Nos traces numériques et leur législation

Suite aux mises à jour de la politique de confidentialité de Google, nous avons décidé d’orienté cet article sur les éléments de notre identité numérique que nous diffusons volontairement ou pas. Dans cet article, nous préciserons les différentes traces numériques que nous pouvons rendre disponibles à autrui, en essayant d’éclaircir les aspects juridiques propres à chacune d’elle.

Comme nous l’avons évoqué dans nos articles précédents, les internautes laissent – volontairement ou involontairement – de plus en plus de traces sur la Toile. Parmi celles-ci, on trouve :

  • L’adresse IP 

Typiquement un ordinateur portable se connectant depuis différents points d’accès se verra attribué des adresses IP différentes.Il s’agit d’une adresse internet qui permet d’identifier de manière unique votre ordinateur sur le réseau. Cette adresse IP peut être attribuée de différentes manières selon l’abonnement Internet. Pour un particulier, l’ordinateur se verra le plus souvent attribuer par le fournisseur d’accès une adresse différente à chaque connexion. On parle d’adresse IP dynamique. Pour  une entreprise ou un organisme plus important (université), des adresses IP fixes sont attribuées.

Votre Fournisseur d’accès internet est tenu de conserver pour une durée d’un an l’adresse IP qui vous a été attribuée à chaque instant.

  • Nom d’hôte (hostname) qui lui-même révèle le nom de votre fournisseur d’accès

  • Les « cookies »

Ce sont des outils “espions” qui s’installent sur le disque dur de l’utilisateur, à l’occasion de la consultation de certains sites Web. Ils permettent d’enregistrer la trace des passages de l’utilisateur sur un site Internet ou un forum et, ainsi, de stocker sur le poste de l’internaute des informations sur ses habitudes de navigation.

Le serveur qui a mis en place la collecte de ces informations peut récupérer les données et les réutiliser lors de la prochaine visite du site par l’internaute. Ainsi, ils peuvent par exemple faciliter la navigation en évitant d’entrer de nouveau ses identifiants de connexion ou en stockant les éléments d’un panier d’achats, mesurer l’audience en comptabilisant le nombre de visites sur le site ou encore faire de la publicité comportementale. Certaines de ces finalités peuvent être particulièrement intrusives dans la vie privée des internautes et sont, à ce titre, souvent dénoncées.

L’article 2.5. de la directive “Service universel et droit des utilisateurs” (2009/136/CE) dispose que les Etats membres de l’Union européenne ont l’obligation de garantir que le stockage de cookies, ou l’obtention de l’accès à des cookies déjà stockés dans l’ordinateur d’un internaute, ne soit permis qu’à condition que cet internaute ait reçu préalablement une information claire et complète sur les conditions de ce stockage et de cet accès, et qu’il y ait consenti (principe d’opt-in).
Seuls les cookies utilisés par les régies publicitaires pour tracer les internautes sont concernés par ces obligations.

  • Les recherches effectuées sur les moteurs de recherche.

Les moteurs de recherche sont un passage quasi obligé dans notre utilisation d’Internet. Ils collectent et traitent un grand nombre de données de connexion : intitulé de la recherche, date et l’heure de la requête, adresse IP, type et langue du navigateur utilisé… Ce sont des données potentiellement sensibles puisque associer des adresses IP à l’historique des recherches effectuées par un internaute est susceptible de révéler des informations portant sur sa santé ou ses opinions politiques. C’est pourquoi, le G29 – le groupe des CNIL  européennes – a recommandé dans son avis du 4 avril 2008 aux moteurs de recherches de réduire la durée de conservation des données personnelles à 6 mois maximum.
En France, l’article 6-5° de la loi Informatique et Libertés modifiée dispose que « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Si le Code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende, la loi reste néanmoins imprécise sur les critères permettant d’apprécier qu’une durée de conservation est proportionnée. En conséquence, le pouvoir de sanction de la CNILreste limité.
Il en résulte que les moteurs de recherche demeurent libres de fixer la durée de conservation des données personnelles, dès lors que cette durée est justifiée au regard des finalités pour lesquelles les données ont été collectées et traitées.

