La securite de l'individu numerise : Reflexions prospectives et internationales

La sécurité de l'individu numérisé Riflexions prospectives et internationales @ L'Harmattan, 2008 5-7, rue de l'Ecole...

Author: Stephanie Lacour

20 downloads 1007 Views 11MB Size Report

This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form

DOWNLOAD PDF

La sécurité de l'individu numérisé Riflexions prospectives et internationales

@ L'Harmattan, 2008 5-7, rue de l'Ecole polytechnique; 75005 Paris

http://www.librairiehannattan.com [email protected] hannattan [email protected] ISBN: 978-2-296-07612-9 EAN:9782296076129

Sous la direr:tion de

Stéphanie Lacour

La sécurité de l'individu

numérisé

Réflexions prospectives et internationales

Préface de Claude Kirchner Postface d'Isabelle de Lamberterie

Actes de colloque du programme de recherche Asphales ACI Sécurité informatique, Paris, 22 et 23 novembre 2007

L'Harmattan

Sommaire Avant-propos Stéphanie Lacour

9

Préface Claude Kirchner

13

Sécurité,

collecte

et conservation

Cas de données Sécurité de la RFID : comprendre Gildas Avoine

a Priori indifférentes la technique

Ubuquitous computing et Droit L'exemple Stéphanie Lacour Quelles limites à la « googleisation Pierre Trudel Identité numérique et anonymat: El Hassan Bezzazi Sécurité,

collecte

sans être un technicien

de la radio-identification

» des personnes? concepts

et conservation

Cas de données

des données

et mise en œuvre

17 29 47 71

des données

sensibles en elles-mêmes

Dossiers personnels ubiquitaires Philippe Pucheral et al.

et sécurisés

Les données de santé, l'exemple Caroline Zorn

du dossier médical personnel

La donnée biométrique et le document le point du vue du praticien Nicolas Delvaux

de voyage:

La donnée biométrique et le document le point de vue du juriste Claudine Guerrier

de voyage:

85 105

121

129

Sécurité

et exploitation

Appropriation

des données

des données

Litcle Brother Is Watching You - commercialisation

of personal

data

155

through 'webification' John Soren Pettersson La commercialisation des données personnelles, perspectives prospective: l'exemple des données de santé et du DMP Jean-Jacques Lavenue et Grégory Beauvais

et

171

Appropriation et eXploitation des bases de données: le droit sui generis, les mesures techniques de protection et les mesures anti-contournement peuvent-elles entraîner la monopolisation de l'information? Estelle Derclaye Base de données 2.0 : nouvelles approches d'extraction « loyale» des données Adel Jomm

d'appropriation

191

et

237

Sécurité et exploitation des données Persistance des données Réinventer l'art d'oublier et de se faire oublier dans la société de l'information? Antoinette Rouvroy Applications de la géolocalisation Gwendal Le Grand La géolocalisation des biens et des individus dans l'espace public: liberté de circulation et réseau de télécommunications Gaylord Bauden-Hamerel et César Povéda

249 279

289

299

Postface Isabelle de Lamberterie

8

Avant-propos STÉPHANIE LACOUR Chargée de recherche, CECO)I-CNRS L'individu, pourtant si valorisé dans nos sociétés modernes, est-il délaissé par la société de l'information? Comment gérer les droits et libertés de ceux, de plus en plus nombreux, qui possèdent une ou plusieurs identités dans le monde internationalisé et dématérialisé des réseaux? Plus fondamentalement encore, comment assurer leur sécurité dans des circuits informationnels qui ne se limiteront plus, demain, à des univers virtuels accessibles par le biais d'un écran mais envahiront les centres commerciaux, les rues, les domiciles mêmes des individus, tels que l'ubiquitous computing et la multiplication des caméras de surveillance l'annoncent? À ces questions, les spécialistes de la sécurité informatique, seuls, de même que les juristes, isolés, ont du mal à apporter des réponses. C'est de la rencontre fructueuse de leurs compétences que peuvent surgir, aujourd'hui, les éléments d'une bonne gestion des risques engendrés pour les individus de demain. L'interdisciplinarité est au cœur même de la problématique de la sécurité dans la société de l'information. C'est la raison pour laquelle elle fut également le noyau de la réflexion engagée en 2004, sous l'impulsion d'Isabelle de Lamberterie, par les équipes partenaires du programme de recherche Asphales. Ce programme de recherche a reçu, durant trois années, le soutien de 1'« Action concertée incitative - Sécurité et Informatique» du ministère de la Recherche. Il a rassemblé dans un même effort des équipes composées de chercheurs et d'enseignants chercheurs en droit et en informatique situées sur l'ensemble du territoire français 1. 1

