un vaste réseau informatique international et de proposer, grâce à la fiabilité de ce réseau, un gigantesque système d'information ouvert au monde entier.
1 Donnée: fait, notion ou instruction représentés sous une forme conventionnelle convenant à une communication, à une interprétation ou à un traitement soit par l'homme, soit Elle est définie par un nom, un type et une valeur. ~ar des moyens automatiques. Information: renseignement que l'on attache et que l'on peut déduire d'un ensemble données et de certaines associations entre données. 3 Connaissance: une accumulation d'informations analysées et interprétées. nécessite processus d'acquisition (un raisonnement).
de un
La sécurité de l'individu numérisé
L'harmonisation
FTP
6,
SMTP
des protocoles de communication (TCP /IP 4, HTTP 5, 8, etc.), l'apparition d'interfaces graphiques facilitant la
7, POP3
navigation sur le réseau, la généralisation du courrier électronique, l'inondation du réseau par un nombre incalculable de pages web touchant tous les domaines, la présence de moteurs de recherche de plus en plus efficaces, le déploiement du haut débit et le développement du logiciel libre constituent les fondations de l'Internet. Le Web 2.0 : la révolution
des usages
L'actuelle génération, appelée Web 2.0, présente un ensemble d'approches permettant de passer d'une collection de sites web à une plateforme informatique proposant des données et des services (ou Web services souvent réutilisables, partageables et générateurs de valeur ajoutée. Aujourd'hui, l'internaute change de statut. Il quitte celui de simple consommateur pour devenir acteur/producteur. Il enrichit le contenu et il crée ses propres méthodes d'accès aux données en partageant souvent ses méthodes avec des communautés d'intérêts. Tim O'Reilly, qui est à l'origine du concept Web 2.0 résume cette nouvelle génération d'Internet par: « le Web 2.0 correspond fondamentalement à la prise de conscience que nous quittons l'ère de l'ordinateur personnel pour entrer dans l'ère d'Internet». Les technologies utilisées avec cette nouvelle génération (XHTML , JO, . . 15 CSS Il , Javascnpt 12, XML 1'\- , DOM 14, AJax , etc. ) sont connues et testees
~
(Transmission Control Protocol I Internet Protocol) : protocole de communication permettant d'identifier les machines sur le réseau Internet et de choisir le parcours optimal pour acheminer les données. 5 HTTP (HyperText Transfert Protocol) : protocole standard de transmission des pages Web sur Internet. (, FTP (File Transfer Protocol) : protocole de communication dédié au transfert de fichiers sur Internet. 7 SMTP (Simple Mail Transfer Protocol) : protocole de communication permettant l'envoi et la distribution de messages sur Internet. 8POP3 (post Office Protocol) : protocole utilisé pour télécharger les messages reçus par un serveur de messagene. 9 Web service: technologie permettant à des applications de dialoguer à distance via Internet indépendamment des plate formes et des langages. 10XHTML: c'est une version du langage HTML ~angage permettant de décrire les pages Web) respectant les spécificités du langage XML. \I CSS (Cascadin~ Style Sheets: feuilles de style en cascade) : langage permettant de décrire la présentation d un document HTML, XHTML ou XML. 12Javascript : langage de programmation orienté objets très utilisé pour écrire des petits programmes s'integrant facilement dans les navigateurs afin d'effectuer des tâches précises. 4 TCP lIP
238
Base de données 2.0 : nouvelles approches
d'appropriation
et d'extraction
« loyale» des données
depuis quelques années. C'est, plutôt, une véritable révolution des usages, basée sur l'intelligence collaborative, que nous propose le Web 2.0. Les blogs, les wikis, les flux RSS, les mashups, la folksonomie, les réseaux sociaux et le bureau virtuel sont des exemples d'applications issues de cette nouvelle génération. Elles ont un point commun: elles ont changé notre manière de s'informer et de s'approprier les données en mettant l'internaute au centre du dispositif.
II - Base de données 2.0 et nouvelles approches d'appropriation des données L'arrivée des navigateurs « riches 16» et la multiplication données induisent inévitablement de nouveaux besoins:
des sources
de
disposer d'une application permettant d'agréger des données et des services provenant de plusieurs sources sans avoir à consulter plusieurs sites et à s'identifier plusieurs fois, faciliter l'interaction et la communication entre les données et les services pour encourager la création de nouveaux services à valeur ajoutée, , . A 17 attrl b uer p Ius d e sens aux d onnees grace aux meta d onnees et aux ' ' liens entre ces données en vue de générer de nouvelles informations.
Parmi les applications de référence ayant apporté des réponses à ces nouveaux besoins, on distingue les « agrégateurs de flux» et essentiellement les mashups. Agrégateur de flux ou syndication
de contenus
Un flux est un fichier au format XML dont le contenu est obtenu automatiquement à partir du site web (portail, blog, journal, etc.) auquel il se
XML (eXtensible Markup Language) : norme d'échange de données sur Internet. 14DOM (Document Object Mode!) : c'est une recommandation du W3C (consortium qui gère les standards liés à Internet) qui permet la représentation du contenu d'un document HTML ou XML sous la forme d une arborescence d'objets. 15AJAX (Asynchronous JavaScript And XML) : ensemble de méthodes de développement Web (s'appuyant sur le html, xmf, Javascript, etc.) permettant d'améliorer l'affichage des informations sur un navigateur. Il s agit d'actualiser une page Web sans la recharger totalement. 16Riche (Rich Internet Application ou Rich media) désigne un navigateur récent intégrant des foncnonnalités lui permettant d'exécuter certaines tâches sans faire appe! au serveur. 17Métadonnée : donnée servant à défInir ou décrire une autre donnée. 13
239
La sécurité de l'individu numérisé
rapporte. Il s'agit d'extraire un contenu informationnel (sous format RSS 18, Atom 19, etc.) et de l'exploiter soit à partir de ressources propres (un site 20 par personnel) soit à partir d'une application spécialisée (comme Netvibes exemple). Ce type d'application facilite la veille informationnelle sans être aussi in-
trusif qu'un courriel et sans nécessiter l'emploi de multiples URLs visualiser l'information. Mashup
ou agrégation
des données
21
pour
et des services
Un mashup (ou mixage) est une application qui agrège des données et des services provenant de sites tiers afIn de constituer une nouvelle source de données et de proposer des services novateurs améliorant le confort d'exploitation des données. Pour préparer l'ensemble des données à intégrer dans son mashup, le concepteur de ce type d'application sélectionne les bases de données les plus utiles, isole les données pertinentes, crée une architecture permettant de relier les données entre elles et enrichit ses données avec des métadonnées suggérées par les internautes. C'est cet ensemble de données hétérogènes et unique que je désigne par « base de données 2.0 ». Une base de données 2.0 assure aux données l'opportunité de servir des applications et des utilisateurs intéressés plus par les métadonnées que par les données elles-mêmes ou bien désirant exploiter les données dans un but différent de celui pour lequel elles ont été créées. La principale caractéristique d'une base de données 2.0 réside dans la nature des données utilisées et la manière de les obtenir. Une base de données 2.0 gère deux types de données: des données primaires ayant une existence « virtuelle» car elles sont exploitées à travers des interfaces sans qu'elles soient déplacées de leurs emplacements d'origine, des métadonnées (recommandations, commentaires, tags 22, etc.) représentant
le contenu
généré par les internautes
permettant
de boni-
18 RSS (Really Simple Syndication) ; format de syndication de contenu Web, basé sur le XML. Un fichier RSS peut être lu avec un lecteur de flux (ou de fils) RSS. 19Atom; format de représentation de contenu structuré en XML permettant la syndication de contenu. 20 Netvibes; application en ligne permettant de personnaliser et de paramétrer une page d'accueil en assemblant des flux et des services Weo avec une interface intuitive. 21URL (Uniform Resource Locator) : adresse unique permettant de localiser une ressource sur Internet (exemple; http://cnrs.!r).
240
Base de données 2.0 : nouvelles approches
d'appropriation
et d'extraction
« loyale» des données
fier les données primaires au fur et à mesure qu'elles sont agrégées dans de nouvelles applications et exploitées dans de nouveaux services. III - Base de données
2.0 et extraction
« loyale»
La création d'une base de données 2.0 s'appuie essentiellement sur 23 (Application Program Interface), ouvertes et lil'exploitation des APIs brement accessibles. Les APIs proposées par les fournisseurs de données autorisent l'extraction «loyale}) et l'agrégation des données. De nombreux pionniers de l'Internet ont mis à disposition du public des APIs permettant l'extraction loyale de leurs données. Les exemples les plus représentatifs de cette tendance sont:
.
.
Google: l'APl Google Maps permet l'accès à une importante base de données cartographique (plan routier avec les noms des rues, des quartiers et le plan satellitaire). Elle donne la possibilité à tous les internautes d'intégrer gratuitement dans leurs sites un système de géolocatisation. Amazone : l'APl d'Amazone autorise les internautes à ouvrir une boutique sur le web en exploitant ses données, ses métadonnées et même son système de paiement en ligne.
L'énorme succès de ces deux APIs confirme l'intérêt de disposer d'une base de données 2.0 ouvrant la possibilité d'imaginer et de créer d'innombrables services auparavant inaccessibles sans de lourds investissements. L'exploitation des bases de données 2.0 est devenue le cœur de métier des entreprises 2.0 24.
22
Tags: « mots-clés» associés à du contenu.
23APl (Application Program Interface) : interface de programmation d'applications permettant à deux programmes informatiques de communiquer entre eux grâce à des standards communs. 24 Entreprise 2.0: selon Andrew McAfee (professeur à l'université Harvard Business School),1'entreprise 2.0 « correspond à une utilisation de plateformes sociales émergentes au sein de societés ou entre des sociétés et leurs partenaires ou leurs clients ». 241
La sécurité de l'individu numérisé
IV - Base de données sécurité informatique,
2.0 : sécurité
juridique
La disponibilité des outils, des données et des services avec une interopérabilité de plus en plus efficace rend la création des bases de données 2.0 relativement accessible à une majorité d'acteurs de l'Internet. Ces possibilités d'ouvertures ne doivent pas faire oublier les responsabilités juridiques et professionnelles qui pèsent sur celui qui s'approprie les données et s'en sert pour créer de nouvelles applications. On distingue essentiellement deux types de risques: les risques encourus par l'auteur (ou producteur) des données et les risques que peut subir le « tiers exploitant» (ou distributeur) des données. A - Risques encourus par l'auteur (ou producteur) des données
En proposant ses données à partir d'une APl, l'auteur peut perdre la maîtrise et la distribution de ses données au profit d'un tiers en raison des difficultés techniques pour faire valoir ses droits sur des données de plus en plus morcelées et fusionnées avec d'autres données. L'autre risque concerne l'augmentation des failles de sécurité sur le serveur de données du producteur. Le détournement des APIs et la vulnérabilité des navigateurs récents sont les principales causes des failles constatées. L'amélioration de l'ergonomie de ces navigateurs (riches) s'est accompagnée par un déplacement d'une partie des traitements vers le navigateur. Les conséquences de ce changement sont l'apparition de nouveaux types 25 SQL 26 ou le d'attaque sur les serveurs de données comme les injections Cross Site Scripting (XSS 27) . B - Risques subis par le (( tiers exploitant )) (ou distributeur) des données D'un point de vue juridique, il est très difficile pour un distributeur, en cas de conflit avec l'auteur (ou les auteurs) des données, de faire valoir ses droits sur son investissement dans le développement de nouveaux services et sur la valeur ajoutée (sélection, croisement, enrichissement, etc.) obtenue sur les données agrégées. 25
Injection SQL : usage illicite de commandes SQL à partir d'un formulaire (par exemple) afin de modifier le comportement ou le résultat d'une requête. 26 SQL (Structured Query Language) : le langage de référence pour la définition, la manipulation et le contrôle des données. Utilisé avec les bases de données relationnelles. 27 XSS (Cross Site Scripting) : exploiter une faille dans les procédures de contrôle d'un site ~à partir d'un navigateur) pour exécuter un script malveillant permettant de rediriger l utilisateur vers un autre site (Phishing) ou d'usurper son identité par exemple. 242
Basede données 2.0 :nouvellesapprochesd'appropriationet d'extraction« loyale»des données D'un point de vue technique, le « tiers exploitant », gère une base de données contenant essentiellement des données qui ne lui appartiennent pas. Cette situation fragilise sa position en raison des risques liés à la pérennité des APIs et à l'indisponibilité des serveurs de données qui alimentent sa base de données. Ces deux problèmes peuvent anéantir tout le projet proposé par un « tiers exploitant ». Tous ces risques fragilisent la situation des bases de données 2.0 et imposent des réflexions en matière de sécurisation technique et juridique des bases de données 2.0. Si dans le domaine technique, les problèmes sont bien identifiés et les solutions sont déjà proposées avec des processus de développement sécurisés, le domaine juridique se trouve face à une nouvelle problématique engendrée par l'extraction loyale et l'externalisation des données et aussi par le nouveau statut de l'internaute en tant que co-développeur et par conséquent potentiellement responsable. Les solutions adoptées, aujourd'hui, reposent sur la contractualisation des APIs et sur les aspects positifs du modèle économique qui régissent l'exploitation des APIs et des bases de données 2.0.
v - Extraction « loyale» des données et modèle économique En ouvrant son système d'information par l'exposition de ses données et de ses services via des APIs publiques, l'entreprise démultiplie la puissance de ses données en profitant du potentiel illimité d'innovation apporté par le Web 2.0. Cette ouverture présente plusieurs avantages pour le producteur et pour le « tiers exploitant» des données: la réduction applications teurs,
des coûts nécessaires au développement de nouvelles plus souples et plus conformes aux besoins des utilisa-
la multiplication des canaux de distribution et d'exposition permettant l'élargissement de l'audience de l'entreprise grâce à l'implication des internautes dans le développement de nouveaux services et dans la création de nouvelles méthodes d'accès aux données ouvertes, l'enrichissement, grâce à l'intelligence collaborative, des données primaires avec d'autres données génératrices de trafic supplémentaire amenant de la publicité, la compréhension par l'observation en temps réel du comportement des utilisateurs, de leurs attentes et de leurs habitudes afin de proposer de nouvelles fonctionnalités et services, 243
La sécurité de l'individu numérisé
-
la rémunération du «tiers exploitant» soit par la monétisation du trafic généré par le biais de liens sponsorisés soit à partir d'une rémunération à la performance (ou partage de revenus), la réduction des pertes liées à l'extraction déloyale des données.
Ces avantages valident les choix d'externalisation des données opérées par les entreprises et renforcent l'intérêt des nouvelles approches d'appropriation des données représentées par les bases de données 2.0.
VI - Conclusion Les entreprises ont pris conscience de l'importance stratégique d'ouvrir les données. Les prochaines années nous réservent une course vers la possession des données «uniques» et une forte augmentation des services, à valeur ajoutée, développés autour des données libres. L'agitation actuelle, constatée chez tous les ténors de l'Internet, pour le rachat d'entreprises disposant de données stratégiques, confirme bien ces prévisions. La première génération du Web (Web 1.0) a favorisé l'émergence du 10giciellibre. La deuxième génération (Web 2.0) a révolutionné les usages sur Internet. Les perspectives d'évolution du Web 2.0 vers un Web 3.0 exploitant les progrès des recherches dans le domaine du Websemantique pour établir des relations plus «intelligentes» entre les données, annoncent le début d'une longue histoire, celle des données libres. Désormais la valeur ajoutée d'une donnée dépend du degré de dynamisme qu'elle suscite sur Internet.
Bibliographie Livres: ANDERRUTHY J-N, Web 2.0 : Rivolutions et nouveaux services d'Internet, ENI -éditions, 2007. DELACROIX J, Les wikis, espace de l'intelligence collective, M2 éditions, 2005. DE ROSNAY J, 2020 les scénarios du futur, Des idées Et des Hommes, 2007. GARDARIN G, XML, 2002.
des bases de données aux services Web, Dunod,
244
Base de données 2.0 : nouvelles approches
d'appropriation
et d'extraction
« loyale» des données
GERVAIS J-F, Web 2.0 les internautes au pouvoir, Dunod,
2007.
LEFEBVRE A, Les réseaux sociaux - Pivot de f1nternet 2.0, M2 éditions, 2005.
