Incorporer la protection de la vie privée dans les systèmes d’information, une alternative à la régulation par la loi ou par le marché

Publié le par

Paru dans la revue Terminal, n°88, avril 2003  

Scott McNeally, PDG de Sun, déclarait en janvier 1999 dans une apostrophe aux défenseurs de la protection des données personnelles : « This is the XXIst century. You have zero privacy anyway. Get over it ! »[1]. Si le cynisme de cette assertion n’a pas laissé indifférents ceux qu’elle visait, il reste à relever un paradoxe. L’un des principaux fournisseurs de technologies, de logiciels et de matériel proclame que l’informatique est par essence liberticide, alors qu’il sait, mieux que tout autre, qu’elle n’a pas de nature : elle est le domaine par excellence de la flexibilité. Après tout, plus on souhaitera protéger les données au sein des systèmes informatiques, plus les fournisseurs pourront vendre des systèmes complexes – et coûteux – assurant des fonctions avancées de protection. Si le PDG de Sun considère pourtant, comme l’ont fait traditionnellement les fournisseurs informatiques, que la protection de la vie privée n’est pas de leur ressort, cette garantie doit alors être assurée par les utilisateurs de leurs technologies, et non par ces technologies elles-mêmes. Mais cette vision traditionnelle est-elle vraiment pertinente ? N’est-il pas possible de prendre Scott McNeally au mot et d’incorporer les fonctionnalités de protection des données aux systèmes d’information, aux outils informatiques eux-mêmes ? C’est la question à laquelle nous nous intéressons dans cet article.

En premier lieu, nous définirons les objectifs d’une protection pragmatique des données personnelles dans le contexte d’un outil informatique qui est devenu universel, en ménageant une voie médiane entre les adeptes d’une transparence totale et même totalitaire et ceux d’une opacité complète, totalement paralysante. Nous nous pencherons ensuite sur les moyens juridiques (droit applicable, cadre régulateur), sociaux (normes d’usage, stratégies de protection) et techniques qui permettent de mettre en œuvre cette protection. Nous étudierons, de manière plus approfondie, les moyens techniques de protéger ces données au sein même des systèmes d’information[2], que ce soit en jouant sur l’architecture de ces systèmes ou – piste à notre sens plus fructueuse, quoique moins explorée – en modifiant les composants utilisés au sein de ces systèmes. Nous conclurons à la faisabilité d’une telle protection au niveau des composants logiciels des systèmes d’information.

Concilier protection de la vie privée et ubiquité de l’informatique

Le débat sur la protection des données personnelles dans la société de l’information se développe sur la base de deux demandes apparemment contradictoires des utilisateurs des outils informatiques et, notamment, des services en ligne : d’une part, l’exigence d’une simplicité des opérations en ligne et, d’autre part, la recherche de l’anonymat de la navigation et de la confidentialité des transactions.

La complexité actuelle des démarches en ligne est souvent citée comme l’une des raisons du faible développement du commerce et de l’administration électroniques. Parmi les simplifications souhaitées par les marchands en ligne, mais également par certains utilisateurs, figure en bonne place la généralisation de dispositifs évitant au client de ressaisir pour chaque marchand, voire pour chaque transaction, ses données personnelles ; autre demande souvent citée, un dispositif de tri personnalisé permettant à un utilisateur de ne recevoir ou consulter prioritairement que les informations qui le concernent. Ce type d’améliorations rapprocherait l’ergonomie de la transaction en ligne de celle en « face-à-face ».

Dans le domaine administratif, de même, les téléservices publics restent d’utilisation complexe alors que les hommes politiques (suivant en cela ceux de l’ensemble des acteurs économiques) vont répétant qu’il est possible, grâce à l’informatique, de simplifier et de personnaliser les rapports entre l’usager et l’administration[3]. Celle-ci pourrait en effet, en s’appuyant sur la connaissance qu’elle aurait de son interlocuteur, ne présenter ou n’expédier que l’information qui est directement utile à l’usager, compte tenu de son âge, de sa situation familiale, etc. Bien mieux, l’Etat pourrait proposer régulièrement un bilan des droits de chaque citoyen, lui indiquant notamment les aides et prestations auxquels il a droit et qu’il n’utilise pas. Cet « audit social » personnalisé permettrait aux plus démunis qui bien souvent ignorent leurs droits d’en bénéficier[4]. L’informatique administrative, serait ainsi un instrument de justice sociale ; plus largement, elle permettrait de mieux adapter la société aux demandes de chacun de ses membres.

Pour mettre en place ces services personnalisés et cet Etat-providence renouvelé, les organisations prestataires de services (privées ou publiques) doivent réunir de nombreuses informations sur les individus et les rapprocher les unes avec les autres. Pour le consommateur ou l’usager, l’entreprise prestataire ou l’administration deviendrait alors une boîte noire, avec les avantages et les inconvénients que cela comporte. Certes, les rapports seraient très largement simplifiés. Mais, en retour, il ne serait guère possible au client ou au citoyen de percevoir, au-delà des opérations qui le concernent, le plan d’ensemble qui a conduit à lui réserver ces traitements ni les prestations qui sont proposées à d’autres.

La généralisation de ce type de relations ne reviendrait-elle pas à construire une société dont les individus seraient totalement transparents pour les organisations – et au premier chef pour l’Etat – et où les activités des uns et des autres seraient, d’une certaine façon, réalisées sous le regard de la collectivité ? Cette société ne serait-elle pas une société panoptique, ou un Etat policier ? Comme le disait le juge américain William Douglas, « the right to be let alone is indeed the beginning of freedom »[5]. Le droit au secret dans sa vie privée, comme le droit à l’oubli sont en effet des conditions indispensables à toute société démocratique. L’utilisation de l’informatique pour simplifier et individualiser les services marchands ou administratifs ne peut donc être réalisée qu’en protégeant la privacy.

La deuxième demande qui apparaît en matière de commerce et d’administration électronique est bien différente : celle d’un anonymat généralisé et d’une confidentialité totale. Cette exigence est d’ailleurs bien plus présente « en ligne » qu’elle ne l’est dans les autres modes d’interaction commerciale ou administrative : la même personne peut être paranoïaque sur internet et laisser partout traîner sa carte bleue dans le « monde physique ». Cette demande s’exprime le plus souvent sous la forme d’une défiance profonde à l’égard du traitement réservé par les entreprises et, plus encore, par les administrations aux données qui leur sont fournies par les usagers.

Poussé à son extrême, ce souci de furtivité généralisé conduirait à un modèle de société opposé au « panoptique » précédent, et qui est notamment celui qu’appellent de leur vœux – et s’efforcent de vivre – les « crypto-anarchistes »[6] : l’individu ne dévoilerait jamais son identité, il serait l’unique détenteur de ses données personnelles. Lors de chaque interaction sociale (avec d’autres individus, des entreprises ou l’administration), il ne fournirait que les données absolument nécessaires à la transaction, les autres données restant secrètes. Par exemple, pour recevoir une prestation sociale, l’administré n’aurait besoin de fournir ni son adresse, ni le montant de ses impôts ; il suffirait qu’il précise son nom, voire un identifiant ad hoc, ainsi qu’éventuellement le nombre de ses enfants et l’information de ce que ses impôts sont inférieurs à un plafond. De la même manière, pour commander en ligne un logiciel, il suffirait que l’usager télécharge le fichier correspondant et qu’il utilise un système de paiement anonyme, comme celui qu’avait en son temps imaginé Digicash. Dans ses relations interpersonnelles, l’individu utiliserait systématiquement des pseudonymes et ne dévoilerait qu’au cas par cas les éléments de son identité qui lui paraissent nécessaires pour progresser dans l’interaction.