Ces laboratoires de recherche sont: le CECO]I (UMR CNRS-Université de Poitiers) ; le CERDI (Université de Sceaux, Paris XI); le DANTE (Université de Versailles SaintQuentin) ; le DEFIS (INT-GET); l'ERIb (Université de Montpellier I) ; l'INRIA Rocquencourt) ; l'IREENA T (Université de Lille 2) auxquels s'est ajoutée la participation de la Direction des Archives de France.

La sécurité de l'individu numérisé

Durant trois années, les partenaires d'Asphales ont parcouru de concert les chemins parfois tortueux des textes normatifs applicables à la société de l'information, dans le but non seulement d'évaluer la pertinence de ces textes vis-à-vis des technologies informatiques existantes mais aussi de faire évoluer la science informatique par une meilleure compréhension des besoins de régulation exprimés par le droit. Ces dialogues étaient encadrés selon une méthodologie précise, inspirée du modèle canadien, de lectures croisées. Partant du principe que les textes de droit positif applicables à la société de l'information sont en permanence confrontés aux évolutions des connaissances informatiques, lesquelles doivent, en retour, tenir compte du droit applicable pour se développer dans des conditions satisfaisantes, c'est autour de ces textes - lois, décrets, mais aussi normes techniques - que se sont réunies les compétences de tous les chercheurs impliqués dans Asphales. Ces lectures croisées ont abouti à la diffusion, librement accessible sur le réseau Internet 2, d'un corpus de textes normatifs de la société de l'information commentés par les deux communautés de chercheurs. « Le droit est un des moyens de créer la confiance, la sécurité informatique est un des outils pour assurer cette confiance. Trouver un bon équilibre entre le besoin de reconnaissance de la fiabilité d'une technique de sécurisation et un encouragement à la recherche de nouveaux procédés aptes à répondre à ce besoin constitue un défi permanent. » C'est ainsi que débutait le premier ouvrage issu des recherches menées dans le cadre d'Asphales publié dans cette même maison 3. Les équipes partenaires de ce programme ont toutefois souhaité poursuivre la réflexion et la diffusion des résultats de leurs recherches au-delà des travaux relatifs à l'état de l'art juridique et technique en matière de sécurité juridique et informatique. Le colloque terminal de ce programme de recherche s'est donc donné pour mission de recentrer les efforts collectifs sur l'individu et sa sécurité dans la société de l'information, mais également d'en étendre la portée à une vision plus internationale et prospective, comme le démontrent les pages qui suivent. Construits sur les bases mêmes de notre recherche commune, ces actes sont naturellement interdisciplinaires et émanent tout à la fois de chercheurs 2

3

Ce corpus est consultable à l'adresse: http://www.asphales.net.

La sécurité alfjourd'hui dans la société de /'inf0l7l1ation, Contributions Stéphanie Lacour, L'Harmattan, 2007.

10

réunies

et coordonnées

par

Avant-propos

confIrmés et des jeunes chercheurs, doctorants du programme. Y ont également été associées, afIn de donner aux travaux réalisés la perspective internationale que ces recherches méritent, les réflexions de chercheurs canadien, américain, belge et suédois. Malgré le caractère nécessairement territorialisé de la règle de droit, en effet, et les limitations inhérentes des compétences des partenaires d'Asphales, il est parfaitement impossible de penser la société de l'information autrement qu'à une échelle beaucoup plus large que celle de la France. En outre, la juxtaposition des réflexions de chercheurs provenant d'horizons géographiques et juridiques très divers ouvre des pistes de recherches inédites, tant au point de vue méthodologique qu'épistémologique. C'est donc sur le double axiome de la prospection et de l'internationalisation de leurs travaux que les partenaires d'Asphales ont souhaité clore les trois années de leur programme et ouvrir la voie à de nouvelles réflexions pour l'avenir. Dans ce cadre, le choix a été fait de conserver une présentation juridique des problématiques en jeu, qui oppose les questions relatives à la collecte et la conservation des données concernant les individus à celles qui concernent leur eXploitation. Le contenu des thèmes traités, toutefois, illustre parfaitement la démarche poursuivie d'un bout à l'autre de la recherche Asphales, puisque chaque question abordée l'a été sous l'angle de la sécurité informatique aussi bien que de la sécurité juridique. Tout comme « La sécurité, aujourd'hui, dans la société de l'information », cet ouvrage illustre la diversité des points de vue et des échanges auxquels notre recherche a donné lieu. Il est le résultat tangible des discussions et des questionnements qui nous ont rassemblés sur la société que nous sommes en train de construire pour les générations, numérisées ou non, de demam. . .