REVELLIC, Inteffigencestratégiquesur Internet,Dunod, 2000. SHAH S, Web 2.0 Securiry: Difending /'Yax, RIA, and SOA, Charles River Media, Networking series, 2007. VAN DER VLIST E, VERNET A, BRUCHEZ E, ProfessionalWeb 2.0 Programmin~ Wrox Press, 2006. URLs : sites et blogs What is Web 2.0, Tim O'Reilly: http://www.oreillynet.com/ pub/ a/ oreilly / tim/news/200S /09 /30 /what-is-web-20.html The Web 2.0 Workgroup: Techcrunch:
http://web2Oworkgroup.com/
http://fr.techcrunch.com/
A. McAfee (Harvard Business School) http://blog.hbs.edu/ faculty / amcafee/ Le Web 2.0 en Action: http://leweb2.blogspot.com/ Révolution Wev 2.0 en Live: http://www.webdeux.info/ Dessine-moi le web 2.0: http://www.deuxzero.com/ Entreprise 2.0, une réalité: http://nauges.typepad.com/my_weblog/ Media2.0 : http://www.media2.fr/index.ph Site de téléchargement d'APl: http:/ / programmableweb.com/
245
Sécurité et exploitation des données
Persistance des données
! Réinventer l'art d'oublier et de se faire oublier dans la société de l'information Antoinette ROUVROY Applications de la géolocalisation Gwendal LE GRAND La géolocalisation des biens et des individus dans l'espace public: liberté de circulation et réseau de télécommunications Gaylord BAUDEN-HAMERELet César POVÉDA
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information? ANTOINETTE ROUVROY Centre de recherche Informatique et Droit, Université de Namur Introduction « La plupart des gens s'adonnent au mirage d'une double croyance: ils croient en la pérennité de la mémoire (des hommes, des choses, des actes, des nations) et à la possibilité de réparer (les actes, les erreurs, les péchés, les torts). L'une est aussi fausse que l'autre. La vérité se situe juste à l'opposé: tout sera oublié et rien ne sera réparé. Le rôle de la réparation (et par la vengeance et par le pardon) sera tenu par l'oubli. Personne ne réparera les torts commis, mais tous les torts seront oubliés» (Milan Kundera, La plaisanterie, Gallimard, 1975.) « Élever un animal qui puisse promettre n'est-ce pas là cette tâche paradoxale que la nature s'est donné à propos de l'homme? N'est-ce pas là le problème véritable de l'homme ?.. Que ce problème soit résolu dans une large mesure, voilà qui ne laissera pas d'étonner celui qui sait bien quelle force s'y oppose: la force de l'oubli. L'oubli n'est pas une simple vis inertiae,comme le croient les esprits superficiels, c'est bien plutôt une faculté d'inhibition active, une faculté positive dans toute la force du terme; grâce à lui toutes nos expériences, tout ce que nous ne faisons que vivre, qu'absorber, ne devient pas plus conscient, pendant que nous le digérons (ce qu'on pourrait appeler assimilation psychique), que le processus multiple de la nutrition physique qui est une assimilation par le corps. (...) : on voit aussitôt pourquoi sans oubli il ne pourrait y avoir ni bonheur, ni sérénité, ni espoir, ni fierté, ni présent. (00') Et bien cet animal nécessairement oublieux, pour qui l'oubli représente une force, la condition d'une santé robuste,a fmi par acquérir une faculté contraire, la mémoire, à l'aide de laquelle, dans des cas déterminés, l'oubli est suspendu (...) » (Friedrich Nietzsche, La généalogiede la moraledeuxième dissertation - La « faute », la « mauvaise conscience », et ce qui leur ressemble.) Alors que la fascination du « virtuel» dans les années quatre-vingt-dix s'alimentait de rêves d'évasion dans un « cyberespace» indépendant et paral-
La sécurité de l'individu numérisé
lèle à l'espace physique, depuis les années 2000, les technologies informatique et réseautique ont envahi l'espace physique, 1'« augmentant» en enrichissant le champ visuel des usagers d'informations dynamiques et contextualisées d'une part, et, d'autre part, « traduisant» de plus en plus le monde physique, et ses habitants, en « données» métabolisées par le système 1. Cette « traduction» du monde physique et de ses habitants en information digitalisée pose peut-être la question d'une inversion des rapports entre la mémoire et l'oubli: la «capacité d'oubli », biologiquement inscrite dans l'être humain, condition d'une santé robuste selon Nietzsche, ne va-t-elle pas céder le pas à une « faculté de mémoire» non biologique? Plusieurs auteurs ont déjà suggéré qu'alors que l'humanité avait jusqu'à présent toujours semblé manquer de mémoire, l'oubli prévalant par défaut, nous serions actuellement engagés dans un processus d'inversion du rapport entre oubli et mémoire dans la mesure où, par défaut, toute information (sonore, visuelle, textuelle) serait bientôt enregistrée et conservée sous une forme digitale, l'oubli, nécessitant une action positive d'effacement des données, devenant de ce fait l'exception plutôt que la règle 2. L'enregistrement et la conservation, sous forme de traces digitales désincarnées, d'une part croissante des faits, gestes, événements importants ou triviaux qui font la substance du quotidien, devraient, suggèrent ces auteurs, à présent nous inquiéter. Entre les deux pôles, de la mémoire et de l'oubli, se déploie une problématique d'une inftnie complexité. En témoigne la multitude des approches développées en théorie des médias, en histoire, en anthropologie, en sociologie, en philosophie, en neurosciences... et la variété des objets de recherche visés: mémoire organique, sociale, collective, artiftcielle... L'intention du présent chapitre n'est pas de faire le tour de la question mais tout au plus 1
Lev Manovich, « Pour une poétique de l'espace augmenté », Parachute: ContemporaryAn
MagaiJne, 1 cr janvier 2004.
2
Viktor Mayer-Schonberger, « Useful Void: The Art of Forgetting in the Age of Ubiquitous Computing », John F. Kenne4YSchool of Government Faculty-ResearchWorking Papers Series, RWP07-022, April 2007, http://ksgnotes1.harvard.eau/Research/wpaper.nsf/rwp/ RWP07-022 : « For millennia remembering was hard, and forgetting easy. By default, we would forget. Digital technology has inverted this. Today, with affordable storage, effortless retrieval and global access rememberinghas become the default, for us individually and for society as a whole.» Sur ce thème, lire aussi, notamment Chris Locke, « Digital Memory and the Problem of Forgetting », in Susannah Radstone (ed), Memory and Methodology,Oxford, Berg, 2000, 25-36 ; Martin Dodge, Rob Kitchin, « The ethics of forgetting in an age of pervaslVe computing », Centrefor Advanced Spatial AnalYsis Working Paper Series, n. 92, 2005, http://www.casa.ucl.ac.uk/working.... papers/paper92.pdf ; Alison Landsber « Prosthetic Memory: Total Recall and Blade Runnen>, in M Featherstone, R. Burrows (eds , Çyberspace/ Çyberbodies/ Çyberpunk, Sage, 1995, 175-189 ;Jean-François Blanchette, Debora ~ G. Johnson, « Data Retention and the Panoptic Society: The Social Benefits of Forgetfulness », The Information SocietY,2002, 18(33), 45. 250
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
d'identifier et de caractériser certains enjeux sous-jacents à la multiplicité d'enregistrements en tous genres auxquels l'existence individuelle quotidienne, de la vie publique aux expériences les plus intimes ou privées, ne sembleplus pouvoir, ni, dans une certaine mesure, vouloir, échapper. L'évaluation que nous voulons tenter portera sur les facteurs non seulement technologiques mais également sociopolitiques d'un tel changement. Nous voulons pour ce faire nous démarquer du déterminisme technologique trop prégnant à l'heure actuelle dans le champ du droit et qui n'envisage souvent, comme cause unique et déterminante des défis nouveaux, que le progrès technologique interprété pour l'occasion comme origine autonome des menaces pour la dignité, l'autonomie et l'égalité des personnes 3, ignorant du même coup la relation de coproduction, ou de renforcement mutuel, existant nécessairement entre processus technologiques, et sociopolitiques 4. Notre propos consistera ensuite à observer les enjeux de l'accroissement de la « mémoire digitale », à travers la problématique de la « subjectivation c'est-à-dire la façon suivant laquelle nous devenons des « sujets» dans un univers d'« objets communicants» - ainsi que les ramifications juridiques et politiques de la nouvelle mécanique de la mémoire et de l'oubli. Il importera de clairement distinguer la mémoire autobiographique des individus et la mémoire numérique, dans la mesure où, nous semble-t-il, la « face objectale» de la mémoire numérique, de par sa construction « hétéronome» (du 5. point de vue du sujet), pose des questions inédites Ce qu'il nous intéresse d'explorer à travers une réflexion sur le « droit à l'oubli» dans la société de l'information, c'est la manière dont les nouvelles technologies - et les formes inédites de production du savoir et de constitution de la mémoire qui les accompagnent - instigatrices de changements culturels, transforment les processus de « subjectivation » ou de développe-
3
La perception réductionniste des transformations sociales résultant du postulat que cellesci ont pour source privilégiée les développements scientifiques a ceci de paradoxal qu'alors qu'elle surévalue le pouvotr de transformation sociale des technologies pour le pire, elle reste souvent aveugle par principe à ce que les nouvelles technologies ont à offrn en termes d'émancipation et d'experimentation de nouveaux modes de vie et d'interactions. 4 Cette relation de co-production a été mise en lumière notamment par Sheila ]asanof, Bruno Latour, Isabelle Stenghers et bien d'autres. 5 « La question est osée dans sa radicalité dès l'investigation de la face objectale de la mémoire: qu'en est-" de l'énigme de l'image, d'une eikôn - pour parler grec avec Platon et Aristote - qui se donne comme présence d'une chose absente marquée du sceau de l'antérieur? », Paul Ricœur, La Mémoire, l'histoire,l'oubli, Paris, Ed. du Seuil, septembre 2000, 672 pages.
/
251
La sécurité de l'individu numérisé
ment par l'individu d'une personnalité qui lui soit propre 6. L'enjeu de ce détour, plus philosophique que juridique, est fondamental pour le droit: puisque l'autodétermination, ou le libre développement de la personnalité se trouvent être les concepts-clés des régimes de protection de la vie privée et dans la société de de protection des données 7, il s'agit de repenser, l'information, comment le « sujet» ou le « soi» se constitue dans le temps 8, peut « s'autodéterminer» à travers, ou malgré la persistance, sous forme digitalisée, de traces de ses moindres faits, gestes, émotions, choix... et l'intensification du contrôle, de la surveillance, du profIlage et de la banalisation des pratiques individuelles spontanées peu compatibles avec la préservation par l'individu de sa propre vie privée. Nous voulons soutenir que l'une des conditions nécessaires à l'épanouissement de l'autonomie individuelle est, pour l'individu, la possibilité d'envisager son existence non pas comme la confirmation ou la répétition de ses propres traces, mais comme la possibilité de changer de route, d'explorer des modes de vie et façons d'être nouveaux, en un mot, d'aller là où on ne l'attend pas. C'est bien ce « droit à une seconde chance », la possibilité de recommencer à zéro (que consacre déjà le droit à l'oubli lorsqu'il impose par exemple l'effacement des mentions de condamnations pénales, après un certain temps, du casier judiciaire) qu'il importe de restaurer ou de préserver, non seulement pour les personnes ayant purgé une peine criminelle, mais pour l'ensemble de la population dès lors qu'augmente la capacité de mémoire digitale. « C'est dans les dossiers des archives de la police que 6 « (...) pour rendre compte de cette articulation entre les soubresauts politiq1Jes gigantesques qill existent aujourd'hui dans le monde et les révolutions technoscientifiques, il faut essayer de cerner de plus près en quoi les technologies informatiques et de la commande ne sont pas uniquement de l'ordre des techni-sciences mais intçrvtennent en tant que telles dans 1a production de subjectivité individuelle et collective. A cette condition, on pourra rendre compte d'interactions, de relations, de r:P.tures événementielles qui, autrement, apparaissent comme tout à fait déconcertantes. » (Félix Guattari, entretien entre Félix Guattari et Jacques Robin, «Révolution informationnelle, écologie et recomposition subjective », MultItudes web, 12 mars 2007). 7 À ce sujet, nos réflexions dans Antoinette Rouvroy et Yves Poullet, « The right to informational self-determination and the value of self-development. Reassessing the importance of privacy for democracy», in Reinventing Data.Protection ?, proceedings of the International Conference held in Brussels, 12-13 October 2007, Springer (à paraitre). 8 En conclusion d'un précédent travail, nous suggérions ceci: « ln a post-conventional configuration, one woUld have to define human beings as necessarily marked by difference, never completely contained in themselves, never complete in the present, but always over time. Normative consequences derive from that conception of the self: rights should not merely be allocated with the aim of maximizing agency or welfare in the present, rights should also be conceived as guarantees against the complete condensation or swallowing of the self by 'presence' - what is thereand what is now. » (Antoinette Rouvroy, Human Genes and NeoliberalGovernance.A FoucauldianCritique, New York & Abingdon, 2008, p. 257). 252
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
se trouve notre seule immortalité », écrivait Milan Kundera dans Le livre du rireet del'oubli9. Une immortalité que la notion d'« individu numérisé» paraît étendre, bien au-delà des archives de la police. Nos 'corps digitaux' portent des stigmates qui sont peut-être plus difficiles à effacer que la boue ou le péché - les marques d'anciens retards de paiements ou d'infractions de la circulation passées. Ils nous poursuivent, nous trahissent alors que nous tentons d'obtenir des emprunts hypothécaires ou des visas. Mais ils sont aussi manipulés par nous, ignorants qu'ils sont de nos transactions en liquide ou de nos nouveaux tatouages 10. 1- L'hypothèse d'une inversion l'oubli se justifie-t-elle ?
de paradigme
de la mémoire
et de
La diminution des coûts et l'augmentation des capacités de stockage d'information sous forme digitale sont principalement évoquées pour suggérer qu'alors qu'il devient de fait moins coûteux de la conserver que de l'effacer, par défaut, toute information digitalisée est « naturellement» stockée quelque part. L'argument se vérifie dans les pratiques individuelles de chacun d'entre nous, pour qui il est devenu de fait moins coûteux et moins fatigant de conserver que de trier et d'éliminer une partie des documents digitaux (textes, images, sons) de plus en plus nombreux que nous produisons, utilisons ou recevons chaque jour. Ne nous est-il pas, en effet, devenu « naturel» de vivre entourés, pour ainsi dire, d'un nuage d'informations digitales facilement mobilisables à tout moment, stockées à portée de main et accessibles à partir des nombreux terminaux de moins en moins encombrants et de plus en plus mobiles, que nous consultons de notre domicile ou de notre lieu de travail, ou que nous transportons dans nos poches? Parallèlement à l'augmentation des capacités de stockage digital, la banalisation des pratiques de surveillance, de 'monitoring', de profilage des individus par les bureaucraties tant privées que publiques, caractérise le régime de capitalisme informationnelll que nous connaissons. C'est que les techno9 Gallimard, 1987. 10 « Our 'data bodies' carry stains that are perhaps harder to clean than mud or sin - the marks of past late payments or motoring offences. They pursue us, confronting us as we apply for mortgages or visas, but they are also manipulated by us, ignorant as they are of our cash transactions or new tattoo.» (John E. McGrath, Loving B{g Brother. PeifOrmance,Privaryand SuroeillanceSpace, Routledge, 2004, p. 159). II « What is distinctive about informational capitalism is that personal information has become the basic fuel on which modern business and government run and (h') the systematic accumulation, warehousing, processing, analysis, targeting, matching, manipulation and use of personal information is producing new forms of government and business (...).» ( Perri6, The Future ofPrivary, London, Demos, 1988, pp. 14-15). 253
La sécurité de l'individu numérisé
logies de l'information, de la communication et de la réseautique ne se sont pas développées dans le « vide» : elles doivent leur essor, au moins en partie, à la préexistence sinon d'une demande sociale, du moins d'un terrain culturel, social, économique, favorable à leur déploiement 12.Le phénomène exponentiel de rétention de l'information, comme phénomène technologique, économique et culturel, renforce et résulte en partie d'un ensemble de présomptions relativement indiscutées qui caractérisent le mode de gouvernance néolibéral actuellement dominant. L'une de ces présomptions fait de l'acquisition, de la conservation et du traitement d'informations à caractère personnel relatives aux individus le moyen le plus efficace pour réduire l'incertitude dans le champ de la sécurité 13, de la gestion gouvernementale, du marketing et une condition indispensable pour réduire les risques et maximiser les profits. Les entreprises privées ne sont pas en reste, qui, comme Google, conservent les requêtes introduites dans les moteurs de recherche sur Internet 14, pratique que le groupe de travail européen « Article 29 » sur la protection des données à caractère personnel souhaite voir strictement limitée 15. L'information personnelle digitalisée, perçue comme une « ressource» fondamentale au même titre que l'énergie, et comme un « bien» marchand, doit sa «valeur» au privilège définitionnel et prédictif des identités, comportements, préférences et risques individuels qui lui est systématiquement attribué (Plutôt qu'aux variables structurelles ou contextuelles socio-économiques et environnementales). Rares sont les bureaucraties privées ou publiques qui se passent du traitement automatisé de don12
On pourrait à cet égard reprendre, en l'adaptant au contexte des technologies de l'information et des communications, l'idée de « coproduction» sociale et technique développée par Sheila Jasanoff dans le contexte des biotechnologies. (Sheila Jasanoff, States oj Knowledge: The Co-Production of Scienceand Social Ortkr, Routledge (International Library of Sociology),2004). 13 Ainsi, la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, impose aux fournisseurs de ces services de conserver, pour une durée de six mois à deux ans, les 'données de connexion' des utilisateurs permettant d'identifier ces derniers, les dates, horaires et durées de chaque communication, et permettant d'identifier les destinataires des communications. 14 Lire à cet égard Omer Tene. 2008. « What Google Knows: Privacy and Internet Search Engines», ExpressO Available at: http://works.bepress.com/omectene/2. 15 L'opinion récente du Groupe de travail « article 29» sur la protection des données à caractère personnel précise que la directive européenne 2006/24/CE ne s'applique pas aux opérateurs de moteurs de recherche (Article 29 Data Protection Working Party, « Opinion on data protection issues related to search engines», April 4, 2008). Lire aussi la lettre adressée par le Groupe de travail « article 29 » à Mr. Fleischer, conseiller juridique de Google en matière de vie privée, le 16 avril 2007, relativement à la politique de Google en matière de protection de la vie privée. http://epic.org/privacy/ftc/googIe/art29_0507.pdf. 254
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
nées personnelles à des ftns statistiques et/ou de proftlage des consommateurs ou consommateurs potentiels et des administrés. La surveillance, dont témoigne l'invasion des espaces tant privés que publics par les caméras de vidéo surveillance 16, et le recueil d'informations personnelles apparaissent par défaut comme dictés par les objectifs indiscutables de prévention de l'insécurité, de rationalisation des services publics, de maximisation de l'efftcacité et du proftt des entreprises, et même de convivialité lorsque les opérateurs de 'réseaux sociaux' tels que Facebook conservent les profùs des utilisateurs, même après désactivation des comptes de ces derniers, qui n'ont par ailleurs pas la possibilité de maîtriser la trajectoire des contenus qu'ils 'postent'. Enftn, à côté des pratiques individuelles et bureaucratiques de collecte et de conservation d'informations en tous genres, nous assistons aussi à la banalisation de l'enregistrement volontaire et de l'exposition publique de leur existence personnelle par les individus eux-mêmes notamment à travers les 'réseaux sociaux' tels que Facebook. «La confession publique de ses secrets intimes dans un show télévisé est devenue la vérité dernière du retrait dans la sphère privée », au point que « L'ultime résultat de la subjectivation mondialisée n'est pas la disparition de la réalité objective mais la disparition de la subjectivité elle-même », écrit Slavoj Zizek, dans Bienvenue dans le désert du réel17. Dans le domaine du droit, le phénomène se traduit par l'intensiftcation de l'incertitude conceptuelle dont souffrent les notions de protection de la vie privée et des données à caractère personnel, de plus en plus solennelle16
