Les identités numériques

carnet de recherche vie privée données personnelles identité numérique dispositif identitaire sciences de l'information et de la communication facebook google réseaux socionumériques

C’est lundi, c’est privacy

En trois mois, il s’en est passé des choses dans le vaste monde de l’identité numérique. Sur bien des sujets, tout a déjà été dit : réforme de la directive européenne, introduction des nouvelles règles confidentialités chez Google, entrée en bourse de Facebook sont les trois gros morceaux. Intéressons-nous aux dossiers récurrents et aux signaux faibles.

NSTIC

  • Alors que les finalistes de l’appel à projet crédité de $10 millions ont été sélectionnés, l’avenir même du NSTIC est remis en cause pour des questions de politique budgétaire : la Maison blanche avait prévu d’allouer au NSTIC un budget de $24.5 millions pour l’année 2013 (sur le milliard accordé aux agences scientifiques), mais les Républicains préfèrent jouer l’économie et la réduction de la dette. Obama menace d’user de son droit de veto pour faire passer l’enveloppe. Simple magouille partisane, les Réps ayant trouvé un poil à gratter, ou bien croyance que le NSTIC sera un gouffre financier (ce qui ne devrait pas être lze cas vu la délégation au secteur privé) ?
  • Le NIST, l’organisation qui chapeaute le NSTIC, n’a pas le droit d’en communiquer la liste, mais les lauréats peuvent se déclarer publiquement : certains l’ont fait. Deux étudiants avec un projet de Privacy Labels ; TSCP, un consortium de l’aérospatiale (Boeing, US DoD, UK Ministry of Defense) avec une fédération de certificats (credentials and relying parties).

Élections présidentielles et politique intérieure

  • Avant de partir, un dernier petit cadeau de N. Sarkozy et C. Guéant, le rapprochement tant attendu entre le STIC (Système de Traitement des Infractions Constatées, Police Nationale) et le JUDEX (système JUdiciaire de Documentation et d’Exploitation). On a longtemps cru que l’ensemble serait regroupé sous le nom d’ARIANE (Système d’application de rapprochement, d’identification et d’analyse pour les enquêteurs), mais il doit y avoir place Beauveau quelqu’un qui a compris qu’un acronyme était plus dangereux qu’un sigle (cf. comparaison entre le battage médiatique autour d’EDVIGE et le silence à propos d’EASP et PASP). Du coup, le nouveau né s’appelle TPJ : Traitement de Procédures Judiciaires (Décret n°2012-652 du 4 mai 2012). Et il est plutôt bien fourni : reconnaissance faciale, rapprochement des modes opératoires (identification des utilisateurs ?). Des fonctionnalités qui semblent emporter une relative adhésion côté CNIL (Délibération n°2011-204 du 7 juillet 2011 publiée le 06/5/2012). Même si on se réjouit que les « graves dysfonctionnements »de STIC et JUDEX aient été pris en compte, on s’inquiète par contre que la biométrie faciale ou les caractères ethniques, religieux, etc. puissent être issus de traitement automatisé ou conduire à des statistiques : la CNIL attend donc le rapport annuel de fonctionnement et les éventuelles améliorations techniques qui pourraient venir compléter le dispositif (plus d’info : pc-inpact).
  • [MàJ] : le TPJ était déjà annoncé dans le rapport Batho-Bénisti 2011 (Traitement des Antécédents Judiciaires)
  • François Hollande va donc devoir entériner ce décret (ce qu’il fera très certainement), et statuer sur de nombreux dossiers liés à l’économie numérique (HADOPI, ACTA), à la protection des consommateurs et des citoyens (dont la carte nationale d’identité électronique), et à la régulation au niveau européen (mise à jour de la directive). Quelle place accordera-t-il à la CNIL ? Quelle tendance va-t-il suivre en termes de vidéosurveillance (reviendra-t-il sur le terme vidéoprotection), de fichage, de biométrie ?
  • [MàJ]. Dans un entretien avec la magazine Stratégies, Aurélie Filippetti (députée PS et chef du pôle culture, audiovisuel et médias de son équipe de campagne) estime que le Paquet Telecom est largement suffisant, mais que la CNIL n’a pas les moyens d’en vérifier l’application systématique. Un dirigeant de l’Union des Annonceurs estime à peu près la même chose, précisant qu’il ne faut pas non plus avoir une vision « large » des données personnelles, et que beaucoup de celles qui circulent sont sans danger (N°1678, 10/05/2012, dossier p.12 et suivantes).