11

Préface CLAUDE KIRCHNER Directeur délégué, INRIA Bordeaux Comme le présente si bien Michel Serre, tout système physique ou vivant peut produire, stocker, émettre, recevoir de l'information. Cette remarque simple illumine notre compréhension des évolutions majeures de l'humanité. Nous sommes passés successivement de situations où l'information était transmise oralement, puis par l'écriture manuscrite et enfIn grâce à Gutenberg, sous forme imprimée. À chacune de ces transformations correspond une évolution majeure des sociétés humaines et aujourd'hui nos civilisations sont en pleine révolution par le passage de l'imprimé au numérique. Le mot révolution n'est pas trop fort et nous commençons seulement à en appréhender les diverses facettes et les implications profondes à tous les niveaux de nos activités et de nos sociétés. Une conséquence immédiate, majeure mais souvent peu visible a priori, concerne la sécurité. Lorsqu'ils se présentent sous une forme imprimée, nous pouvons protéger nos documents du temps, des intempéries ou des personnes en les mettant dans une armoire, un coffre ou chez une personne de confIance comme un notaire. Qu'en est-il aujourd'hui des photos numériques, de documents numériques de type pdf dont un État ou une personne privée peuvent souhaiter qu'ils restent secrets pendant cinquante ans par exemple? Clairement nous ne le savons pas bien. Qu'en est-il aujourd'hui du dossier médical de chacun? L'intérêt de le numériser est clair, notre vie peut en dépendre, celle de nos enfants dans le futur aussi grâce par exemple à la compréhension statistique des données accumulées. Mais que devient dans un tel contexte notre vie privée? L'économie de la sécurité du numérique est mal connue mais a des impacts socio-économiques et géostratégiques considérables. Comment l'évaluer et comment la réguler? Nous ne savons pas bien répondre à ces interrogations qui posent de tous points de vue des questions de recherche fondamentale et appliquée, scientifIquement intéressantes et techniquement cruciales.


La révolution numérique en cours, transforme nos vies, nos relations et nos sociétés. Elle transforme donc profondément notre droit. Par exemple, dans quelles circonstances avons-nous le droit de copier un document comme une lettre, une photo, une œuvre musicale... Qui a le droit d'accéder aux données nous concernant? La numérisation rend le droit actuel caduc, souvent inapproprié ou incorrect, voire juste inexistant. C'est dans ce contexte que le ministère de la Recherche a décidé en 2003 de lancer un programme de recherche fondamentale consacré aux aspects de sécurité liés à l'informatisation globale. Le projet Asphales a été financé dans ce cadre à partir de 2004 et s'est terminé par un colloque dont le présent ouvrage rassemble la plupart des contributions.

Le travail effectué - et le recul qu'il permet de prendre - est remarquable et va permettre tant aux citoyens qu'aux décideurs de mieux comprendre les implications profondes de la sécurité numérique dans notre droit national et international. Ce que les sciences et technologies de l'information et de la communication nous apportent doit être maîtrisé par le droit approprié. Cette réflexion profondément multidisciplinaire a été conduite de manière magistrale dans le projet Asphales. Je vous laisse le plaisir et l'intérêt de la découvrir. Elle nous permet de mieux envisager l'ampleur des capacités que nous donne cette ère numérique, mais aussi la responsabilité profonde qui en découle pour la maîtriser et la comprendre.