À propos du déploiement de la vidéosurveillance en Europe, lire le rapport final du projet de recherche européen UrbanEye (Septembre 2001-Févner 2004), Leon Hempel, Eric Tôpger, « On the Threshold to Urban Panopticon? Analysing the Employment of CCTV in European Cities and Assessing its Social and Political Impacts », 2004, http://www.urbaneye.net/results/ ue_ wp 15.pdf. Lire également Norris c., McCahill M., Wood D., 2004, « The Politics of CCTV in Europe and Beyond », Surveillanceand society,vol. 2, n° 2-3, 2004. At : http://www.surveillance-andsociety.org/cctv.htm; Pieter Kfeve, Richard V. De Mulder, Kees van Noortwijk, « Surveillance technology and law: the social impact », Int. J. Interculturall1iformation Management, 2007, Vol. 1, no. 1, pp. 2-16. 17 Slavoj Zizek, Bienvenuedans le désertdu réel,trad. François Théron, Champs Flammarion, 2007, p. 130. L'interprétation opposée, proposée par Hille Koskela, est que l'exposition publique de la vie privée peut dans une certaine mesure constituer un « empowering exhibitionism », par lequel les individus, devenant les sujets actifs de la production d'images, subvertissent les codes conventionnels qui régissent la délimitation du « montrable» et de ce 9.ui doit « rester caché », et ainsi exposent les tensions culturelles relatives aux conceptions epistémologiques de la vision, des genres, des identités, et de la moralité, dans une contestation du rapport traditionnel entre visibilité ou transparence d'une part, et pouvoir ou contrôle d'autre part. Loin de désubjectiver l'individu, l'exposition volontaire de sa vie privée lui permettrait de se réapproprier les normes présidant à sa subjectivation. Lire Hille Koskela, « Webcams, TV Shows and Mobile Phones: Empowering Exhibitionism », Surveillanceand SocietY,CCTV Special (eds. Norris, McCahill and Wood), 2004, 2 (2/3), 199-215. 255
La sécurité de l'individu numérisé
18 alors même que leur signification concrèment protégées dans les textes 19 te et leur mise en œuvre effective s'avèrent plus que jamais compromises. La banalisation des pratiques de surveillance et d'auto surveillance, l'intensification des phénomènes de « profilage» et le déploiement de tech20 tendent à rendre obsolènologies de type « environnements intelligents» tes les régimes de protection des données à caractère personnel, et érodent la sensibilité du public aux menaces que font peser, sur l'existence même de leur vie privée, les pratiques des bureaucraties publiques et privées gourmandes d'informations à caractère personnel. De fait seule une minorité de la population paraît préoccupée par la montée de la « société de surveillance» justifiée a priori par les logiques absolues de sécurité, d'efficacité, de confort et d'interaction. Mais au-delà d'une soumission passive aux idéologies dominantes, peutêtre faudrait-il voir, dans cet « amour pour Big Brother» 21, l'un des premiers indices d'une transformation anthropologique significative, préfigurée par les opérations de « life-logging », consistant en l'enregistrement automatique, à l'initiative d'un individu, de l'intégralité de ses expériences quotidiennes au moyen de dispositifs technologiques combinant caméras, capteurs divers et systèmes informatiques, et permettant l'avènement d'une 22 reliant des « auto surveillance » radicale. La récente invention de Microsoft capteurs physiologiques et/ou environnementaux voués à enregistrer notamment le rythme cardiaque, la transpiration, les signaux électriques émis par le cerveau, le rythme respiratoire, la température corporelle, les expressions faciales et la pression sanguine des employés, de manière à permettre à 18 En témoigne notamment la consécration du droit à la protection des données à caractère personnel comme droit à valeur « quasi-constitutionnelle» dans un article spécifique (article B) de la Charte européenne des dro1ts fondamentaux. 19 « In today's Web 2.0 world where many people instantly share very private aspects of their lives, one can hardly imagine a privacy concept more foreign than the right to be let alone» (Andrew B. Serwin, « Privacy 3.0 - The Principle of Proportionality », disponible sur SSRN : http://ssrn.com/abstract=lOS9513). 20 Sur les défis spécifiques que t'osent les « environnements intelligents» pour la protection de la vie privée et des donnees a caractère personnel, voir notre étude, Antoinette Rouvray, « Privacy, Data Protection, and the Unprecedented Challenges of Ambient Intelligence », Studies in Ethics, Law, and Technology (Berkeley electronicpress), 200S, vol. 2, Iss. 1. http://www.bepress.com/selt/vol2/iss1 1art3. 21 John E. McGrath, Loving Big Brother. Peiformance,Privary and SU17Jeiffance Space, Routledge, 2004. 22 Pour une description du dispositif « Monitoring Group Activities» en question, se reporter à la description de l'invention sous-tendant la demande de brevet: http://
appftLuspto.gov
1netacgil
nph- Parser?Sect1
=PT01&Sect2= HITOFF&d
= PG01 &p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.html&r=
007030017
4%22.PGNR.&OS=
DN 12007030017
256
1&f=G&l=50&s
4&RS= DN 120070300174.
1=%222
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
l'employeur d'évaluer les niveaux de stress, de performance, de contentement au travail ou de frustration des employés paraît annonciatrice d'une intensification de la «visibilité» et de l'enregistrement de « faits» relatifs aux individus, construits sur base d'informations a Priori triviales, et dont les individus eux-mêmes n'ont pas même conscience le plus souvent mais auxquelles l'intermédiation technologique confère intelligibilité et sens en fonction des attentes spécifiques d'un « contrôleur ». Si la traduction systématique du monde physique et de ses habitants en données digitales s'accompagne de vulnérabilités nouvelles de l'individu, celles-ci peuvent, nous semble-t-il, s'analyser comme résultant de la convergence de deux phénomènes. Le premier est la perte de contrôle, par l'individu, de la trajectoire et des codes d'intelligibilité (de l'interprétation qui sera faite) des 'traces' qu'il émet dès lors que ces dernières sont potentiellement disséminées, conservées et interprétées hors du contexte social et temporel initial où elles ont été 'produites'. Autrement dit, il s'agit de l'absence de pouvoir de l'individu sur les agencements, l'intelligibilité et la circulation de ses données à la fois dans l'espace et dans le temps. Le second phénomène consiste dans l'intensification du «contrôle à distance» que permettent les nouveaux dispositifs informationnels.
2 - Nouvelles vulnérabilités: profilage et contrôle à distance 2.1 - Spécificités qualitatives de la (( mémoire digitale ))
À côté des enjeux liés à l'augmentation quantitative de la mémoire digitale, ce sont donc aussi de certains de ses aspects qualitatifs qu'il convient de nous inquiéter. Faute de recul temporel, il nous est malaisé d'identifier et de prendre la mesure de ce qui se joue dans l'intermédiation technique à travers laquelle se «construit» la «mémoire digitale». Qu'advient-il de la « mémoire» lorsqu'au lieu de résulter du processus «naturel» par lequel l'homme se souvient, elle résulte plutôt d'une construction - ou agencement de données d'origines disparates - manipulable et médiatisable ? Alors que, a priori, la mémoire humaine paraît faillible mais authentique 23,la mémoire digitale, elle, paraît artificielle et manipulée, mais, assez paradoxalement, plus fiable que la mémoire humaine. Il nous faut en tout cas noter que la « mémoire digitale », à la différence de la « mémoire incarnée» dans les individus ou les collectivités, est une mémoire éminemment mobile, se réor23
Il convient toutefois de tenir compte des usages stratégiques qui sont parfois faits de la
mé~oire humaine et, en particulier, ae la mém01re collective, à des fins politiques ou géopolitiques. 257
La sécurité de l'individu numérisé
ganisant constamment « en temps réel», répondant principalement aux impératifs de pertinence et de vitesse alors que deviennent inopérants les critères de vérité, d'objectivité, de diversité, de critique, et de 'profondeur historique' propres à l'évaluation de la mémoire humaine. Plutôt que de refléter passivement le « réel» tel qu'il s'est produit dans le passé, la mémoire digitale, résultant de l'intermédiation technologique, reconstruit inévitablement nos perceptions de la causalité liant les phénomènes que nous observons, de l'agencivité des acteurs, de la valeur explicative de tel ou tel facteur. En d'autres termes, la mémoire digitale construit une forme de «savoir», qui concerne notamment les individus, suivant des algorithmes qui, pour une large part, échappent à leur contrôle et qui, répondant aux besoins bureaucratiques spécifiques du contrôleur des traitements de données, répercutent et amplifient plus qu'ils ne transforment les normes d'intelligibilité et de reconnaissance socialement instituées 24. Il est donc illusoire de croire en la séparation des espaces virtuels et de l'espace « réel» ou plutôt « matériel» dans lequel nous habitons. S'il y a bien « déterritorialisation » et « décontextualisation » des interactions et des rapports interindividuels dans la société de l'information, nous assistons aussi actuellement, à la faveur de l'implantation de dispositifs informationnels dans un nombre et une variété de lieux de plus en plus importants, et d'un 25 retour aux idéologies de référence et aux logiques dominantes, à un processus de « reterritorialisation » radicale. Si bien sÛt la personne humaine reste irréductible aux « profils» qui « filtrent» en quelque sorte son identité, le phénomène du profùage, basé sur le recueil et l'agencement d'informations parfois signifiantes mais souvent triviales par elles-mêmes confère, à distance géographique et temporelle - à des informations personnelles qui peuvent être totalement insignifiantes pour la personne elle-même, un sens particulier auquel sont attachées des conséquences qui, elles, peuvent être rien moins que triviales. L'individu numérisé n'est pas le résultat d'une construction autonome de la personne, mais résulte, en partie du moins, des algorithmes de classification à l'œuvre dans la construction des profils. Il s'agit en cela d'une constmc/ion d'identité hétéronome.
24
Et dont le caractère « socialement institué» et la contingence
dents. 25
.
.
F e' lix G uattan,op.Cl!. 258
n'apparaissent
plus évi-
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
2.2 - Contrôle à distance et cotiformisme anticipatif Le développement et le déploiement en réseau de la « mémoire digitale» s'accompagnent d'une intensification des phénomènes de « contrôle à distance». En lieu et place du type de contrôle facilement identifiable par les individus dans les sociétés traditionnelles, se mettent en place des nouvelles instances de contrôle et de surveillance publiques ou privées largement invisibles et donc difficiles à contester pour les individus. Ces nouvelles instances de contrôle et de surveillance se présentent de manière dépersonnalisée et fonctionnent sur la base de savoirs créés notamment par la combinaison des 'traces' laissées par les utilisateurs d'Internet, et objectivées sans contact direct avec l'individu (ex. : le screening des mails sur base de mots-clés, la constitution de profùs à partir des sites visités). Cette décontextualisation du contrôle et de la surveillance s'opérant en fonction de « normes abstraites» (telle personne correspond-elle a priori à tel profù ?) peut faire craindre qu'à défaut de correspondre aux profùs optimums, certains individus se voient discriminés dans l'accès à certains biens et/ou services et opportunités. La distance ainsi creusée entre contrôleurs et contrôlés a deux conséquences : la première est que les individus ne « voyant» pas ceux qui les observent conservent peut-être un peu naïvement l'impression de n'être pas vus dans toute une série de circonstances quotidiennes où ils se croient à l'abri des regards. Il s'en suit que le critère fondé sur l'existence d'« expectations of privacy» des individus, tel qu'utilisé dans certains arrêts de la Cour suprême américaine, n'a plus qu'un très faible effet protecteur pour la vie privée des individus. Les protections de la vie privée doivent donc être redéfmies face à un contrôle plus difficile à cerner et dont l'enjeu est plus lointain même s'il est plus fondamental dans la mesure où il peut influencer notamment les perspectives socio-économiques des personnes ainsi que leur capacité à exercer effectivement leurs droits et liberté fondamentaux. Une seconde conséquence du «contrôle à distance» est que dans la mesure (encore faible dans le contexte du cyberespace mais beaucoup plus importante si l'on considère les modes de surveillance à distance mis en place dans l'espace public (vidéo surveillance) ou sur les lieux de travail), où les individus se savent surveillés, pistés, observés, et, en conséquence catégorisés et en quelque sorte «jugés hors contexte» sans avoir l'occasion de contrôler la signification que le dispositif de surveillance dérive de leurs faits et gestes; le fait pour eux d'être exposés aux réactions quasi automatiques du dispositif de surveillance s'ils adoptent, ne fût-ce qu'involontairement, des comportements traités comme « non conformes» ou simplement 259
La sécurité de l'individu numérisé
« inhabituels », peut induire un phénomène de «conformisme anticipatif» (anticipative coiformiry 2~ dans la population soucieuse d'éviter toute « friction» avec le système de surveillance, de contrôle ou d'observation. L'on retrouve ici assez précisément la figure du Panoptique, rendue célèbre par Michel Foucault, comme dispositif qui « autonomise et désindividualise le pouvoir », faisant que « celui qui est soumis à un champ de visibilité, et qui le sait, reprend à son compte les contraintes du pouvoir; il les fait jouer spontanément sur lui-même; il inscrit en soi le rapport de pouvoir dans lequel il joue simultanément les deux rôles; il devient le principe de son pro27 pre assujettissement. » Le conformisme anticipatif signe la mutation dans les modes d'exercice du pouvoir déjà annoncée par Foucault: un pouvoir fonctionnant de plus en plus à la technique, à la normalisation et au contrôle plutôt qu'au droit, aux lois et à la répression 28. Le conformisme anticipatif est de fait un mécanisme de disciplinarisation des individus particulièrement efficace et économique puisqu'il fonctionne à l'autocensure ou à l'auto surveillance par les citoyens eux-mêmes soucieux d'éviter d'être découverts et exposés par le système. Comme l'expliquait De29 : leuze « Le propre des normes modernes, et c'est ce qui caractérise le passage progressif de la société disciplinaire décrite par Michel Foucault et qui impliquait nécessairement l'existence d'une série de lieux d'« enfermement» (l'asile, l'hôpital, l'usine, l'école, la prison,...) à la société de contrôle qui peut se passer, dans une mesure croissante, de la contrainte physique et de la surveillance directe, est que ce sont les individus qui doivent s'imposer euxmêmes non seulement le respect mais l'adhésion aux normes, les intégrer dans leur biographie, par leurs propres actions et réitérations. Le pouvoir prend, dans la société moderne, la forme d'offres de services ou d'actions incitatives bien plus que de contrainte. » Lorsque les contrôleurs sont non seulement distants dans l'espace, mais également dans le temps, par l'effet de la conservation des informations sur une très longue période, et de leur « mobilisabilité» optimale, à tout moment, que rendent possibles les nouvelles technologies de l'information, de
26
Voir Shoshana Zuboff, In the age of the sman machine: thefuture of work and power, Basic, 1998 ; Lyon D., « An electronic Panopticon ? A sociological critique of the surveillance society », SociologicalReview, 1993,41(4),653-678. 27 Michel Foucault, Suroeilleret Punir, , Gallimard, 1975, p. 204. 28 Michel Foucault, Suroeilleretpunir, Gallimard, 1975, pp. 113-114. 29 Gilles Deleuze, « Post -scriptum sur les sociétés de contrôle », L'autre journal, n° 1, mai 1990. 260
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
la communication et de la réseautique, l'incitation à l'autocensure pourrait être ressentie plus fortement encore. La peur d'être jugé plus tard pour des faits, gestes et opinions, dont nous ne pouvons savoir actuellement comment ils seront interprétés dans l'avenir ne risque-t-elle pas d'engendrer un conformisme plus contraignant encore du fait de l'imprévisibilité des normes à l'aune desquelles ces faits, gestes et opinions seront évalués? Il est utile aussi d'interpréter le profilage et le contrôle à distance dans le rapport qu'ils entretiennent avec un phénomène social plus général, identifié 30 notamment par Ulrich Beck comme le phénomène d'individualisation typi-
que de la 'seconde modernité'. Le concept d'individualisation revêt deux significations principales qui se recoupent partiellement et interagissent, mais doivent néanmoins être distinguées. Individualisation comme indépendance des formes imposées par les autorités traditionnelles: « déterritorialisation » La première signification renvoie à la désintégration des formes sociales antérieures, à la fragilité des catégories (classes sociales, statuts et rôles familiaux, relations de voisinages etc.) et à la dissipation progressive des interdits imposés de l'extérieur et véhiculées autrefois par les autorités traditionnelles (parents, État, Église, etc.). Alors que les sociétés modernes se sont différenciées en une multitude de sous-espaces, de microcosmes sociaux relativement homogènes et indépendants les uns des autres, ayant chacun ses hiérarchies propres, ses normes spécifiques de comportements, ses disciplines, ses codes de communication, d'intelligibilité et d'interactions interpersonnelles 31, le développement et la généralisation des technologies de l'information et des communications instaurent une société «ouverte» caractérisée par la fluidité des échanges et la porosité des anciens microcosmes. L'« ouverture» et la «déterritorialisation » de la société de l'information par rapport à la société «traditionnelle» (qui était notamment marquée par l'idée d'une séparation stricte entre espaces publics et privés) transforment les possibilités d'expressions et d'interactions humaines d'une manière radicale. De nouveaux types de subjectivités en résultent, caractérisés à la fois par une augmentation du pouvoir d'action individuel grâce à la démultiplication des interactions, et par des vulnérabilités nouvelles. Sorti de ce que Peter Slotterdijk appelle la « microsphère » de l'individu, et qui joue pour lui le rô30 Ulrich Beck, Elisabeth Beck-Gernsheim, Individualization: InstitutionalisedIndividualism and its Social and PoliticalConsequences,Sage Publications, 2001. 31 Pierre Bourdieu, La misèredu monde, Seuil, 1993, pp. 9-11. 261
La sécurité de J'individu numérisé
le d'un «système immunitaire de l'espace psychique» 32, l'individu dans le monde virtuel subit, sans même pour la plupart du temps s'en rendre compte, une métamorphose anthropologique importante. Les normes sociales traditionnelles qui régulaient, par conventions tacites spontanément suivies, les flux informationnels entre les individus dans des sociétés fermées « à forte intégrité contextuelle» n'ont plus d'efficacité étant donnée l'hétérogénéité des comportements et des attentes dans la société de l'information caractérisée notamment par la décontextualisation et la déterritorialisation des systèmes d'information. Cette dissipation des normes sociales spontanées typiques des espaces de communication traditionnels n'empêche pas l'émergence progressive, dans des communautés virtuelles suffisamment homogènes, de «contrats sociaux restreints », de nouvelles normes de comportements, de communications et de gestion de l'information, de nouvelles possibilités d'expérimentation sociale à fort potentiel d'émancipation. Mais force est de constater que le phénomène de reformation de contrats sociaux virtuels reste un phénomène marginal, comparé à la majeure partie de l'activité informationnelle sur un INTERNET de jour en jour davantage colonisé par les logiques de profit. De cette désintégration des formes sociales antérieures et de la dissolution des autorités « identifiées» résulte à la fois le sentiment d'un accroissement quantitatif et qualitatif des possibilités de réalisation de soi pour l'individu, mais également l'injonction impérieuse à devenir en quelque sorte son propre créateur, à devenir un « soi» qu'il doit lui-même choisir. Dans cette société hautement individualisée qui prétend donner priorité à la liberté des individus plutôt qu'aux causes collectives, les individus sont face à un dilemme angoissant dont se nourrit le nouveau «marché du conseil en dé33. Le « soi» n'est veloppement personnel» : « Qui suis-je pour moi-même» plus guère «donné », mais bien «construit ». L'autorité de l'injonction à « devenir soi-même» fait du « soi» un projet, une chose à laquelle on aspire, à la façon dont l'on aspire à être à la mode ou à obtenir le dernier modèle d'un objet de consommation. Il me semble qu'il faut bien prendre en compte que dans cette perspective, l'individu dans la société de l'information est souvent, en quelque sorte, une «liberté sans sujet» puisque c'est précisément à travers ses pérégrinations dans le monde virtuel, les rencontres qu'il y fait, l'adoption ou le rejet de 1'« identité» que lui fabriquent, sur mesure,
32 Peter SJotterdijk, Sphèresl - Bulles, Fayard; 2002 ? 33 Renata Salecl, « Worries in a Limitless World », in Peter Goodrich, Liar Barshack, Anton Schütz, Law, Text, Terror,Routledge-Gavendish, 2006, p. 132. 262
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
les multiples sujet ».