Le seul problème de ce modèle de l’opacité et de la furtivité est que l’application généralisée de ces principe rendrait impossible toute vie sociale. Dans un tel monde, où l’anonymat est la règle, toute relation sociale doit en effet être constamment re-négociée, les relations de confiance ne sont plus possibles. Certes, l’Etat ou les entreprises ne peuvent plus surveiller les citoyens et il devient impossible de constituer des bases de données sur les individus réels mais, paradoxalement, ce monde ressemble aux sociétés totalitaires, car la défiance y est permanente. On est dans un monde déstructuré, anomique où il devient très difficile d’établir des rapports de confiance, de construire un lien social, où même les routines de coopération ordinaire sont impossibles.

Ainsi, en matière de gestion des données personnelles, le modèle de la transparence, comme celui de l’opacité, malgré leurs aspects séduisants, sont aussi inacceptables l’un que l’autre. La question de la privacy ne peut être résolue de façon aussi radicale. Pour pouvoir offrir des services en ligne de qualité, il faut pouvoir réunir de l’information sur les individus, mais dans de nombreux cas, ces données n’ont pas besoin d’être nominatives ; quand il est nécessaire qu’elles le soient, leur collecte doit être acceptée par l’usager. A l’inverse, de nombreuses activités en ligne peuvent être anonymes, comme c’est d’ailleurs également le cas dans le monde réel. De nombreuses informations peuvent m’être données sans que j’ai à décliner mon identité ; je dois pouvoir payer de façon anonyme (comme avec la monnaie sonnante et trébuchante).

S’ils doivent de plus en plus être le support de nos activités économiques et sociales, les systèmes et réseaux d’information doivent donc fonctionner sur le mode de l’anonymat par défaut, à chaque fois qu’il n’est pas indispensable d’afficher son identité. C’est d’ailleurs le mode de fonctionnement usuel du web. De même, la possibilité de crypter ses messages doit être proposée à tous ceux qui le veulent, et ne pas nécessiter de compétence technique particulière. L’anonymat n’est-il pas, au demeurant, une des conditions d’exercice de la citoyenneté à travers le vote et certaines modalités de l’engagement politique ?

Il s’agit donc de construire un modèle de la privacy qui permette à la fois une certaine opacité dans les relations sociales et autorise une plus grande efficacité et une certaine individualisation des relations commerciales et administratives. Pour ce faire, nous allons en premier lieu explorer les divers moyens qui peuvent être mobilisés au service de la protection des données personnelles au sein des systèmes d’information.

Droit, autorégulation et code : des modes de régulation complémentaires et interdépendants

On distingue habituellement une approche européenne fondée sur des législations protectrices et des autorités de contrôle et l’approche américaine, fondée sur l’autorégulation et sur le marché. En fait, l’histoire de la protection de vie privée face à l’information est celle d’une confrontation et d’une hybridation entre plusieurs modes : régulation par le droit (modèle politique), autorégulation par les acteurs et plus largement par le marché, régulation par la technique.

  • La régulation par le droit de la protection de la vie privée

Le besoin de protéger la vie privée par la loi s’est imposé très tôt. Les Etats-Unis ont réglementé les écoutes téléphoniques des 1968 (Federal Wiretap Act), puis les systèmes d’information des administrations, en 1974 (Privacy Act). Chaque nouvelle technologie de communication donne lieu a une réglementation ad hoc : de la télévision par câble (1984) au courrier électronique (1998), en passant par les autocommutateurs (Telephone Consumer Protection Act).

L’Europe a opté, de manière plus tranchée, pour une protection de la vie privée par la loi : d’abord, au niveau des états, puis, au niveau communautaire avec l’adoption de deux directives : la directive sur la protection des données personnelles (1995), complétée par une autre, en 1997, centrée sur les télécommunications. Si l’approche américaine se veut « ad hoc », l’approche européenne se veut plus globale. Plus politique aussi : elle élève la protection de la vie privée au rang d’un droit de l’homme : un droit à « l’autodétermination en matière d’information », un droit d’ordre public qui doit être garanti par l’Etat, et qui se décline en principes : principes de finalité, de pertinence et de proportionnalité des données, limitation de la durée de conservation des informations (droit à l’oubli), obligation de ne communiquer les données qu’aux destinataires et tiers autorisés à en connaître, obligation de sécurité, respect des droits des personnes (principe de loyauté et de transparence, c’est-à-dire droit à l’information, droit d’accès, de rectification, droit d’opposition… )

La différence majeure, dans les faits, réside peut être dans l’institution d’autorités de contrôle indépendantes qui veillent au respect de ce cadre protecteur. Mais l’approche européenne rencontre un double déficit d’effectivité. Les autorités de contrôle ont de plus en plus de mal à exercer leur mission. Avec la banalisation de la microinformatique, les fichiers et les traitements prolifèrent, échappant, pour l’essentiel, aux procédures de déclaration. Nul n’est en mesure, en France comme dans les autres pays-membres, d’estimer précisément le nombre des traitements automatisés d’informations nominatives, alors que l’objet de la loi est précisément de les réglementer. « La CNIL en a enregistré 500 000 environ. Encore ce chiffre doit-il être minoré d’environ 20 %, pour tenir compte des traitements qui ont disparu sans que leur suppression ait été déclarée. De toute façon, le nombre actuel de traitements en fonctionnement est sans commune mesure avec celui des traitements déclarés ou autorisés. Trois millions d’entreprises sont dotées d’un ou plusieurs traitements, parfois des centaines…[..] Au total et même en tenant compte des traitements dispensés de déclaration, on peut avancer sans grand risque d’exagération que quelques millions de traitements ont échappé » [7] au contrôle de la CNIL. La directive européenne apporte une réponse partielle à ce « déficit » en déplaçant le curseur des fonctions de contrôle a priori (déclaration et autorisation) vers le contrôle a posteriori … Même en renforçant les pouvoirs d’investigation et de sanction des autorités de contrôle, même en augmentant leurs moyens humains, on pressent que le modèle européen fondé sur une autorité de contrôle atteint ses limites face à l’explosion des fichiers et des traitements, à la flexibilité des outils informatiques, à la vitesse de leur évolution, à la complexité des architectures mises en place.

Quant aux droits reconnus : droits d’information, d’accès, d’opposition et de rectification, ils restent « assez formels, celui-ci (l’usager) n’ayant qu’une faible connaissance des fichiers détenant des données sur lui. Le contrôle des traitements est devenu surtout l’affaire de la CNIL »[8].

  • Autorégulation

L’autorégulation repose, au contraire, sur la libre confrontation et l’ajustement mutuel des comportements des acteurs. Calquée sur le fonctionnement du marché, l’autorégulation suppose que le marché finira par sanctionner les entreprises qui font un usage abusif des informations qu’elles collectent. « La loi n’intervient que sur une base très ciblée pour résoudre des problèmes spécifiques là où le marché a échoué. »[9]

 

Mais les mécanismes d’ajustement et de négociation ne jouent que très imparfaitement, dans un contexte de forte asymétrie : les gens ne savent pas à quel degré ils sont fichés, ni quel usage est fait réellement des données qui les concernent, ni à qui elles ont été communiquées… Cette asymétrie apparaît fort bien dans les propositions de la Direct Marketing Association américaine. Celle-ci propose que les entreprises puissent utiliser beaucoup plus largement les données personnelles qu’elles ont collectées, sauf si les usagers déclarent expressément qu’ils le refusent. Ce régime dit « opt-out » s’oppose au « opt-in », principe qui jusque là constituait la règle et prévoyait que les données ne peuvent être utilisées pour une autre finalité que celle pour laquelle elles ont été originellement recueillies qu’avec l’accord explicite de la personne concernée.

De plus, les acteurs économiques qui s’imposent des règles de retenue en matière de collectes et de traitements se trouvent pénalisés par rapport à ceux qui ne s’en imposent aucune : l’autorégulation suppose l’émergence de normes collectives, qui prennent la forme de chartes de déontologie et de codes de conduite. Encore faut-il que toutes les entreprises adhèrent à ces normes et les respectent, ce qui est loin d’être le cas.