14

Sécurité, collecte conservation

et

des données

Cas de données a priori indifférentes

Sécurité de la RFID : comprendre Gildas AVOINE

la technique

Ubuquitous computing et Droit. L'exemple Stéphanie LACOUR Quelles limites à la « googleisation Pierre TRUDEL Identité numérique et anonymat: El Hassan BEZZAZI

sans être un technicien


» des personnes?

concepts

et mise en œuvre

Sécurité de la RFID : cornprendrelatechrrique sans être un technicien GILDAS AVOINE Professeur, DCL, Louvain-la-Neuve, Belgique Il est aujourd'hui difficile de parler de RFID sans que ne viennent à l'esprit les termes de «sécurité de l'information» et de «protection des données personnelles». L'évocation même de ces notions crée généralement une réaction épidermique chez les fournisseurs et fabricants de solutions RFID. Les experts en sécurité donneraient-ils une mauvaise image de la RFID ? Comme le vieil adage le rappelle pourtant, il n'y a pas de fumée sans feu et comprendre l'étendue de l'incendie constitue leur mission. L'évolution de la technologie

RFID

Contrairement à ce que l'on pourrait croire, la RFID n'est pas une révolution technologique du vingt-et-unième siècle, mais de la première moitié du vingtième 1. Elle a cependant beaucoup évolué depuis lors et celle qui nous entoure aujourd'hui n'a plus grand-chose à voir avec la RFID de nos aïeux. Bien sûr, les principes physiques sur lesquels elle repose restent les mêmes, mais les progrès réalisés en électronique ont radicalement changé la donne: le prix d'un tag peut atteindre une quinzaine de centimes d'euros et sa taille est parfois inférieure à un grain de riz. Ces valeurs extrêmes ne doivent cependant pas cacher la réalité, car à chaque application correspond un tag qui lui est adapté: il est inutile d'utiliser un tag minuscule 2 (et donc coûteux) pour une application qui ne le nécessite pas, et il est impossible d'utiliser un tag à 15 centimes d'euros pour une application qui requiert de 1

La première application largement déployée est attribuée à la RqyalAir Forceet à son sys-

tème IdentificationFriend or Foe qui permettait de distinguer les aVions alliés des avions ennemis dès 1aSeconde Guerre mondiale. 2 Le l'lus petit tag commercialisé est le ~-tag, proposé par Hitachi, qui mesure 0,4 mm de côté. En 2007, Hitachi a également annonce la sortie d'unnouveau tag dont la taille n'est que de 0,05 mm de côté, mais l'antenne n'est pas incluse dans le tag dans ce cas-là. 17


la sécurité. Il existe donc une large gamme de tags avec des caractéristiques très variées qu'il est impossible d'étudier séparément. L'une d'entre elles, pourtant, est une caractéristique discriminante de la nouvelle vague RFID : c'est la manière dont le tag est alimenté. Les tags qui possèdent une batterie intégrée sont dits « actifs ». Ils sont relativement coûteux et leur taille est évidemment contrainte par la taille de la batterie. Ils sont généralement utilisés pour des applications nécessitant des capacités de calcul ou des distances de communication importantes. On les trouve notamment pour l'ouverture des portes de voiture, pour les péages autoroutiers, pour la localisation de containers, etc. Les tags sans batterie sont dits « passifs ». Ils obtiennent leur énergie à partir du champ électromagnétique émis par le lecteur. Cela signifie que les tags doivent être présents dans le champ du lecteur pour communiquer et éventuellement effectuer des calculs. Ils répondent donc à la sollicitation d'un lecteur mais n'initient pas eux-mêmes de communication. Ils ont une distance de communication substantiellement plus faible que les tags actifs, pouvant aller de quelques centimètres à quelques mètres selon la technologie utilisée. Ce sont ces tags passifs qui sont aujourd'hui sur le devant de la scène et il est même devenu usuel d'utiliser simplement le terme « RFID » pour désigner la RFID passive et de dire explicitement « RFID active» dans le cas contraire. Les tags passifs les moins chers ne sont dotés que d'une mémoire contenant un identifiant unique 3. La communication entre le lecteur et le tag est alors très simple: sur sollicitation du lecteur, le tag envoie son identifiant, comme le ferait tout simplement une personne à qui l'on demanderait son nom. La communication peut parfois bénéficier de mécanismes légèrement plus évolués: certains tags ne fourniront leur identiftant que si le lecteur envoie un mot de passe correct, convenu à l'avance, lors de la fabrication ou de l'initialisation du tag. Le déploiement des tags à très bas coût a été renforcé et même catapulté par la création d'un consortium aux États-Unis en 1999, l'Auto-ID Center 4, qui a pour but de standardiser et de promouvoir l'utilisation de la RFID dans les chaînes logistiques, en particulier dans la 3

Le système d'information comprend alors une base de données qui contient les identifiants des tags et les données qui leur sont liées. Par exemple, la base de données qui enre~stre les chiens en Belgique est consul table librement sur Internet (www.abiec-bvirh.be) : etant donné un numéro de tag RFID d'un chien enregistré dans les fichiers de l'ABIEC, tout un chacun peut obtenir les informations concernant l'animal ainsi que les coordonnées de son propriétaire (identité, adresse et numéro de téléphone). 4 L'auto-ID Center s'est ensuite scindé pour donner naissance à l'EPC Global Network et aux Auto-ID Labs. 18

Sécurité de la RFID : comprendre la technique sans être un technicien

grande distribution.