opérations
de profIlage notamment
qu'il cherche à « devenir un
Individualisation comme nouvelle « sujétion» aux normes institutionnelles: « reterritorialisation
»
La seconde signifIcation du concept d'« individualisation» chez Beck renvoie aux injonctions, aux exigences et contrôles inédits imposés aux individus dans cette seconde modernité. À travers le marché du travail, l'État providence et ses institutions, l'individu est pris dans un réseau de réglementations, de conditions, d'obligations. L'assurance, l'éducation, la fIscalité sont autant de points de référence institutionnels constituant l'horizon ou le cadre dans lequel doivent se dérouler la pensée, les projets et l'action. L'individualisation en ce sens ne désigne certainement pas une logique d'action spontanée surgissant dans un espace de pure virtualité. L'individualisation ne signifIe pas non plus la simple subjectivité non assujettie, une attitude qui refuserait de voir qu'en dessous de la surface de la vie existe une infrastructure institutionnelle très effIcace. La sphère dans laquelle le sujet moderne déploie ses options est tout sauf un espace non social ou hors société. Alors que l'exercice du pouvoir se passe de plus en plus de la contrainte directe sur les corps, ce sont les individus qui doivent s'imposer eux-mêmes non seulement le respect mais l'adhésion aux normes, les intégrer dans leur biographie, par leurs propres actions et réitérations. Le pouvoir prend, dans la société moderne, la forme d'offres de services ou d'actions incitatives bien plus que de contrainte 34. Alors que l'on naissait dans une condition particulière dans la société traditionnelle, on a à présent à faire quelque chose, faire un effort actif pour obtenir les avantages sociaux modernes. On doit gagner, prendre des risques, savoir comment s'affIrmer constamment dans la compétition pour l'obtention de ressources limitées. L'on peut se demander dans quelle mesure toutes ces pratiques normées influencent, voire constituent, la cohérence interne des individus. L'identité tant recherchée serait alors autant, voire davantage, un idéal normatif que l'expérience subjective de la continuité de la personne à travers le temps. L'identité serait moins ce qui témoignerait des composants d'une personnalité qu'une norme d'intelligibilité instituée et maintenue socialement 35.
34
Gilles Deleuze, op. cit., note 28. 3~ Pour une cri~que r~dicale de l'ide~tité (à traver~ .la théorie performative tion du genre), lire Judith Butler, Défam legenre,Editions Amsterdam, 2006. 263
de la construc-
La sécurité de l'individu numérisé
C'est tout le problème de la 'performativité' de l'individu numérisé: sa capacité à 'déteindre' en quelque sorte, sur l'individu 'physique' dont il 'émane' et qu'il ne cesse de rapporter à lui. La liberté individuelle dans la société de l'information est donc incomplète dans la mesure où l'autodétermination de l'individu, cette faculté mythique de se donner ses propres règles, d'être à l'origine de sa propre intentionnalité et, dans une certaine mesure, de sa propre personnalité, ne peut être que de façade dans une société que nous pouvons caractériser comme société de contrôle à distance.
3 - Insuffisance de la liberté comme immunité. De la tyrannie de la majorité L'insuffisance d'une liberté conçue exclusivement comme résultant d'une libérationdes contraintes antérieures (à quoi correspondrait la liberté dans un monde digital délivré des contraintes physiques et morales propres au monde 'réel') a été assez exactement décrite par Hannah Arendt: « liberties (...) are the result of liberation but they are by no means the actual content of freedom, which, (.. .), is participation in public affairs, or admission to the public realm. »
36
Les ambivalences que nous venons d'évoquer témoignent de l'impossibilité dans laquelle nous sommes de répondre simplement à la question naïve qui pourtant nous vient spontanément: « notre entrée dans la société de l'information augmente-t-elle ou restreint-elle la liberté des individus ? ». C'est que ce que nous appelons « liberté» recouvre un ensemble de notions bien différentes. En français nous n'avons qu'un mot pour désigner la diversité des notions que recouvre le concept de « liberté ». La liberté, c'est... la liberté. Il en résulte que, bien que nous n'ayons que ce mot-là à la bouche, nous oublions, dans la fétichisation du mot lui-même, le caractère équivoque et fuyant des valeurs qu'il traduit ou derrière lesquelles il court. Benjamin Constant opposait la « liberté des modernes» à la « liberté des anciens », nos textes internationaux relatifs aux droits et libertés fondamentaux distinguent les droits civils et politiques des droits économiques et sociaux. Hannah Arendt contrastait en anglais les concepts de « liberty» et de « freedom ». Nous voudrions suggérer ici, nous inspirant de la distinction faite par Hannah Arendt, que la liberté comme immunité ou indépendance (liber!)1), 36
Hannah Arendt, On Revolution,Penguin Classics, 1963, p. 32. 264
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
doit, pour n'être pas seulement fantasmée, être accompagnée d'une autre forme de liberté (freedom) qui est le pouvoir d'influer sur les modes de représentation collectifs dont nous relevons et sur les « normes» qui, en retour, nous façonnent. La liberté comme indépendance vis-à-vis des autorités traditionnelles est nécessaire mais insuffisante à assurer ce qu'Arendt appelle « freedom» et qu'elle décrit, se référant à la démocratie athénienne, comme: « (...) not an inner realm into which men might escape at will from the pressures of the world, (nor as) the liberum arbitrium which makes the will choose between alternatives. Freedom could exist only in public; it was a tangible, worldly reality, something created by men to be enjoyed by men rather than a gift or capacity, it was the manmade public space or marketplace which antiquity had known as the area where freedom appears and becomes 37 visible to all. » Seconde face du concept global de liberté, il s'agit ici du « reembedding ». Condition sine qua non de cette « freedom» (et c'est là que l'on entrevoit la « co-originalité» de l'autonomie individuelle et de la démocratie délibérative) : que les « normes» et catégorisations institutionnelles en vigueur soient délibérées et décidées démocratiquement, qu'elles puissent être contestées. Voilà qui s'apparente à ce que Bertrand Leclair appelle « penser» : « intervenir sur les modes de représentation collectifs dont je re38 lève. » Cet idéal de « freedom» ne peut être atteint que par la délibération démocratique à propos notamment des algorithmes de classification, des critères de « normalisation» rigides à l'œuvre et auxquels les individus sont appelés à se conformer. De fait cette notion de « freedom» est incompatible avec l'organisation d'une « société de contrôle» dans la mesure où ce qui caractérise cette dernière est précisément que les normes institutionnelles, bureaucratiques et administratives échappent très largement au débat public, étant peu transparentes et passant presque pour « naturelles ». Cela étant dit, même dans les circonstances idéales où les normes - c'està-dire les critères suivant lesquels les modes de vie, comportements et atti)) tudes individuels passent pour « normaux)) ou « anormaux dans une société donnée, la nôtre - seraient effectivement décidées démocratiquement, la protection d'une sphère privée permettant à l'individu de ne pas s'y conformer, du moins dans cet espace, reste essentielle pour lui permettre 37 Hannah Arendt, On Revolution,Penguin Classics, 1963, p. 124. 38 Bertrand Leclair, Théorie de la déroute (Chapitre II : Dans l'univers communicationnaire), Verticales/Seuil, 2001, p. 65. 265
La sécurité de l'individu numérisé
d'échapper à la « tyrannie de la majorité », pression sociale poussant l'individu au conformisme, si bien décrite déjà en 1835 par Tocqueville dans La démocratie en Amérique, et en 1859 par Mill dans On Liberry : « Un roi d'ailleurs n'a qu'une puissance matérielle qui agit sur les actions et ne saurait atteindre les volontés; mais la majorité est revêtue d'une force tout à la fois matérielle et morale, qui agit sur la volonté autant que sur les actions, et qui empêche en même temps le fait, et le désir de faire. [...] » « [...] En Amérique, la majorité trace un cercle formidable autour de la pensée. Au-dedans de ces limites, l'écrivain est libre; mais malheur à lui s'il ose en sortir. Ce n'est pas qu'il ait à craindre un autodafé, mais il est en butte à des dégoûts de tous genres et à des persécutions de tous les jours. La carrière politique lui est fermée: il a offensé la seule puissance qui ait la faculté de l'ouvrir. On lui refuse tout, jusqu'à la gloire. [...] » « [...] Les princes avaient pour ainsi dire matérialisé la violence; les républiques démocratiques de nos jours l'ont rendue tout aussi intellectuelle que la volonté humaine qu'elle veut contraindre. Sous le gouvernement absolu d'un seul, le despotisme, pour arriver à l'âme, frappait grossièrement le corps; et l'âme, échappant à ces coups, s'élevait glorieuse au-dessus de lui; mais dans les républiques démocratiques, ce n'est point ainsi que procède la tyrannie; elle laisse le corps et va droit à l'âme. Le maître n'y dit plus: Vous penserez comme moi, ou vous mourrez; il dit: Vous êtes libre de ne point penser ainsi que moi; votre vie, vos biens, tout vous reste; mais de ce jour vous êtes un étranger parmi nous. Vous garderez vos privilèges à la cité, mais ils vous deviendront inutiles; car si vous briguez le choix de vos concitoyens, ils ne vous l'accorderont point, et si vous ne demandez que leur estime, ils feindront encore de vous la refuser. Vous resterez parmi les hommes, mais vous perdrez vos droits à l'humanité. Quand vous vous approcherez de vos semblables, ils vous fuiront comme un être impur; et ceux qui croient à votre innocence, ceux-là mêmes vous abandonneront, car on les fuirait à leur tour. Allez en paix, je vous laisse la vie, mais je vous la laisse pire que la mort. » Dès 1859, John Stuart Mill mettait jorité en ces termes:
en garde contre la tyrannie de la ma-
« Like other tyrannies, the tyranny of the majority was at first, and is still vulgarly, held in dread, chiefly as operating through the acts of the public authorities. But reflecting persons perceived that when society itself is the tyran - society collectively, over the separate individuals who compose it its means of tyrannising are not restricted to the acts which it may do by the hands of its political functionaries. Society can and does execute its own mandates: and if it issues wrong mandates instead of right, or any mandates at all in things with which it ought not to meddle, it practises a social tyran266
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
ny more formidable than many kinds of political oppression, since, though not usually upheld by such extreme penalties, it leaves fewer means to escape, penetrating much more deeply into the details of life, and enslaving the soul itself. Protection, therefore, against the tyranny of the magistrate is not enough: there needs protection also against the tyranny of the prevailing opinion and feeling, against the tendency of a society to impose, by other means than civil penalties, its own ideas and practices as rules of conduct on those who dissent from them; to fetter the development, and, if possible, prevent the formation, of any individuality not in harmony with its ways, and to compel all characters and fashion themselves upon the model of its own. There is a limit to the legitimate interference of collective opinion with individual independence: and to find that limit, and maintain it against encroachment, is as indispensable to a good condition of human affairs, as 39 protection against political despotism. » C'est le sens notamment du droit à la protection de la vie privée lorsqu'il protège des comportements, attitudes et modes de vie qui, sans être illégaux ni sans causer dommage à autrui, sont néanmoins impopulaires et exposeraient ceux qui s'y adonnent à l'animosité ou à des réactions discriminatoires ou stigmatisantes de la part de tiers s'ils en avaient connaissance. L'on voit ici que le droit à la protection de la vie privée et l'interdiction des discriminations fondées sur des motifs non rationnellement ou objectivement pertinents s'inscrivent dans la même optique: préserver un certain « droit à la différence» qui est essentiel à la fois pour l'individu en ce que ce droit est une condition nécessaire à son épanouissement personnel, mais également pour la société dans la mesure où celle-ci a besoin pour évoluer et donc pour rester vivante, de ce que ce «droit à la différence)) permet comme modes de vie et de pensée innovants, comme expérimentations individuelles et collectives. Rappelons néanmoins en passant que ce que Mill appelle la « tyrannie de la majorité)) et qu'il présente comme une menace majeure pour l'autonomie individuelle, est en fait elle-même le résultat de l'exercice, par ceux qui propagent les opinions dominantes, de la liberté qu'ils ont de les propager en vertu de leur propre liberté individuelle. La propagation des opinions dominantes est bien une faculté relevant de l'autonomie individuelle et de la liberté d'expression de chacun, on n'imagine pas une loi interdisant des comportements conformistes ou l'expression d'opinions conformes à la majorité. Les choix et comportements individuels conformistes, qu'ils résultent d'une adhésion pleine et entière aux opinions et modèles majoritaires ou de 39 John Stuart Mill, On Uberry, Cambridge University Press, 1989 [1859], pp. 8-9. 267
La sécurité de l'individu numérisé
formes de pressions sociale, morale ou économique, relèvent bien de ce que Mill décrit comme « a space in which individuals would be free from law». C'est bien là l'un des paradoxes du libéralisme que la menace la plus importante pour l'individualité ne soit autre en fm de compte que l'individualisme, que le libéralisme soit lui-même la source de la standardisation contre laquelle il devrait être, par vocation pourrait-on dire, en lutte 40. Contre certains présupposés actuellement dominants, et, en particulier, contre les présomptions un peu rapides de l'économie néolibérale largement reprises par le droit, suivant lesquelles l'individu est, par nature, un être autonome et rationnel, peut-être serait-il temps de prendre en compte le fait que les préférences et choix individuels ne sont pas des réalités naturelles préexistantes aux conditions sociales, culturelles et économiques dans lesquels ils sont exprimés, et que les choix individuels et les préférences exprimées par les individus ne reflètent pas nécessairement une réelle «autodétermination ». L'équation souvent suggérée entre choix individuel et liberté (ou, dans l'espace informationnel, entre interaction et consentement) est fallacieuse notamment dans la mesure où elle fait de la liberté une aptitude située entièrement dans le psychisme individuel sans garantir jamais à l'individu le pouvoir d'influer sur les jugements de valeur culturellement, socialement et économiquement dominants qui confinent et même conditionnent, qu'il le sache ou non, ses préférences et ses choix. Klick et Parisi ont montré que les attitudes humaines de conformisme peuvent être comprises comme produites de l'adaptation humaine. En essayant de maximiser leurs chances de succès et de bénéfices des interactions sociales, les humains ont tendance à adopter des stratégies de falsification de leurs propres préféren, . . 41 ces ou d a d aptatton d e ce IIeS-Cl . Edwin Baker observait lui aussi, à propos de l'analyse économique du droit à la protection de la vie privée, que toute norme ou loi qui restreint le 'secret' encourage des attitudes ou des valeurs qui sont nécessairement davantage compatibles avec certaines formes de vie sociale que d'autres, et en cela renforcent des jugements de valeur particuliers à l'égard de ce que les individus sont ou devraient être. Voilà qui renvoie à un paradoxe difficilement réductible pour l'analyse économique du droit, qui doit présupposer certaines préférences individuelles comme « données », et manque ainsi de 40
Voir TedRubenfeld, Freedomand Time: A TheoryofConstitutionalSe!fGovernment,Yale Uni-
versity Press, 2001, pp. 231-232. 41 Jonathan Klick et Francesco Parisi, « Social Networks, Self Denial, and Median Preferences : Conformity as an Evolutionary Strategy », Florida State University, College of Law, Working Paper Series, 2004,126. 268
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