Aux stratégies de collecte de données personnelles par les organisations répondent des stratégies de « furtivité » des personnes : communiquer le moins de données possible ou des données erronées… Les utilisateurs tendent aussi à se doter d’outils techniques qui permettent aux personnes de préserver leur anonymat ou d’exercer un contrôle sur la nature des données qu’ils communiquent. On qualifie ces outils de « Privacy Enhancing Technologies ». Ainsi, bien souvent, l’usager qui n’est pas protégé par la loi doit assumer lui-même sa protection. C’est donc un modèle qui est beaucoup plus favorable aux entreprises qu’aux personnes privées.

En tout état de cause, l’autorégulation ne vaut que pour le seul secteur commercial. Face à l’administration, en situation de monopole, le public ne peut faire jouer la concurrence. Si la loi définit les obligations informationnelles des citoyens (les données qu’ils sont tenus de communiquer), il lui revient aussi de définir les obligations informationnelles des administrations.

  • La patrimonialisation des données personnelles, une solution en débat

Alors que la loi ne protège que formellement le citoyen et que l’autorégulation est en fait favorable aux entreprises, il convient de trouver une solution qui donne plus de pouvoir à l’individu. Plusieurs auteurs défendent aujourd’hui l’idée qu’il faut donner aux individus, un droit de propriété sur leurs données personnelles. Dans un tel système, les personnes sont en en situation de « négocier » les données avec les organisations qui souhaitent les acquérir, ce qui suppose des dispositifs techniques. Des mécanismes de marché peuvent ainsi se mettre en place. Les opérateurs ( qui acquièrent aujourd’hui ces données gratuitement) devront arbitrer, acheter les données ou se débrouiller autrement.

Paul Sholtz a construit sur ce principe, une théorie économique de la privacy[10] fondée largement sur le concept des coûts de transaction forgé par Coase et Williamson. « Les avancées technologiques, explique-t-il, ont considérablement réduit les coûts de collecte et de traitement des données personnelles par les entreprises. Cette modification de l’environnement a donné naissance à un marché inefficace du fait de l’asymétrie de l’information entre les acteurs Reconnaître aux consommateurs un droit de propriété sur leurs données personnelles apparaît comme le moyen de rétablir l’efficacité du marché et d’accélérer l’adoption du commerce électronique ». [11]

Cette vision du rééquilibrage du marché bénéficie du soutien de certains défenseurs de la vie privée, désireux de s’opposer aux formes les plus intrusives du marketing en ligne. « Leur objectif n’est pas d´œuvrer pour l´enrichissement du consommateur. Ils font plutôt le pari que les redevances versées aux particuliers pour leurs informations contribueront à renchérir substantiellement le coût de production des campagnes de marketing direct. Pour des raisons de rentabilité, les milieux économiques finiront alors par préférer d’autres modes de communication, plus respectueux de la vie privée. La marchandisation des données personnelles est souhaitée par des organisations de défense de la vie privée pour les même raisons que le personnel politique écologiste défend une fiscalité élevée sur le prix des carburants. L’élévation du prix permet de dissuader le marché d’effectuer des choix économiques jugés néfastes pour la société »[12].

De son côté, le juriste américain Lawrence Lessig souscrit assez largement à cette approche. Schématiquement, il considère que la seule façon de défendre la privacy est d’instaurer un régime de propriété des individus sur leurs données personnelles, ce qui revient, en définitive, à laisser le marché réguler la privacy, à rebours de ses préconisations pour les autres dimensions de la vie « en ligne » – notamment en matière de propriété intellectuelle. Cette contradiction de la pensée de Lessig a été notamment notée par Marc Rotenberg[13].

Pour rétablir l’équilibre en faveur de l’individu, la protection de ses données personnelles doit être systématique et adaptée à la nouvelle donne technique et économique, qui voit la multiplication des interactions virtuelles entre chaque individu et un nombre croissant d’acteurs. Lessig estime donc qu’il faut imaginer un nouveau cadre juridique basé sur la propriété privée des données personnelles. Une telle solution donne à chaque individu le contrôle sur les informations qui le concernent, en donnant un cadre juridique clair et connu aux transferts de données personnelles. Certains individus, pour faciliter leurs transactions commerciales ou administratives n’accordent que peu d’intérêt à la protection de leur privacy, ils céderont gracieusement leurs données personnelles, d’autres, au contraire, refuseront de les vendre. Finalement le marché constituerait la meilleure solution pour défendre la privacy.

Cette proposition paraît séduisante dans un premier temps, puisqu’un tel choix éviterait que s’applique le principe général qui veut que l’information appartienne à celui qui en effectue la collecte ou en assure la formulation. Mais en fait, cette formulation n’est pas plus réalisée par l’individu que par l’entreprise ou l’administration gestionnaire de la base de données. Comme le note Pierre Catala, elle « dépend de la loi (dévolution du nom, détermination de l’état civil, du domicile…) ou bien elle s’attache de plein droit aux actes du sujet (acquisitions immobilières, état des comptes bancaires…) »[14]. Il convient plutôt de considérer les données personnelles comme un attribut de la personnalité, « bien que la personne concernée ne soit pas « auteur » de l’information, au sens de la mise en forme, elle est le titulaire légitime de ses éléments »[15]. Cette perspective de juristes français rejoint celle d’auteurs américains qui estiment que de même qu’un individu ne peut pas vendre son vote ou des parties de son corps, il ne peut pas vendre sa privacy. Les droits fondamentaux de l’individu ne peuvent pas faire l’objet de transactions[16].

Si donc la position de Lessig ne fait pas l’unanimité, elle revient à abandonner au marché la protection de la privacy, ce qui peut étonner de la part d’un juriste qui a souvent plaidé pour une intervention de l’Etat dans la régulation d’Internet[17]. Selon Rotenberg, cela tient au fait que Lessig oublie toute une tradition, aussi bien américaine qu’européenne de défense de la privacy. Il est particulièrement intéressant d’examiner le cas du téléphone. Lors du lancement du service d’affichage du numéro appelant, les autorités de régulation ont généralement exigé que les opérateurs téléphoniques donnent la possibilité aux usagers de désactiver cette fonctionnalité appel par appel ou globalement. Pour ce faire, ces derniers ont du modifier leurs logiciels. On est bien dans un cas où la loi a fixé des orientations qui se sont imposées au code. Dans le domaine des données, il existe également un nombre de textes importants que cela soit le Privacy Act (1974) aux Etats-unis, la loi Informatique et libertés (1978) en France, la directive européenne sur les données (1995). Ces textes qui sont souvent assez généraux, définissent de grands principes juridiques. Leur élaboration a souvent été associée à un débat public. Ils constituent donc une référence dans les représentations que le citoyen peut avoir de la privacy. Néanmoins, ces principes juridiques restent au total peu appliqués au niveau opérationnel. Il y a, comme nous l’avons indiqué plus haut, une distance considérable entre la loi et la réalité de l’usage des données informatiques personnelles.

  • La protection par la technique

Qu’il s’agisse d’alléger le fardeau du contrôle exercé par les autorités de contrôle ou de créer les conditions pour que les citoyens puissent exercer eux-mêmes, en ligne, les droits que la loi leur reconnaît, on pressent qu’il faut se tourner vers des solutions techniques.

L’idée a surgi, très tôt, que la technologie pouvait constituer un rempart face aux risques que l’informatique fait peser sur la vie privée. Cette perspective est longtemps restée théorique. C’est avec l’essor d’Internet que cette perspective d’une protection de la vie privée par la technique a commencé à connaître ses premières réalisations, à travers la banalisation des outils de cryptographie, le développement de services d’anonymisation ou le projet P3P.

Sans doute convient-il de distinguer parmi les technologies protectrices de la vie privée, des technologies « externes », périphériques aux systèmes d’information eux-mêmes, indépendantes de ceux ci, dont l’emploi dépend directement de l’utilisateur (cryptographie) ou qui sont mises en œuvre par des prestataires spécialisés (comme les services d’anonymisation), et celles qui sont « intégrées », incorporées, internalisées dans les systèmes d’information.

A ce jour, ne sont véritablement déployées ou utilisées que les technologies externes : elles sont mises en œuvre directement par l’utilisateur (cryptographie) ou par des prestataires spécialisés (comme les services d’anonymisation).