À l'opposé,

certaines

tés individuelles comme CASPIAN

5

organisations

ou FOEBUD

6

de défense des liber-

tentent de limiter, voi-

re de stopper, leur propagation. Un autre exemple de tag, cette fois plus coûteux, est un tag qui possède des capacités de calcul importantes et capable d'effectuer des opérations 7. Celles-ci permettent cryptographiques de sécuriser le système RFID considéré notamment en chiffrant la communication entre le lecteur et le tag. Ces tags possèdent également une mémoire pour stocker des données, généralement un ou deux kilo-octets, mais des valeurs bien supérieures peuvent être atteintes, comme c'est le cas avec les passeports biométriques. Ces derniers peuvent contenir 70 kilo-octets 8 de données, soit environ 70 000 caractères - voire plus si des techniques de compression sont utilisées - ou plusieurs photos de taille et de qualité raisonnables. Un tag de ce type possède une distance de communication de l'ordre de quelques centimètres (ISO 14443) ou décimètres (ISO 15693).

Deux familles d'applications: identification et authentification S'il existe plusieurs types de tags, c'est bien parce qu'il existe aussi plusieurs types d'applications. On en distingue deux grandes familles. L'une dont le but est uniquement d'apporter des fonctionnalités nouvelles ou d'améliorer des fonctionnalités existantes et dont le souci majeur n'est pas la sécurité (remplacement des codes-barres, tatouage du bétail, etc.). L'autre dont l'objectif est de sécuriser un système (badge d'accès à un immeuble, clef de démarrage d'une voiture, abonnement aux transports publics, etc.). Le point fondamental qu'il faut retenir est que le but du lecteur RFID est d'obtenir l'identité de l'objet interrogé dans le premier cas, mais aucune preuve de cette identité n'est requise: les échanges entre le lecteur et le tag constituent alors un protocole d'identification. Dans le second cas, il est important qu'une preuve de l'identité soit fournie: on parle de protocole d'authentification. Par abus de langage, protocole RFID désigne aussi bien un

5

Consumers Against Supermarket Privary Invasion and Numbering (CASPIAN) est un groupe dont le but est de combattre les cartes de fidélité dans les supermarchés. (www.nocards.com) 6 www.foebud.org 7 Selon les modèles de tags, ces opérations cryptograpruques peuvent être réalisées en logique câblée ou par un microprocesseur. 8 La taille de la mémoire peut varier d'un pays à l'autre, selon la solution technologique retenue, mais reste de l'ordre de plusieurs kifo-octets. 19


protocole d'identification qu'un protocole d'authentification, mais il faut bien garder à l'esprit que ces deux concepts ne sont pas équivalents et les problèmes de sécurité auxquels ils doivent faire face sont différents. Plus précisément, identification et authentification doivent résister aux attaques de type vol d'informations, traçabilité malveillante et déni de service, mais l'authentification doit en plus résister au vol d'identité.

Vol d'identité Comme nous l'avons dit, l'identification n'a pas pour but de prouver l'identité d'une personne ou d'un objet, mais seulement d'annoncer une identité. Quiconque écoute la communication entre un lecteur et un tag est donc en mesure« d'entendre» cette identité mais il ne s'agit pas là d'un vol. En revanche, un protocole d'authentification doit assurer au lecteur qu'il communique réellement avec la personne ou l'objet prétendu. Il existe pour cela des procédés dits «d'authentification faible» et des procédés dits « d'authentification forte », que nous introduisons ici. Dans le cas de l'authentification faible, le tag prouve son identité en envoyant une information secrète au lecteur, en quelque sorte un mot de passe. Cette information peut être écoutée par quiconque à proximité du tag, qui peut ensuite se faire passer pour celui-ci en utilisant cette information. C'est tout simplement la technique utilisée par Ali Baba pour ouvrir la fameuse caverne d'Abdul. La différence entre «identification» et « authentification faible» est donc très mince en RFID puisque la seule différence est que l'information envoyée par le tag est publique dans le cas de l'identification alors qu'elle est secrète dans le cas de l'authentification faible, mais peut être obtenue par quiconque interrogeant le tag ou écoutant une communication entre le lecteur et le tag. L'authentification forte ne permet pas de faire une «attaque à la Ali Baba », que l'on appelle plus sérieusement une « attaque par rejeu». Le principe que l'on trouve dans la majorité des tags aujourd'hui est le suivant: le lecteur envoie une question au tag telle que seul celui-ci est capable d'y répondre. Chaque fois que le lecteur souhaite authentifier le tag, il envoie une nouvelle question pour éviter qu'un pirate ayant écouté une précédente réponse ne puisse se faire passer pour ledit tag. Techniquement, chaque tag possède un secret unique partagé avec le lecteur et l'utilise pour répondre à