rencontrer la question fondamentale à notre sens, qui est celle de la « subjectivation », ou du mode de détermination des préférences individuelles. Le paradoxe consiste dans le fait qu'alors que l'analyse vise à déterminer quelles lois ou normes sont efficaces ou lesquelles répondent au mieux aux désirs et préférences humaines, la réponse dépend de quelles préférences sont crééespar les normes quejustement l'on vise à évaluer, au regard de cespréférencesprésumées préexister aux normes. La réponse sera donc chaque fois tributaire, ou orientée par le contenu même de la loi ou norme à évaluer, puisque chaque loi ou norme est par définition la mieux à même de répondre aux désirs, préférences et choix qu'elle-même génère. « La loi, du fait de sa nature de cause, anticipant toujours sur ses effets possibles, est celle qui résulterait de la seule affirmation de la productivité de la norme, compte tenu de cet autre aspect de son action, qui est son caractère immanent », notait à cet égard Pierre Macherey 42. Michel Foucault, dans son analyse de la dialectique du désir et du pouvoir, l'écrivait déjà: « [1]1n'y aurait pas à imaginer que le désir est réprimé, pour la bonne raison que c'est la loi qui est constitutive du désir et du manque qui l'instaure. Le rapport de pouvoir serait déjà là où est le désir: illusion donc de le dénoncer dans une répression qui s'exercerait après coup, mais vanité aussi de partir à la quête d'un désir hors pouvoir. » 43 Évaluer la justesse, la légitimité ou l'opportunité des lois ou normes à l'aune des « préférences » individuelles qu'elles permettent de satisfaire ne permet pas de dégager de conclusion valide. L'alternative serait, plutôt que de se demander comment maximiser au mieux la satisfaction des préférences assumées préexistantes, de chercher à déterminer quellespréférences le droit devrait encourager. La question à laquelle il conviendrait de répondre, en suivant cette voie alternative, serait donc: comment donc définir ces préférences que le droit doit encourager. L'analyse économique du droit est bien entendu incapable de répondre à cette question. Il nous parait sensé de soutenir que la méthode de détermination de ces préférences à encourager devrait au minimum reconnaître à chaque personne une voix égale, plutôt que favoriser la voix des mieux nantis dans la distribution des richesses ou de favoriser les préférences qui sont générées par les institutions sociales sur lesquelles porte, précisément, l'effort d'évaluation 44. 42
Pierre Macherey, « Pour une histoire naturelle des normes », in Michel Foucaultphilosophe: Rencontreinternationale,Paris, Janvier 1988, Seuil, 1989, p. 215. 43 Michel Foucault, Histoire de la sexualité, Tome I, La volonté de savoir, Gallimard, 1976, 107-112. fP. Edwin Baker, « Posner's Privacy Mystery and the Failure of Economic Analysis of Law», Geo'l,ia Law Review, 1978, 12(3) : 475-496. 269
La sécurité de l'individu numérisé
Outre la protection du « droit d'être soi-même», ou d'expérimenter divers modes de vie fussent-ils impopulaires, contre la tyrannie de la majorité, le droit à la protection de la vie privée fonctionne, et ce de façon croissante, pour protéger les personnes contre toute une série de distinctions de traitements économiquement rationnelles dans l'accès à divers biens sociaux. La technologie permet dans de nombreux secteurs de développer des mécanismes décisionnels individualisés fondés sur l'accumulation de données qui permettent un proftlage fIn. Cette pratique d'individualisation (des prix, de l'offre de service, de l'évaluation des risques dans le domaine de l'assurance) pose des questions cruciales. Premièrement, peut-on admettre la prise en considération de n'importe quelle donnée à caractère personnel, à la seule condition que cette prise en compte soit économiquement rationnelle? Estil acceptable, par exemple, que le fait pour une femme de subir de la violence conjugale puisse être pris en compte pour déterminer le montant de la prime d'assurance vie qui peut lui être réclamé? Rationalité économique et justice sociale s'opposent dans ce genre de cas, et la protection de la vie privée vient ici en renfort de la justice sociale. Encore faut-il s'entendre sur une défInition des critères de la justice sociale. Ceux-ci doivent refléter l'état présent d'une délibération démocratique continue, c'est là une condition nécessaire de leur légitimité. Voilà qui nous renvoie une fois encore à l'idéal de « freedom» tel que suggéré par Hannah Arendt, et donc à la nécessité non pas d'une acceptabilité sociale (et encore moins d'une acceptation sociale), mais d'une contestabilité sociale (c'est-àdire d'une possibilité de contester) des critères d'effIcacité, de mérite, de dangerosité et de risque qui président aux catégorisations bureaucratiques et/ ou sécuritaires des individus et comportements. Notons ici que les nouvelles technologies de l'information et de la communication, et l'Internet en particulier, nonobstant les mises en garde qui précèdent et à condition de préserver les nouveaux espaces publics auxquels ils donnent naissance des appropriations privatives et des processus de domination, pourraient bien rendre possible cette contestabilité sociale et la réappropriation citoyenne des signifIcations qui président à la défmition du bien public et de la justice. C'est en tout cas l'espoir de Pierre Lévy : « À l'origine, nous avions cette idée fondamentale de reconnaissance des savoirs même non acadénùques.
Rapidement,
l'utilisation
des nouveaux
moyens de communication s'est imposée à nous pour la nùse en œuvre du projet. Coo.)En fait, l'utopie sous-jacente, pour moi, était de transformer un
groupe humain quelconque l'intelligence collective.
en
communauté
270
virtuelle
pratiquant
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
« Le monde est peuplé de gens, de corps, mais aussi d'esprits que l'on ne voit pas. Or, cet invisible est peut-être le plus intéressant. Ce système nous permettait de rendre visible ce qui ne l'est pas. Tel est le principe des Arbres de connaissance: faire apparaître un autre type d'espace, celui de la coopération des intelligences. Une connaissance isolée n'a aucun sens, elle devient féconde lorsqu'elle est mise en coopération avec d'autres, dans un dessein précis. » Rendre visible et dicible ce que l'on ne voit pas et ce qui se tait, le marginal, le minoritaire, donner la parole au non-conforme, tel pourrait bien être l'espoir de la 'cyberdémocratie'. La technologie pourrait bien indiquer la voie d'une subjectivation nouvelle, c'est elle qui détient le «virtuel» qui se tient du côté du «jamais vu, jamais senti» 45. Mais cette nouvelle 'phase' de la démocratie présuppose une « écologie du virtuel» 46, impliquant, au minimum, non seulement la transparence des rationalités «automatiques» à l' œuvre au lieu de leur actuelle opacité mais également le renforcement du « système immunitaire de l'espace psychique» des individus auquel contribue de façon significative le droit à la protection de la vie privée. En d'autres termes, il s'agit de renverser la situation actuelle où les individus deviennent de plus en plus transparents et hétéronomes dans la construction de leur personnalité, alors que les institutions publiques et privées deviennent de plus en plus opaques et gagnent en « autonomie» - en « automaticité » - dans la construction des modes d'intelligibilité, d'interprétation et de réaction à l'égard des individus. Nous voulons défendre l'idée que le droit à la protection de la vie privée doit être l'un des instruments de ce renversement
47.
Conclusions
Plaider, par écrit qui plus est, pour la reconnaissance d'un « droit à l'oubli» aurait pu, a priori, paraître paradoxal. Comment invoquer un « droit à l'oubli» au moment même où l'on parle, au moment où l'on écrit? Parler, écrire, auraient-ils un sens si au moment même où nous parlons, où nous écrivons, nous voulions être oubliés? Cette première aporie nous force à préciser, d'entrée de jeu, que lorsque nous suggérons qu'existerait une ten45 René Schérer, « Subjectivités hors sujet », Chimères,21, 1993. 46 Félix Guattari, « L'Oralité machinique et l'écologie du virtuel », Oralités-Pofyphonix, 16. Québec, Les Editions Interventions, 1992. 47 Pour une réflexion plus large à ce sujet, voir Antoinette Rouvroy, « Privacy, Data Protec~on, and the Unprecedented Challenges of Ambient Intelligence », 38 p., disponible sur SSRN : http://ssrn.com/abstract=1013984 271
La sécurité de l'individu numérisé
sion entre l'intensification de la rétention de données en tous genres dans les dispositifs informationnels et un « droit» ou plutôt un « intérêt légitime à oublier et à se faire oublier », 1'« intérêt à être oublié et à se faire oublier », traduit l'inquiétude de la personne queje suis pour la personne quej'entends, ou quej'espère devenir dans l'avenir. C'est, pour le dire autrement, le souci que ce que je dis, ou ce que j'écris ici ne puisse être retenu contre elle plus tard. Mon propos était donc tout entier tourné vers cette tension complexe existant entre, d'une part, la « suspension» nécessaire du « soi» entre le présent et l'avenir, suspension qui nécessite une forme de résistance aux assignations rigides, et, d'autre part, la « résilience» de l'information dans les dispositifs technologiques de plus en plus ubiquitaires qui permettent à tout moment de « réactiver» les traces d'actions et événements passés, abolissant même les notions temporelles de passé et de présent dans un éternel « présent» immédiatement accessible 48, puisque rien, dans le présent digital n'est jamais « différé» - l'une des caractéristiques de la mémoire digitale étant, comme nous le verrons, son immédiateté. Et de fait, si j'invoque aujourd'hui, alors que j'écris, mon « intérêt à oublier et à me faire oublier» c'est en prévision du fait que je pourrais bien dans l'avenir changer d'avis sur tout ce que j'écris aujourd'hui. C'est bien parce que je compte sur cette possibilité d'être oubliée, et d'oublier, que je me sens libre d'écrire aujourd'hui. Ce souci de maintenir une indétermination de la personne que nous pourrions devenir dans l'avenir, ce souci de rester en ce sens des êtres « virtuels », s'oppose à la constitution d'« individus numérisés », « copies », « simulacres », « images» de nousmêmes, susceptibles de nous façonner de telle manière que nous puissions de plus en plus difficilement nous en défaire. Ce à quoi il s'agit de réfléchir dans la nouvelle phase de développement de la société de l'information dont nous faisons actuellement l'expérience, c'est à ce qu'implique la nécessité de suspendre la définition du « soi» dans une forme d'auto-récursivité ou d'auto-réflexivité suggérée notamment par Michel Foucault comme constitutive du « souci de soi ». L'émergence des systèmes d'« informatique ubiquitaire» et d'« intelligence ambiante» 49,prolongeant ou relayant, d'une manière quasi prothétique et 48
Anita Allen constatait à cet égard que « the very idea of « past» and « present» in relation to personal information are in danger of evaporating. The past is on the surface, like skin» (Anita Allen, « Dredging-Up the Past: Life-logging, Memory and Surveillance », UniversitYof ChicagoLaw Review, 2008, à paraître). 49 Pour une vision prospective des développements de l'intelligence ambiante, lire notamment le Rapport de l'Information Society Technologies Advisory Group (ISTAG), « Shaping Europe's Future Through ICT », Commission europeenne, mars 2006: 272
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
désincarnée, la mémoire et l'intentionnalité humaine, ne suggère-t-elle pas la possibilité d'une substitution progressive d'une « mémoire digitale automatique» à la « mémoire incarnée» et à la « capacité d'oubli organique» qui lui 50 est consubstantielle ? L'enregistrement digital permettant à tout moment de «réactualiser» ce qui jusqu'à aujourd'hui n'avait d'existence qu'éphémère, dissipe 1'« opacité pratique» qui recouvrait jusqu'il y a peu nos actions et attitudes, une fois passé le délai nécessaire au temps pour faire son œuvre et effacer les torts commis, les petites et grandes hontes de la mémoire humaine 51, au point qu'il faille appréhender le risque que cette «mémoire digitale totale », à la longue, aboutisse à oblitérer ce qu'il y a de « virtuel» chez l'homme 52: une certaine potentialité du sujet humain, la contingence qui l'habite et qui, s'épanouissant (ne parle-t-on pas de 'libre épanouissement de la personnalité' ?) lui promet un 'devenir autre', une 'différence' un déploiement du 'radicalement neuf', à la fois irréductible à, et essentiellement différent de 1'« individu numérisé» ? L'assignation rigide de ses propres traces au titre d'un destin identitaire suggérant une lisibilité performative de l'avenir de l'individu « proftlé » devenu prévisible, n'est-ce pas là ce à quoi renvoie l'expression «individu numérisé» dans un paradigme dans lequel « le réel deviendrait une copie de sa propre image» 53 ? La pos-
« Building on and extending the ambient intelligence vision, technology developments are proceeding along well characterised paths. We note four main trajectones for this next generation of ICT. Systems and services that are: 1) Networked, mobile, seamless and scalable, offering the capability to be always best connected any time, anywhere and to anything; 2) Embedded into the things of everyday life ln a way that is either invisible to the user or brings new form-fitting solutions; 3) Intelligent and personalised, and therefore more centred on the user and their needs; 4) Rich in content and experiences and in visual and multimodal interaction. » 511 Cette 'sub~titution' réaliserait, en qu~19ue sorte, « l'utopie d'un corps incorporel» en effaçant « la tnste topologie du corpS» (MIchel Foucault, Les HétérotopteSet L Utopie du co1jJs, deux conférences radiophoniques de Michel Foucault, France Culture, 7 et 21 décembre 1966, CD INA, Mémoire Vive). 51 Entreprises à titre expérimental, mettent mal à l'aise une Eartie du public des juristes, pour des raisons qu'eux-mêmes ont encore du mal à identtIier clairement. Anita Allen, « Dredging-Up the Past: Life-logging, Memory and Surveillance », UniversiryI!!ChicagoLaw Review, 2008 (forthcoming). 52 L'idée suivant laquelle l'une des caractéristiques immanentes de l'être humain serait d'être « virtuel» (porteur CIevirtu(Ùités), se retrouve chez des penseurs comme Deleuze (Différence et Répétition) et Bergson. (A ce propos lire Keith Ansell Pearson, « The Simple VIrtual: Bergsonism and a Renewed Thiking of the One », Pli, 2001, 230-252.), mais aussi chez Slavoj Zizek (voir sa conférence sur « the real and the Virtual »). 53 Peter Weibel, « Pleasure and the Panoptic Principle» », in. T.Y. Levin, U. Frohne, P. WeIbel (eds.) CIRL[SPACE} : Rhetorics 0/ Suroeillancefrom Bentham to Big Brother, Karlsruhe, ZKM Centre for Art and Media. 273
La sécurité de l'individu numérisé
sibilité d'oublier, et d'être oublié, concernerait dès lors directement sociale et politique si, comme Arendt le soutient:
la vitalité
« Le miracle qui sauve le monde, le domaine des affaires humaines, de la ruine normale, naturelle, c'est finalement le fait de la natalité, dans lequel s'enracine ontologiquement la faculté d'agir. En d'autres termes: c'est la naissance d'hommes nouveaux, le fait qu'ils commencent à nouveau, l'action dont ils sont capables par droit de naissance 54.» Le primat porté sur l'information personnelle comme nouvelle catégorie, nouvelle ressource au même titre que l'énergie par exemple, finalise tacitement les processus informationnels et communicationnels d'une manière calquée sur les relations de marché, fondées sur la rareté des produits et orientées vers la production d'un certain profit marginal, alors qu'il devient urgent - étant donné l'impact de l'entrée dans la société de l'information sur la subjectivation - de refinaliser ces processus sur des systèmes de valeur centrés sur l'humain. Quel rôle assigner au droit, dès lors? Alors que l'une des vocations les plus traditionnelles du droit est d'organiser la prévisibilité des comportements, ne faut-il pas, face aux nouvelles menaces que le conformisme consommateur et l'individualisme possessif font aujourd'hui peser sur la démocratie délibérative, afftrmer au contraire que le droit devrait justement encourager la contestation ou, à tout le moins, la « conte stabilité » des régimes représentationnels qui, sans avoir fait l'objet d'aucune délibération démocratique, nous informent et nous forment tout à la fois? Ce qu'il s'agit de restaurer ou de protéger concerne directement l'une des capacités fondamentales de l'être humain: celle de s'inventer lui-même comme «sujet ». Cette capacité est bien une « capabilité », dans le sens défini par Amartya Sen dans le sens où elle conditionne toutes les autres capacités humaines ainsi que la jouissance effective de l'ensemble des droits et libertés fondamentaux. Il me paraît crucial de réaffirmer aujourd'hui que le droit à la protection de la vie privée, et l'exercice effectif de ce droit par les individus, sont condition sine qua non d'une telle « capacité », nécessaire, comme précondition à la possibilité de débattre démocratiquement des représentations collectives et, partant, de la nature du bien commun et de la meilleure façon de le protéger ou de l'atteindre. La protection de cette « capabilité » individuelle, en ce qu'elle est condition de la « contestabilité », et partant, de la lé-
54 Hannah Arendt, 1994[1961], p. 314.
Condition de l'homme moderne, CaIman-Levy, 274
coll. « Agora Pocket »,
Réinventer
l'art d'oublier
et de se faire oublier dans la société de l'information?