Panorama des outils technologiques externes de protection de la privacy[18]

  • Progiciels de chiffrement des méls et des documents joints ;
  • Stéganographie : technique qui consiste à dissimuler un message à l’intérieur d’un autre fichier ;
  • Génération de méls temporaires. Le texte des courriers n’est plus lisible passé un certain laps de temps ;
  • Génération de méls non rediffusables. Le destinataire du message ne peut pas le faire suivre à d’autres destinataires.
  • Services d’anonymisation de la navigation. Pour visiter les sites web sans laisser de traces susceptibles de faciliter l’identification du visiteur;
  • Remailer (re-achemineur), service qui permet d’envoyer des messages sans que le destinataire puisse identifier l’émetteur ;
  • Services d’anonymisation des interventions sur les forums de discussion;
  • Les gestionnaires d’identité virtuelle. Approche qui consiste à créer des personnalités virtuelles qui ne peuvent être rattachées à l’identité réelle de l’auteur. Ces personnes virtuelles peuvent alors consommer et communiquer sous un pseudonyme ;
  • Cryptage des conversations en messagerie instantanée (chat) ;
  • Firewall (logiciel pare-feu) personnel pour micro-ordinateur pour identifier la présence de cookies ou des spywares, voire pour en interdire l’accès;
  • Progiciels de suppression des « traces»« présentes sur l’ordinateur, par exemple les cookies ou le cache ;
  • Progiciel de cryptage d’informations figurant sur le PC, par exemple les « favoris»» ;
  • Externalisation des données personnelles sur un disque dur distant ;
  • Progiciels anti-spam, pour filtrer les courriers électroniques non sollicités.

 

Le standard P3P, promu par le W3C[19], permet aux internautes de reconnaître automatiquement en se connectant à un site la politique de protection des données du site. D’une protection « individuelle » ou « marchande» (confiée à des prestataires), on passe, avec le P3P, à une forme de protection collective.

L’idée selon laquelle les principes de protection de la vie privée doivent être incorporés dans les systèmes techniques, dans le « code», pour reprendre l’expression de Lawrence Lessig[20], suscite un intérêt croissant. Pour les juristes américains qui théorisent cette approche d’une inscription du droit dans la technologie (le « code » rendant exécutoire la loi), il revient au débat public, et en dernière instance, à l’autorité politique, de fixer des règles ou des objectifs : il appartient ensuite aux ingénieurs et aux entreprises de traduire ces règles et ces objectifs dans le fonctionnement des réseaux et des systèmes d’information.

Ce débat autour des thèses de Lessig et de Reidenberg n’a évidemment pas la même résonance en Europe et aux Etats-unis.

Aux Etats-Unis, en l’absence d’un cadre juridique protecteur en matière de vie privée, c’est l’autorégulation qui prévaut. On attend, à première vue, de la technique qu’elle rende effectives (et dignes de confiance) les chartes et les codes de déontologie. La problématique américaine est en fait un peu plus complexe, car le modèle de l’autorégulation est encadré par deux autres :

  • Une régulation « individuelle » : puisque la loi ne dit pas grand chose, il revient aux personnes d’assurer elles-mêmes leur protection, contre les collectes sauvages de données et la surveillance électronique, en utilisant des outils techniques : les « privacy enhancing technologies».
  • Une régulation « servicielle » : le fait marquant, c’est l’émergence d’une nouvelle génération d’intermédiaires qui assurent des services de gestion des identités électroniques : assurant l’interface entre l’individu et les opérateurs (banques, commerce électronique), ils se posent en « tiers de confiance » et proposent à leurs clients une gestion personnalisée de leurs données personnelles : parmi les données personnelles que vous nous avez confiées, lesquelles souhaitez vous communiquer, à qui, a quelle condition ?

Si on s’interroge, en Europe, sur la contribution de la technique à la privacy, c’est dans une tout autre perspective. L’objectif est de rendre effectif le contrôle exercé par les autorités de contrôle, de permettre aux citoyens d’exercer en ligne leurs droits.

Faisabilité de la protection des données personnelles au niveau du code

Le livre de Lawrence Lessig, Code and other Laws of cyberspace, a constitué une date importante dans la réflexion sur la régulation d’Internet. Le juriste américain a en effet montré que l’architecture des réseaux de communication informatique encadrait beaucoup plus profondément leur usage que ne pouvait le faire la loi. Si donc le code informatique est un élément de régulation plus puissant que le code juridique, il est essentiel que le citoyen participe à la définition des principes que le code va incorporer.

Est-il bien possible de protéger les données personnelles au niveau du « code », pour parler comme Lawrence Lessig ? Si le concept de « code » semble suffisamment précis pour l’entreprise de Lessig, qui dresse un panorama large et rapide de très nombreux domaines d’usage des technologies de l’information, il ne saurait cependant nous satisfaire, car il est trop large et protéiforme pour nous.

En effet, si l’on suit les conclusions de Lessig sur la réalité de la prééminence du « nouveau » code (informatique) sur « l’ancien » (juridique), reste à savoir comment, concrètement, il serait possible de protéger au niveau du « code » et non des règles juridiques les grands équilibres, et notamment la protection des données personnelles. Nous sommes ici amenés à quitter Lessig, qui s’arrête à l’affirmation de la nécessité d’imaginer des solutions au niveau du « code », pour examiner la faisabilité de telles solutions.

Code = Architecture + Composants

Au sein d’un système d’information, protéger les données personnelles revient à mettre en place des interfaces et des procédures qui interdisent d’accéder aux données personnelles contenues dans le système à tous ceux qui n’ont pas à les connaître. La protection de ces données (ou, au contraire, le manque de cette protection) est gérée par le « code », que l’on peut définir comme l’ensemble des dispositifs techniques (informatiques) utilisés dans le système.

Cependant, il convient de distinguer deux sous-ensembles au sein du code. Il s’agit d’une part de l’architecture du système et d’autre part des composants.

Par architecture, on entend les règles de fonctionnement spécifiques à un système d’information : organisation générale, règles d’accès, requêtes effectuées sur les données, structures des tables de données, paramétrage, maintenance, etc. Par composants, on entend les briques logicielles ou matérielles qui sous-tendent le système d’information : matériel, système d’exploitation, serveurs web, logiciels d’identification, bases de données utilisées, protocoles mis en œuvre, pare-feu, etc.

On peut se figurer que les données personnelles sont au cœur du système d’information, ce dernier se plaçant entre elles et les utilisateurs, les protégeant et les mettant en relation contrôlée avec l’extérieur. La métaphore qui vient à l’esprit est celle d’un oignon et de ses pelures successives. Au cœur de l’oignon, les données sont d’autant mieux protégées qu’il y a des pelures nombreuses (i.e. que l’architecture soit bien conçue) et que chaque pelure est résistante (i.e. que les composants soient bien conçus).

Alors que l’architecture est naturellement spécifique au système d’information considéré, les composants sont (au moins en théorie) interchangeables et (de plus en plus souvent) développés de manière générique pour un usage large, pour des raisons de coût de développement et de maintenance. De ce fait, alors que l’architecture est définie par le possesseur du système d’information, les composants sont le plus souvent achetés à l’extérieur. En termes juridiques, les composants sont gérés par le biais d’un contrat d’utilisation passé entre le créateur de l’objet informatique et l’entité qui utilise le composant dans son architecture (la licence).

Ce mode de fonctionnement découle des méthodes de développement informatique et de mise en place des systèmes d’information : il n’est pas fait pour assurer la protection des données personnelles. En particulier, les fonctionnalités intégrées par les composants ne sont pas strictement celles nécessaires au fonctionnement du système, mais bien plus larges. Ainsi, un serveur web avancé permet certes de publier des pages de textes au format HTML, mais également de gérer des scripts ou de manipuler des cookies, par exemple. C’est l’étendue des fonctionnalités des composants qui est souvent utilisée par les virus pour contaminer un système en utilisant une fonctionnalité non-utilisée, mais présente, pour s’infiltrer, par exemple. Au sein des systèmes d’information actuels, les composants sont donc extrêmement puissants et, non bridés, permettraient toute sorte de manipulations sur les données personnelles.