20

Sécurité de la RFID : comprendre la technique sans être un technicien la question 9. La réponse est obtenue en effectuant une opération cryptographique 10sur cette question à l'aide du secret partagé 11.Ainsi, il n'est pas possible de créer un tag piraté sans posséder le secret, qui est en fait protégé dans la mémoire du tag et n'est jamais révélé. L'authentification faible ne devrait évidemment pas être utilisée pour des applications sensibles. Toutefois, depuis le déploiement soudain de la RFID, il n'est pas rare de voir des locaux à accès strictement contrôlé protégés uniquement avec de l'authentification faible. Défaillance volontaire ou involontaire? Qui est le responsable? Qui est informé de cette faiblesse? Il n'est pas facile d'apporter des éléments de réponse à ces questions car le système utilisé est généralement livré « clef en main» et perçu comme une boîte noire par le client. Connaître la réelle sécurité du système nécessite d'être un fm limier car, même mandaté officiellement par le client, retrouver parmi les interlocuteurs (responsable logistique du client, responsable informatique du client, fournisseur de solutions RFID clef en main, vendeur du contrôle d'accès, fournisseur du tag, fournisseur du microcircuit, fournisseur du système d'exploitation embarqué dans le tag, etc.) celui qui connaît le contenu de la boîte dans sa globalité et qui accepte d'en parler est particulièrement difficile. Une solution serait certainement de créer un label de type « solution d'identification », « solution d'authentification faible », « solution d'authentification forte» qui permettrait de mettre un nom sur le responsable, si une solution d'identification ou d'authentification faible est vendue en lieu et place d'une solution d'authentification forte. Pour noircir le tableau, soulignons que, en pratique, de nombreux systèmes d'authentification forte utilisent des fonctions cryptographiques propriétaires pas assez expertisées. Le problème peut venir de l'utilisation de secrets trop courts, donc facilement « devinables» (c'est en fait assez fréquent) ou la fonction employée peut être tout simplement mal conçue 12. 9 Également appelée « défi» ou « challenge », la question n'est autre qu'un nombre aléatoire. 10 Il s'agit d'une signature numérique ou d'un chiffrement reposant sur de la cryptographie symétrique (plus rarement, sur de la cryptographie à clefs publiques). Cette fonction est publique et donc potentiellement connue de tous, mais le paramètre de la fonction, c'est-àdire le secret, n'est connu que du lecteur et du tag. Il Seuls les possesseurs du secret partagé sont capables de calculer et vérifier la réponse, et la connaissance de la réponse ne revèle aucune information sur le secret partagé. 12 Attaque sur les clefs de démarrage de voitures utilisant le module DST de Texas Instrument, ainsi que sur la carte de paiement américaine SpeedPass. Attaque sur les passeports biométriques : http://www.avoine.net/rfid/passports.htlm Attaque sur les dispositifs KeeLoq d'ouverture des portes de voitures, presentée par Bart Preneel à la Rump Session de la conférence Crypto 2007. 21