gitimité des normes qui nous gouvernent, est une exigence éthique et démocratique fondamentale. Le droit à la protection de la vie privée est bien une condition (nécessaire mais non suffisante) du développement personnel des individus, impliquant tour à tour une séparation d'avec le monde (seclusion) et l'intégration dans la vie sociale (inclusion) 55. Réaffirmer la nécessité d'espaces ou de contextes « déconnectés », dans la société en réseau, où la personnalité peut se construire en marge de la « tyrannie de la majorité » comme l'une des « facettes » du principe de la protection de la vie privée est bien insuffisant. Encore faut-il également prendre en compte que l'individu ne construit pas, ou pas uniquement, sa personnalité dans la solitude. En témoigne le rapprochement subtil que Hannah Arendt faisait entre «private» et «deprived». L'autonomie individuelle n'est pas une capacité purement individuelle et psychique: elle a des bases sociales et matérielles. S'il serait bien absurde de penser que le droit puisse « garantir » l'autonomie individuelle (un tel « droit à l'autonomie» n'aurait pas, pour le droit, plus de sens qu'un «droit au bonheur » ou un « droit au talent musical »), il entre néanmoins dans la mission du droit de garantir certaines des conditions fondamentales nécessaires à l'épanouissement de cette autonomie. La protection d'une « sphère privée» immunisant l'individu des tentations d'un trop grand conformisme (séclusion) et la régulation des flux d'informations à caractère personnel, tantôt soumis à une interdiction formelle, lorsque ces flux risquent de donner lieu à des discriminations inacceptables (inclusion), tantôt soumis au contrôle de l'individu (dont l'on sauvegarde la capacité de « choisir» l'intensité, la nature, les modes d'interactions avec autrui), forment un faisceau d'instruments juridiques mobilisés sous l'appellation «protection de la vie privée » mais dont les objectifs sont autant d'utilité publique que privée, puisqu'ils garantissent, en sus des intérêts de la personne concernée, la possibilité d'une délibération démocratique à propos précisément des représentations et normativités à l'œuvre. Le caractère de « pré-condition » à l'exercice effectif des droits et libertés fondamentaux que revêt la protection de la vie privée est l'une des raisons pour laquelle la « capacitation » (que l'on pourrait aisément rapprocher de ce qu'Amartya Sen et Martha Nussbaum appellent « capabilité» 5~ individuelle 55
Voir à cet égard Antoinette Rouvroy, Yves Poullet, « Self-determination as « the » key concept », fuinventing Data Protection, International Conference, Bruxelles, 12-13 octobre 2007. 56 Lire, entre autres, Amartya Sen, Commodities and Capabilities. Oxford, Oxford University Press, 1985; Amartya Sen, DevelopmentAs Freedom. New York, Knopf, 1999 ; Martha C. Nussbaum, Amartya Sen, eds., The Qualiry rifLifi, Oxford, Clarendon Vress, 1993. 275
La sécurité de l'individu numérisé
que confèrent les lois de protection des données à caractère personnel ne peut s'assimiler à un droit de propriété individuel sur ces données, qui permettrait notamment leur aliénation, équivalente à la renonciation à la protection du droit à la protection de la vie privée alors même que cette protection est constitutive d'une «liberté substantielle », condition de possibilité (ou de jouissance effective) de toutes les autres libertés fondamentales. La notion d'« autodétermination informationnelle» est souvent mal comprise. Elle ne doit pas être interprétée comme suggérant que le contrôle de 'ses' données personnelles constituerait un exercice d'autodétermination, de libre développement de « soi» de l'individu. L'information et les données personnelles ne sont pas des éléments préexistants ni des composants du « soi» individuel. Un tel amalgame, auquel invite l'expression «individu numérisé », serait indûment réductionniste : le « soi» est non seulement irréductible mais aussi essentiellement différent des données et informations produites à son propos. L'information, la donnée n'est d'ailleurs jamais une chose qui a préexisté à son expression ou à sa divulgation. Ce que donc l'expression « autodétermination informationnelle » signifie plutôt, c'est que le fait pour l'individu de conserver un certain contrôle sur 'ses' données est une condition nécessaire - mais non suffisante - pour qu'il ait une existence qu'il puisse dire, en partie du moins, « auto déterminée ». Cette autodétermination présuppose la possibilité de mettre à distance - ce que l'oubli permettait efficacement - les identités construites à partir des traces éparses que nous projetons sur le monde. Il convient donc que le droit - ou d'autres mécanismes contraignants - limitent la rétention des données personnelles dans la mesure nécessaire, en fonction de l'intensité des menaces qu'une telle rétention fait peser sur la possibilité pour l'individu de construire sa propre personnalité à l'abri de contraintes excessives d'une part, et de contrôler certains aspects de sa personnalité qu'il projette sur le monde. Enfin, il revient également au droit d'y contribuer, en réactivant un contrôle très strict de la proportionnalité et de la légitimité de toute mesure de profilage et/ou de surveillance des citoyens, à des fins tant publiques que privées, et de toute conservation d'information personnelle à ces fins notamment. À cet égard, saluons l'opinion récente du Groupe de travail « article 29 » sur les aspects de protection des données relatifs aux moteurs de recherche du 4 avril 2008, précisant que la directive européenne 95/46/EC sur la protection des données à caractère personnel est bien applicable au traitement de données personnelles par les opérateurs de moteurs de recherche, même lorsque ceux-ci ont leur siège hors de la zone économique européenne, alors que la directive européenne 2006/24/EC 276
Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?
sur la rétention des données ne leur est, par contre, pas applicable, en conséquence de quoi les opérateurs de moteurs de recherche sont dans l'obligation d'effacer ou d'anonymiser de manière irréversible les données à caractère personnel - en ce compris les adresses IP des utilisateurs - dès lors qu'elles ne sont plus nécessaires à la poursuite de l'objectif spécifique et légitime pour lequel elles avaient été collectées. Il revient en outre à ces opérateurs d'être en mesure, à tout moment, de justifier la conservation et la durée de rétention des 'cookies' qu'ils utilisent. En outre, et c'est là un apport particulièrement intéressant de l'opinion du Groupe 29, le consentement des utilisateurs, est-il estimé, est requis avant toute opération de croisement des données et d'enrichissement de leurs profils 57. Il s'agit de lutter contre les dogmes d'efficacité économique et de sécurité présentés comme des logiques absolues de légitimation des traitements et de replacer ces logiques absolues dans leur cadre relatif. C'est là un objectif crucial dans la mesure où ces logiques véhiculent des représentations particulières de l'être humain. La logique absolue de la sécurité fait de tout être humain un suspect par défaut alors que la logique économique perçoit l'individu comme essentiellement rationnel et égoïste, se positionnant toujours rationnellement par rapport aux risques et opportunités de l'existence en fonction de sa nature de « joueur» ou de « frileux ». Ces deux types de logiques absolues (sécurité et rationalité économique), sont exemplaires de la mise en œuvre d'un pouvoir articulé sur la technique, la normalisation et le contrôle, dans la mesure où ils impliquent la classification des individus dans des catégories de « risques ». Des classifications de ce genre sont difficilement « contestables» : le risque étant une construction intellectuelle qui n'identifie aucune personne présente, mais vise seulement des événements
57
Article 29 Data Protection Working Party, « Opinion on data protection issues related to search engines », April 4, 2008 : « A key conclusion of this Opimon is that the Data Protection Directive generally applies to the processing of personal data by search engines, even when their headquarters are outside the EEA, and that the onus is on search engmes in this position to clarity their role in the EEA and the scope of their responsibilities under the Directive. The Data Retention Directive (2006/24/EC) is clearly highlighted as not applicable to search engine providers. This Opinion concludes that personal data must only be processed for legitlmate purposes. Search engine providers must delete or irreversibly anonymise personaf data once they no longer serve the specified and legitimate purpose they were collected for and be capable of justifying retention and the longevity of cookies deployed at all times. The consent of the user must be sought for all planned cross-relation of user data, user profile enrichment exercises. Website editor opt-outs must be respected by search engines and requests from users to update/refresh caches must be complied with immediately. The Working Party recalls the obligation of search engines to clearly inform the users upfront of all intended uses of their data and to respect tlieir right to readily access, inspect or correct their personal data in accordance with Article 12 of the Data Protection Directive (95/46/EC). » 277
La sécurité de l'individu numérisé
susceptibles de se produire dans l'avenir, est une technologie, ou une discipline adressée à l'ensemble d'une population plutôt qu'à des individus ou groupes d'individus actuellement identifiés et qui donc auraient matière à la contester 58. Renverser ces logiques absolues, ou transformer ce cadrage a priori, est d'autant plus urgent que celui-ci, s'il n'a aucune validité objective, a néanmoins un pouvoir performatif. À force de déployer, à travers notamment les dispositifs technologiques de la société de l'information, des représentations aussi négatives de l'individu on risque effectivement de susciter des comportements qui justifieront in fine ces logiques sécuritaires et économiques absolues, mais au prix de la plus précieuse de nos aptitudes: la liberté. A condition d'accepter de remettre en cause ces représentations collectives, de les ouvrir à la contestation, nous pourrons faire en sorte que les personnes puissent effectivement déployer tout le potentiel non seulement libératoire, mais aussi créatif et politique au sens arendtien du terme, contenu en germe dans la société de l'information. Ainsi, la« vie privée» n'apparaît pas comme un droit fondamental parmi d'autres, elle est une condition nécessaire à l'exercice des autres droits et li59. On peut se demander à cet égard si l'indétermibertés fondamentaux nation du droit à la protection de la vie privée ne découle pas, précisément, du fait que les conditions nécessaires à l'exercice plein et entier des autres droits et libertés fondamentaux varient en fonction des circonstances, des époques et des cultures? Puisque, comme nous avons voulu le montrer, le droit à la protection de la vie privée joue notamment le rôle d'un « système immunitaire de l'espace psychique », il paraît naturel que les instruments juridiques de sa protection évoluent, de la même façon que tout système immunitaire s'adapte aux mutations de l'environnement technologique et socio-politique, y compris pour garantir la réversibilité et la contestabilité de ces transformations. 58 La notion de gouvernance renvoie ici à l'approche foucaldienne et post-structuraliste centrée sur les rapports existant entre les 'tuesttons de gouvernement-autorité-politique, et les questions d'identité-« self »-,Personnalite. La notion de gouvernementalité, développée par Foucault donne les outils d une réflexion sur les liens eXistant entre les technologies du pouvoir et les technologies du « soi », les relations spécifiques que le sujet entretient avec Jui-même et qui président à la constitution du « soi» comme sujet moral. ev oir principalement Michel Foucault, «What is Enlightenment? », in The Foucault R£ader, Paul Rabinow (ed.), Pantheon Books, 1984, et Michel Foucault, Technologiesof the Se!!: A Seminar With Michel Foucault, University of Massachusetts Press, 1988.) 59 L'absence de référence explicite au droit à la protection de la vie privée dans la Constitution américaine mais son identification, par la Jurisprudence, « dans la pénombre» des autres droits fondamentaux atteste bien à mon avis du fait que le respect au droit à la protection de la vie privée constitue une pré-condition au respect des autres droits fondamentaux. 278
Applications
de la géolocalisation
GWENDAL LE GRAND CNIL Introduction Les applications de la géolocalisation sont multiples et utilisent différentes technologies permettant un positionnement plus ou moins précis des individus ou des objets. Néanmoins, l'avènement simultané d'outils de collecte de données de géolocalisation et d'outils cartographiques multiplie les usages et les applications qui sont maintenant accessibles à tous. Par exemple, la géolocalisation peut être utilisée pour le guidage des véhicules, la personnalisation des services offerts à des utilisateurs nomades, l'affichage d'un contenu adapté sur un site web, le suivi des déplacements d'un véhicule ou d'une personne et le suivi de son activité, la réduction des coûts d'une assurance automobile en fonction de l'usage réel du véhicule, etc. Dans la suite de ce document, nous examinerons les principales applications de la géolocalisation des objets et des personnes. Nous décrirons successivement les usages du positionnement par satellite (GPS) - incluant notamment la navigation, le positionnement, la personnalisation des primes d'assurance, le géocontrôle parental et les applications de confmement. Mais la géolocalisation peut faire appel à d'autres technologies, notamment le réseau de communication utilisé ou l'adresse IP d'un ordinateur. Finalement, nous aborderons la géolocalisation des appels d'urgence et nous conclurons en rappelant quelques éléments du cadre législatif.
Les usages du GPS L'usage grand public du GPS (Global Positioning System) s'est démocratisé avec plus de 14,5 millions de PND (personal Navigation Device) vendus en 2006, soit 40 % de plus qu'en 2005. De nombreuses applications visant à exploiter les données brutes de géolocalisation ont vu le jour pour offrir aux utilisateurs des informations sur les services situés à proximité de leur localisation (restaurants, hôtels, lieux touristiques, etc.).
La sécurité de l'individu numérisé
Les données collectées sur le positionnement d'un véhicule peuvent soit être exploitées localement à l'intérieur du véhicule, soit renvoyées à un terminal ou un tiers distant qui va retraiter cette information. Dans le deuxième cas, des capacités de communication (par exemple GSM/ GPRS) sont nécessaires. Dans le véhicule lui-même, un boîtier dédié peut être installé; il envoie des données brutes à des logiciels spécialisés permettant par exemple de suivre la position du véhicule sur une carte. 1 peuvent De manière générale, les risques pour les données personnelles se situer à plusieurs niveaux: dans la transmission des données si elle n'est pas sécurisée, dans la collecte des données par le tiers (et les échanges possibles entre tiers) car il faut s'assurer que seules les personnes habilitées peuvent accéder aux données et que celles-ci ne sont pas excessives, et dans l'interfaçage avec les outils externes puisque certains logiciels font appel à des données de cartographie en ligne dont les fournisseurs peuvent conserver la liste des requêtes effectuées. Des applications ont vu le jour dans la sphère personnelle comme dans la sphère professionnelle. Pour les flottes de véhicules professionnels, une dizaine de prestataires propose des dispositifs à des fins de contrôle de flottes de véhicules: un boîtier électronique est généralement placé derrière le tableau de bord du véhicule. Ce boîtier comprend un récepteur GPS (satellite) permettant de connaître la position du véhicule (longitude, latitude, altitude), la date et l'heure, l'état du véhicule et de transmettre ces informations via GSM ou GPRS vers le centre de traitement du prestataire de géolocalisation où se trouvent les logiciels d'analyse et de traitement des informations. Ce prestataire peut donner, via son site Internet, un accès sécurisé à l'employeur afin qu'il visualise et localise les véhicules de ses salariés. Techniquement, il est possible de collecter une grande variété de données, y compris des données concernant des dépassements de vitesse autorisée, mais la constitution de fichiers d'infraction par des sociétés privées n'est pas autorisée par la CNIL. Pour les applications personnelles, GoPass [1] commercialise un dispositif embarqué dans les véhicules personnels, qui renvoie des données de localisation à un PC pouvant visualiser les déplacements des véhicules sur une carte Google. En dehors des simples applications de suivi des véhicules, les informations de géolocalisation peuvent, quand elles sont disponibles, être traitées par différents intervenants. Ainsi, des applications sont apparues dans le 1
Ces données
peuvent
notamment
permettre
de tracer les déplacements 280
des personnes.
Applications de la géolocalisation monde de l'assurance, le montant de certaines primes peut dépendre de l'usage qu'une personne fait de sa voiture (ou de l'usage d'une flotte). D'autres usages sont également possibles pour la géolocalisation des appels d'urgence. Personnalisation
des primes d'assurance 2 Le « payas you drive» a été initié par Norwich Union au Royaume-Uni en 2004. Ce concept permet notamment de proposer à chaque client une police adaptée à l'usage qu'il fait de sa voiture ou de sa flotte de véhicules. La personnalisation nécessite une collecte de données envoyées depuis le véhicule vers l'assureur. Les données sont généralement collectées soit par un boîtier branché sur le bus CAN 3 embarqué du véhicule (et n'exploitant pas obligatoirement des données de positionnement GPS puisque par exemple le nombre de kilomètres parcourus peut être suffisant), soit par un boîtier dédié permettant une transmission des données (y compris de géolocalisation) vers l'assureur par GSM/GPRS. La nature des données collectées et les grilles de tarification sont propres à chaque assureur. La compagnie d'assurance ne collecte généralement pas les données brutes de localisation. Elle utilise un intermédiaire qui traite et agrège les données de géolocalisation des individus ou qui calcule des données anonymisées pour l'ensemble d'une flotte; seules les données agrégées ou anonymisées sont ensuite transmises à l'assureur pour adapter le montant de la prime de son client.
Le géocontrôle
parental
Le géocontrôle parental [6] [7] permet à des parents de pouvoir localiser leurs enfants au moyen d'un objet (téléphone portable, boîtier introduit dans une peluche,...) équipé d'un dispositif de géolocalisation (GPS/GSM). Le marché du « Child locating» était évalué à plus de 220 M€ par an en 2006 en Europe. L'interaction avec le dispositif peut s'effectuer par différentes interfaces, comme par exemple l'Internet ou le Wap. Après identification dans un espace sécurisé, une requête de localisation (pouvant utiliser différents types de technologies) est envoyée sur le réseau mobile. Selon les dispositifs, le boîtier peut être désactivé matériellement en actionnant un bouton ou par envoi d'un SMS au service. De plus, certains
2 Le terme de « payas you drive» 3 Controller Area Network.
est breveté
par Norwich
281
Union.