Mise à jour de la directive 95/46

  • Saison des réformes et nouvelles lois : Convention 108 (datant de 1981, ayant inspiré la directive de 1995) ; Communication Data Bill au Royaume-Uni (c’est la Reine elle-même qui l’explique ici)
  • Des inquiétudes côté US (où la doctrine sur le cadre privatif est fort différente) : lire l’interview de J. Konhstamm (début/fin), chairman du Groupe de travail de l’article 29. On s’inquiète, donc, outre-atlantique (mais aussi en Inde), des répercussions sur l’activité de l’économie numérique : pénalisation du non respect du droit à l’oubli, lourdeur des mécanismes de consentement. Mais c’est surtout, à mon avis, la prise de conscience qu’il va falloir intégrer dans le microcosme de la Silicon Valley un nouvel acteur (simple interlocuteur, grain de sable ou partenaire ?). Revers de la mondialisation ?
  • A l’inverse, les Commissaires européens à la protection des données se réjouissent du tournant pris par cette réforme (qui leur accorde de nombreux pouvoirs), même s’ils soulignent des besoins de clarification, de coordination avec les différents partenaires (secteur privé, police, justice) et une possible dérive des exceptions nationales.

The Cookie Guidance

  • Dans le cadre du Paquet Telecom, les États membres doivent imposer aux éditeurs de sites web accessibles au sein de l’Union européenne la mise en place d’un mécanisme de consentement explicite des internautes préalable au dépôt d’un cookie sur leur machine (opt-in). La CNIL explique cela sur une page dédiée. l’Espagne et l’Angleterre s’y mettent aussi. Normalement, tout doit être prêt pour le 26 mai !
  • Une nouvelle tâche dans la longue liste du webdesigner (voir ce que proposent, et ce que disent, les Anglais).

Facebook

Google

  • Une amende de $10 million se profile à l’horizon pour Google, accusé d’avoir outrepassé les réglages internes du navigateur Apple Safari et réussi à placer ses cookies. Pendant ce temps, la CNIL se penche à nouveau sur Google Street View : la capture de données personnelles par la Google Car ne serait pas imputable à un ingénieur isolé (mais cela aurait été su et approuvé par la hiérarchie, brrr… on se croirait dans la Firme)

Autre agenda

  • La CNIL s’intéresse aux puces NFC
  • MySpace passe à la moulinette de la FTC et signe le même accord que Facebook, Google et Twitter : 20 ans d’audit.
  • Ça bouge aussi en Australie (protection du consommateur), en Hongrie (dont les réformes ne sont pas euro-compatibles), au Mexique (où la lutte contre les cartels autorise des écoutes publiques et une meilleure géolocalisation), en Corée du Sud (qui enterre définitivement l’identification en ligne par le Resident Registration Number), en Turquie (où pour la première fois, des opérateurs de télécom ont été pénalisé pur violation de la vie privée), au Brésil (création d’une autorité de protection des données, article en portugais do bràsil)…

Du côté de Big Brother

  • Il s’appelle CISPA, c’est un projet voté par les Représentants aux USA et permettant aux agences de renseignement de capturer toutes les communications électroniques afin de préserver le pays et ses habitants contre toute forme de cyberattaque. A l’inverse du combat contre SOPA/PIPA, les grandes entreprises du web se réjouissent que la NSA leur communique des menaces informatiques avant qu’elles n’atteignent leurs réseaux (voir aussi l’article de Wired sur le nouveau data center de la NSA)
  • Entre ce projet et les contraintes posées par le cadre réglementaire européen, il se pourrait bien que les industriels décident de stocker leurs données en Europe.

Du côté de l’innovation

  • Les Canadiens (toujours très actifs sur les propositions de régulation par l’innovation : cf. le Privacy by Design) viennent de publier un document intéressant : From Policy to Practice. C’est le signe d’une volonté de passer des modèles théoriques à leur application industrielle.
  • On a eu ça récemment dans les échanges sur la liste public-privacy@w3.org, où s’est reposée la question de la fin de la vie privée (question purement heuristique, et vouée à provoquer le débat). Ça commence ainsi (billet de blog + slides de Peter Kraker) et ça se termine avec la philosophe Helen Nissenbaum.

La question n’est pas tellement de savoir ce qu’il adviendra quand il n’y aura plus de vie privée, mais de savoir quel cadre construire eu égard aux changements en cours. Cette discussion est trop longue pour être exposée ici, je lui ai consacré un billet : l’ingénierie de la vie privée.

Laisser un commentaire