Sur la base de la distinction que nous avons établie, la régulation des données personnelles au niveau du « code » peut donc se faire soit en régulant l’architecture, soit en régulant les composants. Ce sont ces les deux branches de cette alternative que nous allons analyser à présent.

Réguler l’architecture ?

Notre modèle traditionnel de protection des données personnelles est d’imposer des règles au niveau juridique. Cependant, très occasionnellement et dans les cas les plus complexes, la CNIL a déjà imposé des règles au niveau de l’architecture. Par exemple, en interdisant aux administrations fiscales d’utiliser le NIR (le numéro de sécurité sociale), la CNIL a obligé ces dernières à créer un nouvel identifiant, et à en faire le pivot de leur système d’information vis-à-vis des particuliers.

La régulation par l’architecture serait-elle donc suffisante ? Elle pose cependant des problèmes difficiles, au fur et à mesure que les composants sont de plus en plus puissants : elle revient en effet à munir les acteurs d’armes très puissantes, tout en leur interdisant de les utiliser à plein, ce qui nécessite une vigilance de tous les instants. Ce qui était possible dans un contexte où les organisations utilisant des systèmes d’information étaient rares et de grande taille est beaucoup plus difficile au fur et à mesure que les systèmes d’information se répandent partout.

Les possesseurs de systèmes connaissent de plus en plus mal les solutions complexes qu’ils utilisent. Beaucoup se mettent en faute sans l’avoir particulièrement prémédité, simplement par méconnaissance des règles ou par trop grande facilité d’utilisation de composants puissants. On pourrait multiplier les exemples de ce type de dérives, comme celui de ce jeune policier australien qui a effectué quelques 6 900 recherches dans des bases de données policières sur ses flirts potentiels, principalement par ennui[21].

De surcroît, dans un contexte technique, économique et politique mouvant, les engagements pris sur l’architecture peuvent ne pas être durables. L’arrivée des moteurs de recherche plein texte, par exemple, rend possibles des recherches massives au sein des documents d’un serveur de fichiers, les rendant à peu près transparents pour la recherche d’informations personnelles – ce qui était totalement impossible auparavant.

La protection des données par la régulation de l’architecture s’avère donc mieux adaptée à l’informatique d’hier, centralisée et coûteuse, qu’à celle d’aujourd’hui, banalisée et standardisée. Pour autant, il ne semble pas que la CNIL se soit déjà préoccupée des composants utilisés au sein d’une architecture, estimant qu’ils ne pourraient l’être que d’une manière bridée par l’architecture autorisée. Récemment, cependant, d’autres régulateurs ont commencé à analyser certains composants au regard de la protection des données personnelles. Ainsi, la commission européenne a entamé en mai 2002 une procédure d’examen des mesures de protection des données personnelles de Microsoft Passport, qui est un composant générique d’authentification.

L’Etat s’est plus souvent intéressé aux composants pour son usage propre. Ainsi, aux Etats-Unis, alors que la constitution garantit (4e amendement) « the right to the people to be secure in their persons, houses, papers and effects, against unreasonable searches and seizures », les responsables de l’exécutif ont souvent essayé d’imposer des standards techniques qui permettraient techniquement à la police de lire des messages privés auxquelles elle n’a pas légalement accès. Ce fut le cas, dans les années 1990 du projet « Clipper chip » de l’administration Clinton qui donnait à la police la possibilité d’accéder par une « back door » aux communications cryptées, c’est également le cas de l’USA Patriot Act que l’administration Bush a fait voter peu après le 11 septembre.

Reste à examiner la manière dont la protection des données personnelles pourrait concrètement s’effectuer au niveau des composants.

Protéger les données personnelles au niveau des composants

 Les composants sont des outils fermés (ou, du moins, qui ne sont pas faits pour être ouverts en utilisation normale) remplissant une fonction précise au sein d’un système d’information. Ils ont avec l’utilisateur, avec les données au sein du système et avec les autres composants des relations organisées par des protocoles de communication. On peut donc les représenter, s’ils contrôlent l’accès à des données, comme un coffre renfermant un trésor. De la même manière que l’on peut placer un cadenas sur un coffre, ouvrable seulement avec la bonne clef, il semble donc possible d’implanter, au sein même du composant, des règles protégeant les données personnelles. Encore faut-il savoir contre quels risques il s’agit de les protéger.

Lessig distingue deux types de risques liés aux données personnelles : le monitoring des comportements de navigation et d’interaction avec les systèmes d’information, qui permet l’accumulation progressive de données personnelles sur les individus, et la fouille des données personnelles conservées par une organisation. De ces deux risques découlent deux problèmes dans leur protection par des méthodes traditionnelles.

En premier lieu, même si les règles juridiques prévoient la possibilité pour chacun d’interdire que sa navigation soit observée (monitoring), l’incohérence potentielle des choix de protection faits par un individu le conduit à se surprotéger vis-à-vis de certains acteurs tout en laissant des failles vis-à-vis d’autres, par négligence ou par lassitude. Ce problème est très général et repose sur une classe banale de composants : le module d’identification du site web sur lequel il navigue.

En second lieu, il est impossible pour un individu de contrôler la diffusion entre tiers des données qui le concernent sans recourir à un dispositif technique, ce qui le rend particulièrement vulnérable à la fouille de données progressivement rassemblées sur lui à mesure de ses contacts avec une organisation conservant ces données, par exemple. La diffusion de données au sein d’une organisation repose, le plus souvent, sur des dispositifs simples et peu structurés, assimilables à l’échange de courriers électroniques entre différents personnels de l’organisation. C’est pourquoi, à nouveau, une classe banale de composant se trouve au cœur de la diffusion de ces données personnelles : le lecteur de courrier électronique utilisé par l’organisation.

A travers ces deux exemples, on voit apparaître des pistes pour protéger les données personnelles au niveau des composants, quelle que soit l’organisation qui les utilise ensuite. Dans le premier cas, il s’agirait d’une base de donnée (associée à un serveur web) qui autorise systématiquement l’internaute à interroger la structure des tables et le type des données personnelles qu’il stocke ; dans le second, d’un client de courrier électronique qui vérifie qu’il a l’autorisation de l’ensemble de la chaîne des émetteurs d’ouvrir un courrier électronique avant de procéder à cette ouverture.

La suite de cette section est consacrée à esquisser des solutions techniques à ces deux problèmes, afin de montrer qu’il est bien possible de protéger les données personnelles au niveau des composants. Cette démonstration faite, restera à savoir comment pousser les créateurs de composants à intégrer ce type de protection au sein de leurs programmes.

Exemple 1 : Se protéger contre le monitoring

De P3P à un outil logiciel de lutte contre l’incohérence des choix de protection

Rares sont les entreprises qui, aujourd’hui, ne collectent pas des données personnelles sur leurs clients. Des actes aussi banals que s’inscrire à une liste de diffusion d’information, acheter un produit en ligne ou utiliser les services d’un hébergeur gratuit se traduisent à peu près systématiquement par l’abandon au prestataire de telle ou telle information sur soi. Les données qui sont demandées peuvent être différentes d’un site à l’autre, les garanties offertes hétérogènes – notamment en ce qui concerne la cession des données récoltées à des tiers.

Le plus souvent, tous les éléments permettant d’évaluer le risque en matière de protection des données personnelles sont disponibles sur le site. Cependant, la banalité des questions posées et la faible valeur ajoutée de l’acte que l’on souhaite accomplir, et pour lequel il faut donner ces informations, rendent insupportables un examen approfondi de ces garanties.

De surcroît, il est à peu près impossible, à moins de s’astreindre à une autodiscipline sévère, de savoir à chaque instant quelles sont les données qui me concernent et qui figurent chez telle ou telle entité, que je les lui aie moi-même apportées ou qu’elle les ait acquises auprès d’un tiers. Le nombre des entreprises et des administrations qui possèdent des données sur moi se compte en centaines ; la fréquence de leurs interactions avec moi est le plus souvent de l’ordre du mois ou de l’année.