La sécurité de J'individu numérisé
dispositifs informent le porteur à chaque fois que leur téléphone a fait l'objet d'une requête de géolocalisation. Le demandeur reçoit des données de localisation qui peuvent être représentées sur une carte en indiquant le périmètre géographique où se situe le mobile. Le boîtier comporte également une touche « SOS» qui permet à l'enfant d'adresser un SMS d'alerte vers des numéros pré enregistrés par ses parents afin qu'ils puissent le localiser. Le confinement Plusieurs technologies et applications permettent de s'assurer qu'un individu reste dans un périmètre prédéfini. Les usages varient selon qu'il s'agit de protéger l'individu de l'environnement ambiant ou de protéger la société d'un individu dangereux. Dans le premier cas, des applications ont notamment vu le jour en environnement hospitalier pour protéger les personnes vulnérables. Afin de prévenir l'enlèvement d'enfants pouvant survenir dès la naissance, certains hôpitaux français comme l'hôpital de Montfermeil en Seine-Saint-Denis [8] se sont équipés de dispositifs électroniques s'appuyant sur la technologie sans-fli RFID (munis d'un dispositif anti-arrachement), permettant de localiser la salle dans laquelle se trouve chaque bébé; le dispositif déclenche une alerte en cas de sortie d'un espace prédéftni. Ce type de bracelet électronique a également été utilisé sur des malades d'Alzheimer. Dans le domaine judiciaire, le bracelet électronique permet de vérifier qu'une personne purgeant sa peine à domicile ne quitte pas les lieux dans lesquels il est confiné. Plus récemment, le bracelet électronique mobile [9], fixé sur des individus en fm de peine, permet de suivre leurs déplacements, s'assurer qu'ils n'entrent pas dans certaines zones d'exclusion et se trouvent bien à des moments prédéfinis dans des zones d'inclusion. Cette technologie s'appuie sur un positionnement GPS couplé à un émetteur récepteur GSM/ GPRS pour transmettre périodiquement la localisation de l'individu et éventuellement lui envoyer des messages. Mais le GPS n'est pas la seule technologie permettant de pister les individus ; ainsi, la géolocalisation peut reposer sur le réseau de communication mobile utilisé et même sur l'adresse IP d'un utilisateur sur Internet.
Localisation
par réseaux de communication
Un opérateur de téléphonie mobile sait à tout moment dans quelle zone (cellule ou groupe de cellules) se trouve un téléphone mobile dès lors qu'il 282
Applications de la géolocalisation n'est pas complètement éteint. Cette information est naturellement plus imprécise que la localisation GPS, puisqu'elle se fait généralement à l'échelle de la cellule (c'est-à-dire à quelques centaines de mètres près en environnement urbain). Parmi les utilisations de la localisation par GSM :
-
Des scientifiques du MIT ont utilisé, dans l'expérimentation RealTime Rome [2], un système de géolocalisation visant à suivre les déplacements d'une foule munie de téléphones portables.
-
Au travail, le téléphone peut être exploité pour le géopointage des salariés. Par exemple, Deveryware propose un service DeveryLoc [3] permettant à un employé d'envoyer un SMS pour géopointer en annonçant le début ou la fm de sa journée de travail. La plate-forme Deveryware procède à la localisation du téléphone mobile et mémorise la date et le lieu des débuts et des fms de journée. L'employeur peut alors disposer d'un enregistrement des horaires de début et de fm des plages de travail, avec les lieux géographiques correspondants, ces informations étant récapitulées dans un rapport.
-
Les opérateurs doivent géolocaliser les appels d'urgence en provenance des téléphones mobiles; ils peuvent aussi utiliser des informations de géolocalisation pour personnaliser des services envoyés aux utilisateurs.
-
La géolocalisation peut être étendue non seulement à l'opérateur mais aussi à des tiers identifiés, comme dans le service myLoc de Deveryware. Chaque utilisateur peut paramétrer le service pour déterminer qui dans une communauté prédéfmie peut le localiser, dans quelles conditions, et avec quelle précision.
Naturellement, le concept de la géolocalisation dans le réseau téléphonique est repris dans d'autres technologies. Ainsi, la géolocalisation WiFi permet de savoir à quel point d'accès WiFi est connecté un internaute et donc de connaître sa localisation à une centaine de mètres près. Par triangulation, il est même possible d'obtenir des informations de localisation plus précises. Des services ou des publicités personnalisés en fonction de la localisation de l'utilisateur peuvent alors lui être communiqués. Voici quelques exemples d'outils de géolocalisation WiFi: WiFi Positioning System (WPS) de Skyhook [4], Intel [5].
283
La sécurité de l'individu numérisé
La géolocalisation
des ordinateurs
La géolocalisation des ordinateurs est souvent peu précise. Les usages les plus classiques reposent sur la localisation de l'adresse IP en utilisant la base Whois qui permet d'obtenir des informations sur le titulaire d'un domaine et son adresse. Une géolocalisation plus précise des ordinateurs peut être réalisée lorsque des points d'accès WiFi enregistrent quels utilisateurs sont connectés, comme cela a été décrit plus haut. Une fois la localisation effectuée, l'objectif est généralement de personnaliser le contenu qu'un site web va présenter à l'utilisateur. Les informations de géolocalisation sont également exploitées pour déterminer où il est le plus pertinent d'aller chercher un contenu sur Internet, quand ce contenu est disponible à plusieurs localisations. L'intérêt de ce type de dispositif est principalement de réduire le temps de réponse des sites web puisque, en général, un contenu plus proche pourra être rapatrié plus rapidement. Ces fonctionnalités de routage avancé peuvent aussi faire appel à d'autres services, en particulier le DNS (qui effectue, entre autres, les correspondances entre les noms et les adresses IP). Géolocalisation
d'appels d'urgence
Tout appel d'urgence, même masqué, peut être démasqué et localisé par les autorités compétentes (police, pompiers, etc.). En effet, quand un appel est masqué, le numéro de l'appelant se trouve tout de même dans la signalisation envoyée au récepteur, mais elle est simplement masquée par le réseau grâce à des bits d'information indiquant que le numéro appelant ne doit pas être affiché. Les accords entre opérateurs stipulent qu'ils sont tenus de respecter cette information, mais ce n'est naturellement pas le cas des services d'urgence qui, pour offrir leurs services efficacement, doivent pouvoir identifier les appelants. D'autres services permettent d'améliorer les secours et l'assistance apportés aux personnes émettant un appel d'urgence. Par exemple, le dispositif Mobirisk consiste à envoyer au centre de secours des données de géolocalisation d'un téléphone portable, de sorte que les secours puissent le localiser plus rapidement. L'appel d'urgence transite par le serveur de l'opérateur téléphonique, qui envoie alors un message à certaines personnes de l'entourage de l'appelant, abonnées au service Mobirisk et préalablement choisies par l'appelant. Dans le domaine automobile, « eCall » est un système de notification automatique des accidents de la circulation reposant sur le numéro d'appel
284
Applications de la géolocalisation d'urgence européen. En cas d'accident grave n'importe où, les voitures équipées d'« eCall» appellent automatiquement le centre de secours le plus proche en composant le 112. Les informations essentielles sur l'accident, notamment son lieu exact, sont communiquées via cet appel, même lorsque aucun occupant du véhicule n'est en mesure de communiquer. Les informations sur l'emplacement de l'accident permettent de réduire le délai d'intervention des services de secours de 50 % en zone rurale et de 40 % en zone urbaine. Par conséquent, il a été décidé que dès 2010, tous les véhicules fabriqués en Europe devront être équipés d'un système automatique d'appel d'urgence (eCall) 4; la difficulté de leur mise en place vient de la modernisation nécessaire des infrastructures. Le centre de réception des appels d'urgence sera soit une autorité publique, soit un fournisseur de services privé opérant sous la responsabilité d'une autorité publique, et indiquera exactement le lieu de l'accident.
Conclusion Comme nous l'avons vu à travers les différents exemples présentés dans cet article, les applications de la géolocalisation sont multiples et variées. La CNIL étudie chacune de ces situations. Dans le domaine de la géolocalisation des véhicules, la décision la plus emblématique de la CNIL a été le refus d'autorisation en 2005 d'un traite5 ment mis en œuvre par la Maaf dans le cadre d'une offre d'assurance automobile à destination des jeunes conducteurs basée sur la géolocalisation des véhicules. Cette décision largement commentée a provoqué une situation d'attentisme chez les professionnels. Compte tenu des développements du « payas you drive» dans le reste de l'Europe, notamment au RoyaumeUni et en Italie, les assureurs reviennent aujourd'hui vers la CNIL pour présenter de nouveaux projets prenant en compte l'interdiction de constituer des fichiers d'infractions et d'enregistrer l'intégralité des déplacements d'une personne, qui s'avère disproportionnée au regard de l'objectif poursuivi. Dans le même temps, la CNIL constatait l'accroissement très net des dispositifs de géolocalisation au sein des entreprises. Dès lors, elle a adopté
4
Le coût de mise en place du système est estimé à 4,55 milliards d'euros par an en ce qui concerne, en particulier, l'installation du dispositif dans les véhicules et la modernisation des centres de réception des appels d'urgence. Toutefois, les estimations indiquent un rapport coûts/avantages très favorable pour le système eCall. On évalue ainsi a environ 26 milliards d'euros les économies annuelles que permettrait le système (économies sur les coûts provoqués par les accidents et les embouteillages). 5 Délibération n° 2005-278 du 17 novembre 2005. 285
La sécurité de l'individu numérisé
le 16 mars 2006 une norme simplifiée (norme n° 51) concernant les traitements mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés et une recommandation 6 relative à la mise en œuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d'un organisme privé ou public. Dans sa recommandation, la CNIL «considère ainsi que le responsable du traitement ne doit pas collecter des données relatives à la localisation d'un employé en dehors des horaires de travail de ce dernier. C'est pourquoi, la Commission recommande que les employés aient la possibilité de désactiver la fonction de géolocalisation des véhicules à l'issue de leur temps de travail lorsque ces véhicules peuvent être utilisés à des fins privées ». Enfin, pour la géolocalisation des personnes par des réseaux de communications publics, les dispositifs doivent respecter les dispositions de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). En particulier, l'article 9 de la directive 2002/58 prévoit le consentement des personnes aux fins de localisation, leur information à chaque requête de localisation, et la possibilité de retirer à tout moment leur consentement. S'agissant de la durée de conservation des données, les données de localisation ne peuvent être traitées que « pour la durée [nécessaire] à la fourniture d'un service à valeur ajoutée ». Références [1] GoPass, http://www.gopass.com.tw/Product/AVL900_GPS_tracker.htm [2] Real-rime Rome http://senseable.mit.edu/realrimerome/ [3] Deveryloc http://www.1ocgsmpro.fr [4] WiFi Positioning System, Skyhook, http://www.skyhookwireless.com/ [5] Géolocalisation WiFi par Intel, http://www.zdnet.fr/actualites/telecoms/0.39040748.39244035.00.htm [6] üotay, http://www.ootay.com [7] Kiditel, http://www.cartelematics.fr/tranquilou.php
6
Délibération n° 2006-066 du 16 mars 2006. 286
Applications de la géolocalisation
[8] Des bracelets électroniques pour empêcher le vol de nouveaunés. http://www.Olnet.com/editorial/345930/ (mise-a-jour)-desbracelets-electroniques-pour-empecher-Ie-vol-de-nouveau-nes /
[9] Whois http://www.afnic.fr/outils/whois [9] Lancement du bracelet électronique mobile, http://www.1efigaro.fr/france/20060415.FI G000000628_lancement_ du_braceleCelectronique_mobile.html
287
La géolocalisation des biens et des individus dans l'espace public: liberté de circulation et réseau de télécommunications GAYLORD BAUDEN-HAMEREL ET CÉSAR POVÉDA lREENAT - Faculté de droit Lille 2 Le décloisonnement des espaces et des territoires dans une grande partie de l'Europe a participé à la consécration progressive du principe de liberté de circulation des personnes (article 18 TCE, intégration progressive de Schengen incluse dans le traité d'Amsterdam). Les barrières matérielles déterminant les espaces géographiques perdent ainsi de leur sens, au fur et à mesure que s'étendent les moyens de communication, qu'il s'agisse des outils technologiques ou des infrastructures civiles. Les réseaux d'échanges ouverts aux individus sont autant de couloirs de passage qui canalisent leur circulation dans un espace déterminable, avec plus ou moins de contraintes techniques pour y accéder. L'analogie entre les réseaux de télécommunications et les réseaux routiers peut être poursuivie puisqu'il s'agit dans les deux cas d'autoriser le transit d'objets reliés à des individus identifiables grâce à l'emploi de moyens de marquage assurant leur traçabilité dans un espace donné. Ainsi, la liberté de circulation des biens et des personnes n'emporte pas une garantie d'anonymat, et la diversité des moyens de contrôle et de suivi des individus multiplie les risques potentiels d'atteinte à ces libertés. Les limites et contours encore flous de ces moyens de contrôle doivent être précisés car ils présentent des risques potentiels mettant à l'épreuve le principe de liberté de circulation. La géolocalisation, entendue comme tout procédé permettant de localiser un individu ou un objet dans un espace physique ou logique déterminé, couvre un large spectre d'applications liées à des réseaux disparates. Il nous faut exclure en ce sens tous les outils de localisation des objets dans des espaces clos et fmis (non extensibles physiquement, ou interconnectés à d'autres branches de réseau par le passage forcé au travers de « portails »), comme peuvent l'être, par exemple, le système de sécurité ou de stockage
La sécurité de l'individu numérisé
dans les entrepôts, aéroports, ou encore les voies de circulation payantes. La pénétration d'individus dans ces espaces est, normalement, guidée par un assentiment à un contrat de service ou professionnel, aliénant partiellement l'idée de liberté de circulation dans un espace déterminé. Cette analyse des espaces clos n'entre donc pas dans notre propos et nous nous centrerons sur l'analyse des dispositifs permettant de localiser les individus dans un espace physiquement ouvert.
I - La liberté de circulation: des objets aux individus dans l'espace et le domaine public A - La disparition des obstacles à la liberté de circulation des biens et des personnes dans l'espace S chengen
La liberté d'aller et de venir est garantie par des conventions internationales : -
l'article 12 du Pacte international relatif aux droits civils et politiques de N ew York du 16 décembre 1966 ;
-
l'article 2 du protocole additionnel n° 4 à la Convention européenne de sauvegarde des droits de l'homme, etc.
Notre approche sera volontairement orientée sur l'application de la géolocalisation dans l'espace européen, en interaction avec le cas français, récepteur récent de nouvelles offres de services de géolocalisation. Il est dès lors indispensable de dresser un panorama juridique des espaces de circulations d'Europe occidentale. L'espace Schengen a mis initialement en place un espace sans frontières intérieures permettant la libre circulation des facteurs de production (marchandises, individus, services et capitaux), et constitue une des initiatives les plus ambitieuses de la construction communautaire. C'est pourtant une initiative intergouvernementale parallèle à la construction européenne (sous l'impulsion du Conseil européen des 17 et 18 juin 1984) qui est à l'origine de la déftnition d'un espace de libre circulation des personnes, et qui aboutira à la Convention d'application des accords de Schengen le 19 juin 1990. À ce titre, l'extension de l'espace dit « Schengen» n'est pas limitatif aux pays membres de l'Union, mais comprend des partenaires tels que la Suisse, qui a ratifté les accords en 2005 et s'intègre à cet espace. L'article 2 de la Convention de Schengen, consacré au franchissement des frontières intérieures, prévoit que celles-ci « peuvent être franchies en tout lieu sans qu'un contrôle des personnes soit effectué », et ce sans restric290
La géolocalisation des biens et des individus dans l'espace public
tions apparentes selon l'appartenance des ressortissants circulant à l'intérieur de l'espace. Hormis les cas de menace grave envers l'ordre public et la sécurité intérieure d'un pays membre de l'espace, les frontières intérieures des États doivent être dépourvues d'obstacles pouvant entraver la fluidité du trafic routier. Toutefois, il ne faut pas oublier, tel que le précise le Conseil constitutionnel français dans sa décision du 25 juillet 1991, que « le franchissement des frontières sans qu'un contrôle des personnes soit nécessairement effectué n'est pas assimilable à une suppression [...] des frontières qui, sur le plan juridique, délimitent la compétence territoriale de l'État ». Les limites territoriales des compétences de l'État demeurent certaines. La libre circulation des biens et des personnes n'est, de plus, pas totale avec des pays non intégrés à l'Union, mais participant à Schengen, comme la Suisse, qui maintient toujours pour le moment un contrôle douanier sur les marchandises issues d'un pays membre de l'Union et entrant dans son espace. Les individus sont toutefois libres de circuler sans restrictions. La libre circulation des personnes est l'une des quatre composantes du marché intérieur, tel que défini à l'article 14 ~2 TCE. Le traité de Rome prenait en compte les personnes dans l'optique d'un projet d'intégration économique par le marché et visait au premier chef les travailleurs au sein de l'Union, avant d'être étendue dès le début des années 90 aux inactifs (retraités et étudiants). L'entrée en vigueur du traité de Maastricht a élargi aux citoyens ce principe de libre circulation sans différenciation de statut économique. Ainsi, l'article 18 TCE définit le principe en déterminant que « tout citoyen de l'Union a le droit de circuler et de séjourner librement sur le territoire des États membres ». L'intégration des principes des traités 1er « Schengen» dans l'ordre de l'Union européenne, dès le mai 1999, est la conséquence de l'inclusion au sein du traité d'Amsterdam des décisions accumulées depuis 1985, et elle étend à 13 États membres le dimensionnement de l'espace (exception faite du Royaume-Uni et de l'Irlande), tout en synchronisant l'entrée des nouveaux États arrivés en 2004 dans l'Union avec l'adoption de l'acquis « Schengen» (moyennant quelques aménagements du calendrier permettant l'intégration progressive de ces nouveaux arrivants). B - Approche
interne de la liberté de circulation
La liberté d'aller et venir est une liberté fondamentale proclamée dans la Constitution de 1791, et consacrée à plusieurs reprises par le juge administratif. Elle peut s'exercer, quel que soit le mode de déplacement, au sein du territoire. Les trois juridictions suprêmes françaises ont confirmé le statut de 291
La sécurité de l'individu numérisé
la liberté d'aller et venir comme « principe fondamental à valeur constitutionnelle », sans toutefois s'appesantir sur la déftnition de ses contours préCIS. Les mesures d'aménagement de cette liberté ont essentiellement touché les outils de mobilité. L'exemple de l'encadrement particulier des véhicules à moteur est une mesure nécessaire de contrôle des dangers potentiels. Les impératifs de liaison de l'objet à son détenteur (immatriculation, carte grise...) permettent une identiftcation « a Priori)) destinée à assurer le suivi des agissements et des infractions dans l'espace public, responsabilisant de fait l'usager face aux exigences de sécurité et de respect de l'ordre public. C - La fin des espacesp~siques délimitables: l'extension d'un espacepublic La rupture progressive des enclaves frontalières des États ne représente aujourd'hui qu'une part de la mobilité offerte aux individus. Si la libre circulation des biens et des personnes est intimement liée aux infrastructures routières, il est de plus en plus pertinent de s'interroger sur le lien de dépendance des biens et des personnes aux réseaux de communications ainsi qu'aux dispositifs de positionnement. Les voies de communications sont des éléments particuliers attachés au domaine public, et matériellement identiftables, mais: la rupture progressive des frontières physiques ne doit pas être entendue comme le seul angle d'analyse du lien qui unit l'individu à son environnement; le déploiement de réseaux radioélectriques ouverts constitue une occupation de l'espace public (entendu au sens large comme un espace accessible, sans restrictions ni contraintes, que l'espace soit physique ou non) qui, bien qu'impalpable, trouve des applications concrètes ancrées dans nos usages. L'émergence d'un sentiment de liberté de circulation ne saurait cacher la croissance de la dépendance des personnes à ces réseaux de communications, placés sous un contrôle étatique. Les téléphones mobiles sont des dispositifs autonomes, clients d'un réseau maillé, permettant le transfert de données numériques qui ne se limitent pas qu'à la voix. Ici, c'est la connexion et l'authentification sur un réseau et un accès à un dispositif de transmission radio qui peuvent autoriser des applications de géolocalisation, ou servir de réseau de transport pour faire remonter des données issues de dispositifs de géolocalisation basés sur une technologie 292
La géolocalisation des biens et des individus dans l'espace public
GPS. Les applications peuvent constituer des solutions autonomes efficaces, bien que moins précises que ce que ne permet le positionnement par satellite, ou un élément complémentaire de ce dernier (dans la limite de la couverture des réseaux). Quelques applications déjà commercialisées utilisent ou combinent chacune de ces technologies pour offrir un service de traçage des porteurs des dispositifs. D - La permanence du lien de l'individu à un espace public
Aucune mesure technique ne permet de situer, en temps réel, un individu disposant uniquement d'un dispositif passif, du type simple GPS. Par contre, l'adoption massive du téléphone mobile constitue un moyen réel de positionnement qui, sans être aussi efficace et précis que la technologie par satellite, constitue un système actif de géolocalisation dès que celui-ci est allumé et accède à un réseau, et ce avec une précision approximative de 100 mètres, en fonction de la technique employée pour déterminer une posi-
.