  • Géolocalisation

Les points d’accès WiFi, qui se trouvent dans la plupart des “box Internet”, émettent en permanence des signaux permettant à des ordinateurs ou à des téléphones mobiles de les reconnaître et de s’y connecter. Ces signaux contiennent notamment un numéro d’identification unique propre à chaque point d’accès (appelé “BSSID”)Ce numéro est, utilisé par les smartphones pour géolocaliser une personne.
Lorsqu’une personne lance une application de géolocalisation sur son smartphone, celui-ci peut lister les points d’accès WiFi à sa portée et interroger une base de données qui permet d’associer un point d’accès WiFi à une position géographique. Le smartphone va donc être capable de géolocaliser précisément le propriétaire du smartphone.
Plusieurs sociétés telles que Google, Skyhook Wireless, Microsoft et Apple ont donc constitué des bases cartographiques recensant ces points d’accès WiFi pour fournir leurs services de géolocalisation.
Conformément aux demandes de la CNIL, Google a mis en place une procédure d’opposition pour permettre à ceux qui le souhaitent de supprimer leurs points d’accès de la base de géolocalisation de Google.
La solution consiste à ajouter au nom du point d’accès le suffixe “_nomap”. Par exemple, si le nom de mon point d’accès est “mon_wifi”, il faudra le renommer en “mon_wifi_nomap” pour qu’il ne soit plus utilisé par les services de géolocalisation de Google.
Cette solution est réversible : si le propriétaire du point d’accès supprime le suffixe “_nomap”, lors du passage d’un appareil Androïd à proximité du point d’accès, celui-ci sera de nouveau inscrit dans la base de géolocalisation.

  • Les journaux de connexion

Quand vous naviguez sur un site, chaque clic sur un lien correspond à un ordre adressé au serveur du site. Ces requêtes sont transmises et conservées dans un journal de connexion appelé aussi “fichier de log”.

Les serveurs internet conservent un historique des pages auxquelles chaque adresse IP a accédé.
Les fournisseurs d’accès à internet (FAI) conservent quant à eux un historique des sites auxquels chaque adresse IP sous leur responsabilité a accédé. Par obligation légale, ils les conservent pendant une durée d’un an.

  • Les données bancaires (via les sites marchands)

Avec le développement du commerce en ligne, les internautes doivent communiquer des informations concernant leur carte bancaire (numéro de la carte, cryptogramme, etc).
D’un point de vue juridique, les données bancaires doivent être supprimées une fois la transaction effectuée. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse des numéros de cartes bancaires.
Néanmoins, les sites marchands peuvent conserver ces données à condition qu’ils aient recueilli votre accord exprès et qu’ils vous informent de l’objectif poursuivi. Cet accord nécessite une démarche active de votre part (principe d’opt-in).
La conservation du numéro de carte bancaire ne doit pas constituer une condition d’utilisation du service. Le fait pour un client de refuser qu’un site marchand conserve ses coordonnées bancaires ne doit pas l’empêcher d’accéder aux services proposés par le site
La CNIL exige que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit “fort”. Cela signifie que les données bancaires sont rendues incompréhensibles sauf pour l’éditeur du site internet. L’accès au fichier contenant ces données doit également être restreint au sein du personnel du site internet. Les accès et les liaisons au site marchand doivent être également sécurisés. Cela signifie que l’adresse des pages des formulaires de paiement doit être en https par exemple, ce que vous pouvez vérifier en regardant l’adresse du site.

 

  • Vers un droit à l’oubli ?


Deux sénateurs, Yves Détraigne et Anne-Marie Escoffier ont déposé le 10 novembre une proposition de loi qui, pour la première fois, énonce le « droit à l’oubli numérique », c’est-à-dire la possibilité pour chaque internaute de faire disparaître de la Toile, facilement et à tout moment, des informations le concernant. « Un principe essentiel » pour Alex Türk, le président de la Commission informatique et libertés (Cnil), qui rappelle néanmoins les limites d’une législation nationale : « Les grandes sociétés du Net étant américaines, les règles du jeu ne marcheront que lorsqu’elles seront adoptées à l’échelle de la planète. » « Attention au risque de censure», alerte de son côté Peter Fleischer, responsable de la protection des données pour Google Europe.

  • Le problème de l’harmonisation des textes de loi ….

En effet, la mondialisation a provoqué un développement sans précédent des échanges de données à l’intérieur de l’Europe et hors de l’Union. Les réglementations concernant le traitement des données personnelles sont très disparates hors de l’Europe et, même au sein de l’Union, les différences résiduelles ne permettent pas de traiter ces flux avec une sécurité juridique maximale.

Voici quelques pistes de réflexion sur l’évolution possible du droit des données personnelles face à cette mondialisation, notamment :

  • La nécessité d’une graduation d’application des règles, entre petites, moyennes et grandes entreprises.
  •  La possibilité de permettre au CIL (correspondant Informatique et Libertés) d’avoir un vrai pouvoir s’agissant des flux de données avec la mise en œuvre d’un régime adapté.
  •  L’établissement de règles plus claires et plus accessibles à toutes les entreprises y compris les PME et un allégement des procédures
Nous aborderons dans l’article suivant les moyens pratiques pour modifier voire supprimer notre identité numérique. En attendant voici une petite vidéo en introduction du prochain article : Supprimer son identité numérique.
Sources

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>