Le profil de protection des données personnelles auquel on aboutit est donc extrêmement complexe, puisqu’il s’est constitué progressivement, au gré de décisions locales et peu articulées ; le risque n’est pas mince qu’il soit également en partie oublié. Rien ne vient donc garantir que ce profil de protection est cohérent, c’est-à-dire que la même donnée personnelle est protégée de la même manière vis-à-vis de deux acteurs équivalents. Ainsi, au gré de ma navigation, j’ai pu indiquer ma date d’anniversaire à un fleuriste en ligne, tout en la refusant à un autre ; j’ai pu m’inscrire sous mon vrai nom à un service de courrier électronique gratuit, et choisir un pseudonyme pour un autre…

On peut faire un parallèle avec la protection d’un réseau informatique par contrôle d’accès ou par pare-feu : si les règles s’accumulent et sont de plus en plus fines, détaillées, personnalisées, complexes, spécifiques, la sécurité finit par s’en ressentir car il est rapidement impossible de reproduire en temps réels, au sein de l’ensemble des règles, tous les mouvements (de fonctions et de personnel) au sein de l’entité réelle. L’incohérence détruit la sécurité, tout en donnant le sentiment de la sécurité.

Rapidement, je n’ai plus aucune garantie sur la réalité de la protection que je me suis efforcé de maintenir, ce qui a deux conséquences. D’une part, les « fuites » dans cette protection attaquent effectivement ma vie privée ; d’autre part, réalisant cet état de fait, je suis conduit à réduire au maximum, de manière excessive ou même paranoïaque, mes échanges de données avec les acteurs de l’internet.

C’est typiquement ce qui se passe quand je refuse de donner en ligne mon numéro de carte bleue : je le donne, dans des conditions infiniment moins fiables, plusieurs fois par jour à divers commerçants, mais l’absence de moyen simple et informatique de rapprocher les achats effectués sur Internet de mon relevé de compte bancaire (tel que me le présente ma banque) m’inquiète. Non qu’un tel rapprochement soit impossible : il suffirait que ma banque me prévienne à chaque achat (et mon une fois par mois) par courrier électronique (et non par lettre) pour que je puisse facilement contrôler l’exactitude de l’achat.

Ce problème n’a pas échappé aux instances qui s’efforcent de faire progresser l’internet. Le World Wide Web Consortium (W3C) a entrepris de développer, depuis plusieurs années, un protocole standardisé destiné à faciliter la gestion des données personnelles : la Platform for Privacy Preferences (P3P).

L’objectif de P3P est de donner à chaque individu les moyens de contrôler, en amont de toute interaction, ce qu’il est disposé à dévoiler ou non. En offrant un langage unifié de description des règles de diffusion des données personnelles, P3P doit permettre à chacun d’améliorer la compréhension – et de ce fait le contrôle – qu’il exerce sur la diffusion de ses données personnelles. Dans le cadre de l’administration électronique, il faut souligner que, si P3P vise à donner à chaque individu la maîtrise de ses choix en matière de données personnelles, elle n’en est pas moins compatible avec l’obligation de dévoiler certaines données aux administrations.

Les premiers produits utilisant P3P sont aujourd’hui disponibles, et les dernières versions des principaux navigateurs (Microsoft Internet Explorer 6, Mozilla 1, etc.) offrent un support de P3P – c’est-à-dire qu’ils sont capables de reconnaître des informations au format P3P et d’effectuer des actions en fonction du profil souhaité par l’individu.

On aurait cependant tort de ne voir dans P3P qu’un outil au service des individus dans la défense de leurs données personnelles. P3P substitue à la solution binaire habituelle – ou vous vous dévoilez totalement ou vous n’avez pas accès au service de l’acteur qui vous demande ces données – un panel d’actions en partie automatisées, sur la foi de la politique P3P de chaque site ; il permet également de pré-remplir automatiquement les formulaires de demandes de données personnelles, par exemple – il ne reste plus qu’à cliquer.

P3P à lui tout seul ne suffira donc pas à améliorer la protection des données personnelles, même s’il est une pièce intéressante. Il est en réalité possible, et même probable, que la diffusion de P3P aura non seulement pour conséquence de rendre plus cohérente la gestion par chaque individu de ses données personnelles, mais aussi d’abaisser le niveau moyen de cette protection. Car de fait si l’internaute a le choix, dans la majorité des cas il retiendra le niveau de privacy choisi par l’entreprise et seule une minorité experte d’utilisateurs sensibles aura la capacité de changer les règles. Marc Rotenberg qui fait une telle critique de P3P en conclut que « the code is flawed. It fails to provide protection comparable to that which is provided in law. It shifts privacy burdens in a manner disadvantageous for citizens. It is potentially misleading to users and it could provide a way for institutions to get out from under their obligations to comply with legal code. »[22]

Il est cependant possible de construire, sur la base de P3P, des outils logiciels qui amélioreraient cette fois-ci directement la protection des données personnelles en offrant à chacun un « tableau de bord » des fichiers dans lesquels il figure et à quel titre. Si la création d’un tel tableau de bord est difficile à imaginer d’emblée pour le secteur privé, la sphère publique pourrait tout à fait le mettre en place dans un premier temps pour son seul compte.

De quoi s’agirait-il ?

L’impossibilité de connaître, à un moment donné, l’ensemble des fichiers nominatifs dans lesquels on figure et le type de données recueilli par chacun (et moins encore les données elles-mêmes, même si ces dernières sont soumises à la loi qui impose l’information et la vérification) est au cœur du renoncement des individus à une gestion active et cohérente de leurs profils de données. La CNIL est pourtant censée conserver un « fichier des fichiers », qui doit regrouper l’ensemble des informations sur les fichiers nominatifs créés. La CNIL a d’ailleurs mis en place une téléprocédure de déclaration de ces fichiers. En revanche, ce « fichier des fichiers » n’est pas accessible en ligne. Sa mise à disposition du public sur Internet serait pourtant un premier pas vers la définition d’un label de qualité et de confiance envers les entités qui recueillent des données sur les citoyens.

Outre les informations de base sur chaque fichier, la version en ligne du « fichier des fichiers » pourrait pointer, pour chaque fichier, vers la politique de protection des données (au sens P3P du terme) qui le décrit sur le site de l’organisation qui le maîtrise. Des outils permettant, de manière anonyme, de rechercher les fichiers dans lesquels on a une chance de figurer, pourraient également être fournis aux internautes.

Au-delà, il serait également envisageable de tester à partir du profil P3P de l’internaute, pour chaque fichier répertorié, s’il figure ou non dans le fichier et, éventuellement, quelles sont les données qui figurent sur lui dans le fichier. Une simple confrontation avec le profil P3P de l’individu qui consulte le fichier permettrait alors de mesurer l’adéquation entre les données effectivement recueillies et ce qu’aurait donné l’application de son profil. Cela nécessite évidemment que le fichier de données personnelles soit accessible de manière sécurisée à partir d’Internet, sur le site de l’organisation, ce qui est de plus en plus souvent le cas, dans le cadre du droit d’information et de rectification.

Les pièces logicielles permettant cette fonctionnalité sont essentiellement les outils P3P adéquats, qui existent à ce jour. Cependant, la politique P3P reste aujourd’hui un document déclaratif, qui n’est pas généré automatiquement par la base de données conservant les données personnelles du site. C’est là où la protection au niveau des composants pourrait prendre le relais de la protection au niveau de l’architecture. Il s’agirait de rendre la génération de la politique P3P automatique. Pour cela, il suffirait que la base de données du site considéré autorise les interrogations (dans la syntaxe P3P) de son moteur sur les données qui figurent dans la base (sans accéder pour autant à la donnée elle-même). Il est tout à fait possible de faire en sorte qu’un logiciel de base de données adapté au web propose, en standard, une telle requête sur l’ensemble de ses tables.