hon
1
.
Le téléphone mobile négocie constamment son accès au réseau GSM (selon des techniques basées sur la puissance du signal ou le temps de réponse du dispositif par rapport aux émetteurs), associé à un mécanisme d'authentification, attachant le porteur du mobile à son prestataire par la combinaison d'une carte à puce et d'un code PIN, garantissant un certain degré de liaison contractuelle entre l'opérateur de téléphonie mobile et l'individu porteur. Toutefois, l'accès au réseau GSM est possible sans ce mode d'authentification. L'identification du terminal dans le réseau maillé est possible, pour un accès aux services de secours, sans avoir recours à une authentification complète PIN en se basant uniquement sur l'IMEI (International Mobile Equipment Identity) qui est un code unique composé de 15 chiffres identifiant le téléphone portable, et première information ouvrant l'accès au relais du réseau. Dès lors, il convient de s'interroger sur les obligations des opérateurs visà-vis des pouvoirs publics, ainsi que des garanties existantes de loyauté dans 1 A) Le différentiel de temps ou OTD (Enhaced Observed Time Difrence) c'est-à-dire le temps calculé entre l'émission du signal par la station la plus proche et sa réception par le téléphone, ou encore l'UTA (Uplink Time to Arrival). B) Plus rapide (quelques secondes) mais moins précise (de l'ordre de 200 mètres en ville et plusieurs aizaines de kilomètres en campagne) la méthode Cell ID identifie simplement l'antenne par laquelle passe la communication. C) La triangulation s'effectue à partir des trois relais les Elus proches du GSM ; l'opération est plus longue (quelque 5 secondes), mais plus précise (ae l'ordre de 100 mètres en ville et de 4 kilomètres en campagne). 293
La sécurité de l'individu numérisé
le traitement des données utiles à l'emploi des réseaux de téléphonie mobile. Existe-t-il un contrôle direct de l'État sur l'espace public couvert par ces réseaux?
-
II Les réseaux radioélectriques un espace public sous contrôle
ouverts:
A - Gestion d'une ressourcerare: l'attribution desfréquences Le déploiement des réseaux de communication est devenu au cours des quinze dernières années un dossier majeur de l'aménagement du territoire en France et dans de nombreux pays membres, en partie sous l'impulsion technique des organismes de normalisation, et par la volonté de l'Union européenne, désireuse de développer les applications d'itinérance et de réguler les flux de données au sein de l'espace communautaire (Directive 87/372/CEE du Conseil, du 25 juin 1987, concernant les bandes de fréquences à réserver pour l'introduction coordonnée de communications mobiles terrestres publiques cellulaires numériques paneuropéennes dans la Communauté, et la recommandation 87/371/CEE du Conseil, du 25 juin 1987, relative à l'introduction coordonnée des communications mobiles terrestres publiques cellulaires numériques paneuropéennes dans la Communauté). La gestion des fréquences appartient aux pouvoirs publics, sans toutefois être rattachée à une notion de domaine public dit « aérien ». Le domaine public hertzien n'existe spécifiquement que depuis la loi du 26 juillet 1996 relative au secteur des télécommunications. Les garanties liées à ce classement (inaliénabilité, incessibilité, imprescriptibilité, exigence de règles de protection de l'intérêt général) servent à protéger une ressource rare, mais aussi à autoriser un contrôle administratif efficace de l'utilisation de cet espace. Leur utilisation est ouverte à une occupation privative du domaine public, et soumise à une autorisation administrative précaire et révocable (rappelée, entre autres, dans l'arrêt du Conseil d'État du 30 juin 2003 « Société Neuf Telecom SA »). La répartition des compétences de contrôle de l'usage des exploitants des réseaux radioélectriques est confiée à des autorités administratives découpées par la nature du service (ARCEP, ANFR, CSA). B - Les obligations des opérateurs Les opérateurs
de téléphonie
mobiles
294
sont légalement
contraints
à :
. . .
.
La géolocalisation des biens et des individus dans l'espace public
établir et exploiter
des réseaux ouverts;
obtenir l'homologation autorisant à exploiter un réseau et obtenir ainsi le statut d'opérateur. Le statut d'opérateur conditionne le respect des prescriptions exigées par l'ordre public; collecter et traiter les données; assurer les renforcements des obligations des opérateurs liés à la loi du 9 juillet 2004, dite« Paquet Telecom» et l'obligation de suivi de la propagation des terminaux mobiles et des accès au réseau.
Extrait de la convention de renouvellement S.F.R. 2004 (Source: ARCEP)
des licences GSM Orange
/
« L'efficacité de la lutte contre le vol des terminaux est renforcée. Les opérateurs métropolitains auront ainsi l'obligation d'alimenter la base de données recensant les numéros IMEI d'identification des terminaux déclarés volés, et de procéder au blocage des terminaux qui y sont inscrits. » Les téléphones mobiles sont des terminaux attachés à droit d'accès peut être révoqué au niveau d'accès l'infrastructure. De ce fait, l'éradication d'un terminal lMEl, pour être efficace, doit être appliquée à toutes les tous les prestataires, et repose à ce titre, sur un échange techniques.
un réseau, dont le le plus bas de par son numéro infrastructures de direct de données
Plusieurs interrogations en découlent: Qui gère en pratique cette base de données lM El ? Existe-t-il une synergie technique dans la collecte de ce type d'informations? A Priori oui. L'obligation précise qu'il s'agit bien d'une base de données de recensement. Quid de la procédure de blocage? Aucune mesure réglementaire ne détaille la procédure de gestion des données techniques liées aux terminaisons de réseau. Dès lors, un terminal inclus ou exclu du réseau ne peut pas disparaître de la circulation tant qu'il n'est pas détruit, ou que son lMEl n'est pas changé. Quelle est la véritable nature des données échangées entre les opérateurs ? Là encore, le régulateur est muet. Renvoi au droit commun de collecte et traitement des données?
295
La sécurité de l'individu numérisé
Dans ce cas, la récupération des données techniques relatives aux connexions, authentifiées ou non, sont donc eXploitables par l'État et la Justice dans le cadre général de la protection de l'ordre public. Quelques éléments de réponse liés à l'architecture du réseau GSM :
. .
. .
Le registre des abonnés locaux (noté HLR pour Home Location Register) : il s'agit d'une base de données contenant des informations (position géographique, informations administratives, etc.) sur les abonnés inscrits dans la zone du commutateur (MSC). Le registre des abonnés visiteurs (noté VLR pour Visitor Location Register) : il s'agit d'une base de données contenant des informations sur les autres utilisateurs que les abonnés locaux. Le VLR rapatrie les données sur un nouvel utilisateur à partir du HLR correspondant à sa zone d'abonnement. Les données sont conservées pendant tout le temps de sa présence dans la zone et sont supprimées lorsqu'il la quitte ou après une longue période d'inactivité (terminal éteint). Le registre des terminaux (noté EIR pour Equipement Identity Register) : il s'agit d'une base de données répertoriant les terminaux mobiles grâce à leur numéro IMEI. Les opérateurs membres de la GSM Association profitent d'une base de données centralisant à la fois l'ensemble des codes IMEI des terminaux, mais aussi la liste noire alimentée par les déclarations des opérateurs. Le centre d'authentification chargé de vérifier l'identité des utilisateurs.
Quelles informations transitent d'informations. 1) Informations permanentes:
-
sur le réseau?
On recense
deux types
l'International Mobile Subscriber Identity (IMSI), information identifiant exclusivement l'abonné à l'intérieur de tout réseau GSM et qui se trouve dans la carte SIM;
-
l'IMEI; restrictions d'accès aux services (voix, service éventuels verrouillages des appels internationaux, complémentaires) . 2) Informations dynamiques: -
la position
courante
du GSM ; 296
de données, SMS, et d'autres services
La géolocalisation des biens et des individus dans l'espace public éventuellement
la situation
d'un
certain
nombre
de services
auxiliai-
res. C - L'exploitation de la géolocalisation : une contrainte légale Les opérateurs français de télécommunications ont l'obligation de mettre en place la géolocalisation des appelants pour les numéros d'urgence. Cette nouvelle disposition du code des postes et communications électroniques a été introduite par le décret 2005-862 d'application de la loi du 9 juillet 2004. Cette obligation est appelée à s'appliquer à la fois aux opérateurs fixes (via le schéma de numérotation), aux prestataires de voix sur IP et, bien sûr, aux opérateurs de téléphonie mobile. Pour la téléphonie mobile, il s'agit de déterminer le « lieu géographique de provenance de l'appelle plus précis que lesdits équipements sont en mesure d'identifier ». De cette obligation, sous couvert d'un impératif de sécurité, découle la possibilité constante d'accéder au réseau, quel que soit l'opérateur, sans obligation d'authentification de l'utilisateur disposant du combiné. Rappelons à ce titre que la géolocalisation par ce dispositif n'est pas des plus précises, et ne constitue avant tout qu'un moyen d'amélioration du routage des appels, avant d'apporter une localisation géographique précise dans l'espace. Le législateur contraint les opérateurs, sous couvert du renouvellement de leur licence, d'adopter un dispositif technique destiné à assurer l'efftcacité d'une mission de service public. Mais quid du stockage et du traitement des données de connexion non authentifiées? Sans détails précis, et au regard de l'obligation attenante aux opérateurs, la simple identification au réseau doit pouvoir entraîner une localisation. On ne trouve aucun élément posant les limites de la durée de conservation de ces données, ni les catégories de données retenues pour satisfaire cette finalité. Sans être révélatrices du porteur du terminaL elles peuvent devenir révélatrices par recoupements dans le cadre d'une enquête judiciaire (suivi des terminaux mobiles des étrangers sur le territoire ne disposant pas d'un contrat avec un opérateur national, relevés de cartes de crédit, ou vidéosurveillance par exemple...). L'utilité de ces données dépasse le cadre strict du contrôle de la qualité de service, et éclaire sur les moyens techniques accessibles par les pouvoirs publics pour assurer en premier lieu la sécurité civile des personnes. T outefois, les applications dérivant de ces données techniques sont déjà nombreuses. Elles permettent par exemple, à partir d'une ou plusieurs cellules
297
La sécurité de l'individu numérisé
GSM, de procéder à un comptage des individus disposant d'un mobile allumé dans une zone géographique, et d'en faire ressortir, entre autre exemple, le nombre d'étrangers dans cette même zone. Le décloisonnement des espaces publics ne doit pas occulter la progression constante des moyens techniques de suivi des individus. L'usager, de plus en plus conscient de sa liberté de déplacement, perd progressivement conscience de la constance de sa dépendance à un réseau apte à suivre, mieux que jamais apte à assurer son contrôle.
298
Postface ISABELLE DE LAMBERTERIE Directeur de recherche au CNRS Au terme de cet ouvrage très riche, qui aborde toutes les facettes des relations entre sécurité et protection de la vie privée au regard des grandes étapes du traitement de l'information (collecte, exploitation, conservation), on se doit de souligner à la fois l'impression de retrouver des sujets aujourd'hui classiques et le caractère novateur des problématiques soulevées. En effet, les trente ans d'Informatique et Libertés n'ont pas permis d'épuiser les problèmes ni de réguler toutes les situations où le traitement de l'information peut porter atteinte à la vie privée! Cette étape ftnale du programme Asphales, en traitant des interactions entre sécurité juridique et sécurité technique, apparaît plus comme une ouverture vers de nouveaux programmes que comme un bilan conclusif. À travers
les regards
croisés
de juristes
et d'informaticiens,
on perçoit
l'un des principes de l'avancement de la connaissance: s'inscrire dans la continuité de son champ de recherche tout en se « frottant» aux autres disciplines. La sécurité des données numérisées, aujourd'hui, n'est pas uniquement une affaire de technique ni une affaire de régulation, elle est un problème social et culturel, le plus difftcile étant de trouver le bon équilibre entre le besoin de partager et de protéger l'information (y compris contre les intéressés eux-mêmes). Toutefois, cette expérience très riche est une invitation à aller plus loin et à pousser la collaboration pour en tirer les fruits d'une approche renouvelée de chacune des disciplines sur des objets qui ont servi de révélateur des questionnements d'aujourd'hui. En effet, ce sont de nouvelles pistes de recherches pluridisciplinaires qui émergent à travers ce panorama. Souhaitons, ainsi, la transposition de cette expérience dans ces chantiers de recherche transversaux et pluridisciplinaires en cours ou en émergence sur des objets ou des techniques comme la biométrie, le dossier médical partagé, les RFID et plus largement les nanos-
La sécurité de l'individu numérisé
ciences et nanotechnologies quand ces champs croisent «traitement l'information» et biotechnologie...
de
Se projeter dans l'avenir, c'est le pari réussi des responsables de cet ouvrage. Autre mérite, et non des moindres, avoir su aussi ménager une place importante à la réflexion théorique pouvant aller jusqu'à une mise en perspective philosophique. C'est une invitation à poursuivre une recherche juridique distancée, se démarquant des risques d'instrumentalisation technologique, recherche qui conserve son identité dans un cadre interdisciplinaire à l'intérieur des sciences sociales.
300
L.HARMATTAN.ITALIA Via Degli Artisti 15; 10124 Torino L'HARMATTAN HONGRIE KÔllyvesbolt ; Kossuth L. u. 14-16 1053 Budapest L'HARMATTAN BURKINA FASO Rue 15.167 Route du Pô Patte d'oie 12 BP 226 Ouagadougou 12 (00226) 76 59 79 86 ESPACE L'HARMATTAN KINSHASA Faculté des Sciences Sociales, Politiques et Administratives BP243, KIN XI ; Université de Kinshasa L'HARMATTAN GUINEE Almamya Rue KA 028 En face du restaurant le cèdre OKB agency BP 3470 Conakry (00224) 60 20 85 08 [email protected] L'HARMATTAN COTE D'IvOIRE M. Etien N'dah Ahmon Résidence Karl/cité des arts Abidjan-Cocody 03 BP 1588 Abidjan 03 (00225) 05 77 87 31 L'HARMATTAN MAURITANIE Espace El Kettab du livre francophone N° 472 avenue Palais des Congrès BP 316 Nouakchott (00222) 63 25 980 L'HARMATTAN CAMEROUN BP 11486 Yaoundé (00237) 4586700 (00237) 976 61 66 [email protected]
Achevé d'imprimer par Cori et Numérique - 14110 Condé-Sur-Noireau
W d'imprimeur: 55820 - Dépôt légal: décembre 2008 - Imprimé en France