Ce serait alors le fonctionnement de la base de données lui-même, sans intermédiaire humain, qui garantirait l’accès de chacun à l’information concernant les données personnelles gérées dans la base. Il serait ainsi possible de créer un système complet donnant à chaque individu les moyens de contrôler et de rendre cohérente sa politique de protection de ses données personnelles.

Exemple 2 : se protéger contre la fouille – Un logiciel pour contrôler la diffusion des données entre tiers

 Tournons-nous à présent vers l’autre problème que nous avons souligné : la « transitivité » des échanges sur Internet, qui fait que, une fois que l’on a confié des données personnelles à un premier interlocuteur, on n’a plus de garanties techniques sur ce que cet interlocuteur fait de ces données – et notamment, sur la rediffusion qu’il en fait.

Pour contrôler la diffusion des données entre entités tierces, il s’agit de faire en sorte de maintenir un lien entre la personne concernée et les données qui la décrivent, alors même que la donnée a quitté cette personne. Comme le dit Lawrence Lessig, « any search must be disclosed – individuals must be given notice that their space has been searched. »

On peut imaginer des solutions architecturales ou logicielles. Au niveau de l’architecture, il s’agit de substituer à la libre circulation des données l’obligation de « repasser par la case départ », ou plutôt par l’ordinateur de l’individu concerné par les données en questions. Cette architecture « en étoile » semble cependant nier la circulation sans point central qui est le moteur de l’internet. C’est pourquoi une solution au niveau des composants peut être mieux adaptée.

On peut ici s’inspirer de solutions qui existent déjà dans le domaine du courrier électronique. Les outils de cryptographie asymétrique appliquée au courrier électronique, fondés sur la RFC2440 de l’IETF, permettent ainsi de rendre un courrier électronique lisible exclusivement par la personne à laquelle on l’adresse, en le cryptant avec sa clef publique. On peut aller plus loin, grâce à des outils comme Mailx3 (ex-Quantamail) ou lettrerecommandee.fr, par exemple, qui permettent de rendre illisible un courrier électronique après qu’il a été lu (une fois) par son récepteur, par exemple. Il ne s’agit plus ici de repasser par l’ordinateur de l’individu ayant envoyé le courrier, mais d’utiliser l’infrastructure technique d’un intermédiaire, qui offre des garanties de disponibilité et de sécurité. Les annonces faites par Martin Vial, Président du groupe La Poste, à Hourtin en août 2002 sur la disponibilité progressive d’un service de lettre recommandée entièrement virtualisé vont dans le même sens[23].

En quittant le domaine du courrier électronique, on peut imaginer des mécanismes analogues au sein d’une base de données. Il s’agirait, pour aller vite, de conserver la donnée sous forme cryptée et de faire en sorte que l’usage de la clef de décryptage ne puisse se faire sans que la personne concernée par les données ne soit prévenue (et éventuellement que l’on ait vérifié son consentement). On pourrait ainsi imaginer un moteur de base de données conservant les données sous une forme entièrement cryptée (c’est le cas par exemple pour le code secret au sein d’une carte de crédit) et devant, pour décoder le résultat de chaque requête, s’adresser à un serveur de clefs extérieur (éventuellement contrôlé par une autre entité) alertant selon des règles spécifiques la personne concernée par ces données de la requête et recueillant éventuellement son consentement (ou celui d’un automate P3P qu’elle contrôle) avant de délivrer la clef. Ces échanges seraient évidemment également cryptés en flux (SSL).

A nouveau, on constate qu’il est possible de mettre en place les logiciels nécessaires pour garantir au niveau des composants la protection des données personnelles. Dans les deux cas que nous avons rapidement analysés, cette protection repose sur une modification des outils utilisés au cœur des systèmes d’information, notamment le fonctionnement des moteurs de base de données, pour leur adjoindre des limitations intrinsèques interdisant leur utilisation à l’encontre de la protection des données personnelles. L’annonce faite par Microsoft en juillet 2002 du projet Palladium, qui associe le leader du logiciel et les deux principaux fabricants de processeurs pour PC, Intel et AMD, va encore plus loin dans cette même direction, même si elle reste à ce stade relativement floue. Selon John Manferdelli, General Manager de la Microsoft « Palladium » Business Unit, « Palladium will allow users to determine the personal information they reveal online because it allows the user to operate in different « realms » within their PC. Like a set of vaults, realms provide users the assurance that they can securely keep private and public information separate. Each realm will have its own distinct identifiers, policies, and categories of data. This will allow users to provide the credentials necessary to make online transactions while preventing identity theft and unauthorized access to personal data — such as credit-card numbers — from the user’s PC or other device. (…) Palladium is a new hardware and software architecture. This architecture will include a new security computing chip and design changes to a computer’s central processing unit (CPU), chipsets, and peripheral devices, such as keyboards and printers. It also will enable applications and components of these applications to run in a protected memory space that is highly resistant to tampering and interference »[24]. Il s’agirait donc ici d’assurer la sécurité et la protection des données par un ensemble de fonctionnalités au niveau matériel (microprocesseur spécifique) et du système d’exploitation.

Conséquences sur les logiciels utilisés

Mettre en place de manière crédible ces limitations n’est pas sans conséquences sur les logiciels utilisés, d’une part, et sur les régulations sociales à mettre en place.

En effet, pour que la protection effectivement obtenue au niveau des programmes soit à la hauteur des engagements, il est impératif que les utilisateurs aient toute certitude sur le bon fonctionnement des programmes utilisés (notamment qu’il ne s’agisse pas de versions détournées). Le fait que ces programmes soient réalisés à l’extérieur de l’entité contrôlant les données est une première garantie, qui peut être renforcée si le programme est open source, permettant une vérification de son bon fonctionnement, et si l’exécutable est signé et peut faire l’objet d’un contrôle d’intégrité sur le serveur opérationnel de l’entité. L’ouverture des logiciels est également une garantie face aux projets des services de police de lire la correspondance privée ( cf. le débat sur la « clipper chip » évoqué plus haut).

Un niveau supérieur de garantie impliquerait que les outils permettant la mise à disposition contrôlée des données d’un individu soient directement sous son contrôle. Il s’agirait de faire en sorte que les données personnelles ne soient plus conservées par les interlocuteurs d’un individu, et donc dupliquées ad infinitum, mais que celui-ci puisse attribuer des droits (le plus souvent révocables) à accéder de manière ponctuelle à des données personnelles stockées sur son ordinateur ou celui d’un intermédiaire, sans autorisation de les stocker. Cette idée rejoint la proposition de « coffre-fort électronique » défendue en son temps par l’ancien ministre français chargé de la réforme de l’Etat, Michel Sapin[25].

Sous ces réserves techniques, il apparaît donc possible d’utiliser le code informatique pour faire appliquer les principes juridiques de protection de la vie privée. On retrouverait ainsi, l’intuition qui est à la base du livre de Lessig. Mais plutôt que « code is law », il semblerait que le code informatique soit homologue au règlement. Ce ne serait donc pas le travail du législateur qui serait remplacé par celui de l’informaticien, mais celui de l’administration : la mise en place des orientations décidées par le législateur passerait plus aujourd’hui et demain par la création de systèmes d’information, plus que par la création de procédures administratives (circulaires, arrêtés, etc.). La situation actuelle, qui superpose la « couche juridique » à la « couche technique », n’est pas satisfaisante puisqu’elle implique la désynchronisation fréquente entre les deux « couches » : les difficultés récurrentes dès qu’il s’agit de modifier, en France, la législation fiscale semblent témoigner de la prédominance déjà acquise par le nouveau code sur l’ancien.

Un transfert complet de l’activité réglementaire vers le « code » supposerait néanmoins résolus trois types de problèmes sociaux ou sociétaux.

Tout d’abord, il appartiendrait à l’Etat ou à l’autorité indépendante de vérifier que les logiciels ont bien incorporé les principes du droit. Ceci nécessite, non seulement que l’Etat possède ou puisse disposer de ce type de compétences, mais également que les producteurs de logiciels en fournissent le code source. L’utilisation de logiciels libres, dont le code est librement accessible par tous, contourne en partie cette difficulté.

En deuxième lieu, cette incorporation du règlement dans le logiciel risque d’accentuer la coupure entre les experts informaticiens qui auront la compétence technique pour comprendre les règles de privacy et les autres citoyens. Un effort important d’explicitation du mode opératoire de ces logiciels sera donc essentiel.

Plus fondamentalement, il s’agirait d’une modification essentielle des rapports entre la loi et le citoyen, puisque ces logiciels seraient à la fois une sorte de texte réglementaire sous forme informatique et un instrument de mise en application de la loi. Le citoyen n’aurait plus à appliquer la loi, mais le logiciel le ferait à sa place. Cette automatisation de l’application de la loi ne risque-t-elle pas de retirer au citoyen son libre-arbitre ? Il faudrait à tout le moins la compléter par la mise à disposition de documents et d’outils pédagogiques suffisants.

Malgré ces difficultés, l’incorporation des règles de la protection des données personnelles au sein des « composants » logiciels permettrait de mieux prendre en compte la demande des utilisateurs des systèmes d’information de mieux garantir le respect de la vie privée. Elle est appelée à se développer, au moins en complément à la protection « juridique », dans les années à venir.

Conclusion : un parallèle inattendu avec la propriété intellectuelle

Il n’en reste pas moins que la complexité technique des outils à mettre en œuvre reste considérable. Un parallèle inattendu apparaît alors avec la protection de la propriété intellectuelle.

L’objectif des propriétaires de contenus dans la diffusion numérique des œuvres soumises à leur propriété intellectuelle sont des contenus parfaitement volatils (au sens des gaz ou de la mémoire informatique, qui s’efface dès que l’on coupe le circuit) circulant dans des tuyaux parfaitement étanches. Au paradis des défenseurs de la propriété intellectuelle, une œuvre ne doit pouvoir, après achat de ce droit, être vue, lue, écoutée ou utilisée qu’une fois, puis se détruire immédiatement après (volatilité) ; elle ne doit pouvoir être transférée à personne et ne pas pouvoir être interceptée pendant son transport (étanchéité). C’est tout l’enjeu des outils de protection technique de la propriété intellectuelle, dont le format d’encodage des DVD ou les formats musicaux incluant des watermarks (LiquidAudio, par exemple) sont les tentatives les plus récentes.

Un parallèle inattendu se dessine avec la protection des données personnelles, qui nécessiterait des données parfaitement volatiles circulant dans des tuyaux parfaitement étanches. Au paradis des défenseurs de la vie privée, une donnée ne doit pouvoir être vue, lue, écoutée ou utilisée qu’une fois et se détruire immédiatement (volatilité) après ; elle ne doit pouvoir être transférée à personne et ne pas pouvoir être interceptée pendant son transport (étanchéité).

Bien entendu, les considérations menant à ces positions sont totalement différentes dans le cas de la propriété intellectuelle et dans celle des données personnelles. On n’a donc pas à accepter la protection technique de la propriété intellectuelle pour souhaiter la protection technique des données personnelles. De même, cette proximité technique n’entraîne en aucun cas de proximité juridique. Aller chercher des solutions techniques dans le domaine de la propriété intellectuelle ne veut pas dire pour autant que l’on propose de concéder aux individus un droit de propriété sur leurs données personnelles. Mais il y a là matière à optimisme : les technologies émergentes pour la protection de la propriété intellectuelle pourront être réutilisées directement dans la protection des données personnelles.

Godefroy Beauvallet, ENST Paris, Patrice Flichy, Université de Paris Marne la Vallée,  et Maurice Ronai, EHESS

Notes

[1] « Sun on Privacy: ‘Get Over It’ », Polly Sprenger, Wired News, 26 janvier 1999.

[2] Cette idée fait partie des questions soumises au débat public dans le livre blanc Administration électronique et protection des données personnelles coordonné par Pierre Truche, Jean-Paul Faugère et Patrice Flichy, avec Maurice Ronai comme rapporteur (Documentation Française, 2002). Nous proposons de développer plus en détail ici cette idée.

[3] Dernier en date, Jean-Paul Delevoye, ministre de la fonction publique, de la réforme de l’Etat et de l’aménagement du territoire, déclarait le 30 août 2002 à l’université d’été de la communication d’Hourtin : « Je suis personnellement convaincu de l’apport des nouvelles technologies qui vont considérablement modifier notre environnement quotidien, et contribuer à améliorer de manière significative les relations entre les citoyens et l’Etat ».

[4] Cette idée a notamment été développé par Jacques Attali « Devoir d’Etat », L’Express, 22 novembre 2001 (http://www.lexpress.fr/Express/Info/France/Dossier/attali/dossier.asp?ida=296548).

[5] Cité par Andrew Shapiro « Privacy for Sale : Pedling data on the Internet » The Nation, 23 juin 1997

[6] voir Steven Levy Crypto : how the code rebels beat the government, saving privacy in the digital age, New York, Viking, 2001.

[7] Guy Braibant, Données personnelles et société de l’information, Rapport au Premier Ministre, Paris, Documentation française, 1998.

[8] Herbert Maisl, « De l’administration cloisonnée à l’administration en réseau : fin de la vie privée et/ou satisfaction de l’usager ? », Colloque L’administration électronique au service des citoyens, Paris, 21-22 janvier 2002.

[9] Joël Reidenberg « Protection de la vie privée et l’interdépendance du droit, de la technologie et de l’autorégulation », 23ème conférence internationale des commissaires à la protection des données personnelles, Paris, 24-25 septembre 2001.

[10] Paul Sholtz « Transaction costs and the Social Costs of Online Pricacy », First Monday, vol.6, n°5, mai 2001.

[11] Arnaud Belleil, La marchandisation des donnees personnelles

http://www.cecurity.com/site/html/article_marchandisation_dp.php

[12] Idem

[13] Marc Rotenberg, « Fair information practices and the architecture of privacy (What Larry doesn’t get) », Stanford Law Review, 2001. Ce débat est également présenté dans le livre La géopolitique d’Internet, Solveig Godeluck, Paris, La Découverte, 2002, pp. 137-143.

[14] Pierre Catala, « Ebauche d’une théorie juridique de l’information » in Le droit à l’épreuve du numérique, Paris, PUF, 1998.

[15] J. M. Brugière, La diffusion de l’information publique : le service public face au marché de l’information, thèse de doctorat, université de Montpellier I, juin 1998.

[16] Margaret-Jane Radin, Reinterpreting Property, Chicago University Press, 1996 et Andrew Shapiro op. cit.

[17] Sur ces débats et notamment la controverse entre Lessig et David Post, voir P. Flichy L’imaginaire d’Internet, Paris, la Découverte, pp. 201-205.

[18] ePrivacy, Arnaud Belleil, Dunod, Paris, 2001.

[19] World Wide Web Consortium, le principal organisme de standardisation de l’Internet

[20] Code and Other Laws of Cyberspace, Lawrence Lessig, Basic Books, New York, 1999.

[21] Constable admits using police database for personal reasons, Australian Brodcasting Corporation,  2 mars 2000 (http://www.abc.net.au/am/s105272.htm).

[22] M. Rotenberg op. cit.

[23] Le Groupe La Poste lance la lettre recommandée électronique, communiqué de presse du 29 août 2002 (http://www.laposte.fr/decouvre/presse/communique.php?id=462).

[24] http://www.microsoft.com/presspass/features/2002/jul02/07-01palladium.asp.

[25] Michel Sapin, Discours à l’université d’été de la communication d’Hourtin, 21 août 2001, (http://www.vie-publique.fr).

Une réflexion au sujet de « Incorporer la protection de la vie privée dans les systèmes d’information, une alternative à la régulation par la loi ou par le marché »

  1. Ping : Dans la division internationale du travail, la France ne peut pas se spécialiser dans les « technologies de souveraineté | Travaux publics

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s