Vol d'informations Alors que l'usurpation d'identité ne concerne que les tags qui ont pour objectif de réaliser de l'authentification (par opposition à l'identification), le problème du vol d'informations concerne potentiellement tous les tags. Il se pose dès lors que les données envoyées par le tag révèlent des informations sur l'objet qui le porte. Par exemple, un document d'identité ou une carte de paiement peut révéler des informations confidentielles. Une carte de transport public peut révéler les dates et lieux des derniers passages de son porteur. Plus préoccupant, les produits pharmaceutiques marqués électroniquement, comme préconisé par la Food & Drug Administration aux États-Unis, pourraient indirectement révéler les pathologies d'une personne, etc. Une parade consiste à ne stocker qu'un identifiant sur le tag et à stocker les données confidentielles dans une base de données. C'est ce qui se passe généralement, ne serait-ce que parce que cela réduit le coût du tag. Le risque de divulgation d'informations personnelles au niveau du tag est ainsi en quelque sorte éliminé, mais le problème se translate sur la base de données, comme nous le verrons plus loin. Une autre manière de traiter le problème est de faire en sorte que le tag chiffre les données qu'il envoie ou exige que le lecteur s'authentifie avant toute discussion. Car le problème est bien là : le tag répond à toute sollicitation sans accord exprès de son porteur. Ces deux approches nécessitent toutefois une gestion des secrets partagés 13 assez contraignante car chaque tag doit avoir son propre secret. Elle nécessite également une capacité de calcul relativement importante, que les tags à très bas coût ne possèdent pas. Cette approche est cependant aujourd'hui très répandue, par exemple pour le contrôle d'accès physique. Mais la fuite d'informations, ce n'est pas seulement le vol d'informations personnelles. Un problème rarement évoqué est l'espionnage industriel. Celui-ci peut prendre différentes formes. Au lieu de soulever la bâche d'un camion de la société concurrente, il est aujourd'hui plus facile de découvrir leur contenu en les scannant lorsqu'ils sortent de l'entrepôt ou lorsqu'ils 13

L'utilisation de cryptographie à clefs publiques est particulièrement délicate en raison des faibles capacités des tags ce qui oblige à utiliser de fa cryptographie symétrique malgré la difficile gestion des secrets: chaque tag doit posséder son propre secret, qu'il parta~e avec le lecteur. L'utilisation d'un même secret pour tous les tags d un système donné n est pas envisageable car la compromission d'un seul tag (secret révélé) mettrait en péril tous les autres tags du système. 22


sont stationnés sur les aires de repos. Car aujourd'hui, nombre de cartons, palettes ou containers sont déjà marqués avec des tags RFID. Mais faire de l'espionnage industriel, c'est aussi obtenir de l'information sur ses concurrents par le biais de ses clients. Par exemple, en se rendant dans la société d'un client pour y faire du démarchage, du suivi de commande ou de l'expertise, il est possible de scanner les lieux aftn de détecter la présence de tags provenant d'un concurrent. Soulignons enftn un phénomène a priori indépendant de la RFID mais qui, dans les faits, y est fortement lié, la « log-mania ». L'installation d'une solution RFID dans une société entraîne généralement une refonte de la structure informatique de gestion. Enregistrer tous les faits et gestes liés aux objets marqués électroniquement est tentant en raison de la facilité de mise en œuvre. Le moindre déplacement ou modiftcation d'un objet est alors enregistré dans les ftchiers. Le vol d'informations dans une base de données par un concurrent ou la fuite accidentelle d'informations (perte d'une sauvegarde ou d'un ordinateur portable, etc.) existe aujourd'hui avec tout système d'information, mais le risque et les conséquences sont accentués avec la multiplication des systèmes RFID et l'augmentation des informations qu'ils enregistrent. Par exemple, étant donné l'identiftant d'un tag, il est possible aujourd'hui de retrouver chez le fournisseur le lieu et l'heure de sa fabrication ou des contrôles qu'il a subis, voire l'identité de la personne qui l'a contrôlé. Au niveau de l'exploitant du système RFID, on pourra par exemple retrouver dans la base de données d'une société de transport public les lieux et heures de passage de tous les clients. La base de données RFID devient alors une cible idéale pour la concurrence. Enftn, l'individu lui-même peut souffrir de cette « log-mania» car la quantité d'informations personnelles enregistrées informatiquement tend à s'accroître. Comme nous l'avons dit, ce n'est pas une conséquence directe de l'utilisation de la RFID, mais la RFID semble bien attiser ce phénomène. Les informations ainsi recueillies peuvent ensuite être divulguées volontairement ou involontairement. Un employé ayant accès à la base de données pourrait obtenir voire vendre des informations conftdentielles 14. Nous verrons dans la section suivante le cas des transports publics de la ville de Boston aux États-Unis, mais citons ici un autre exemple, celui du tatouage animal. Chaque animal domestique possède en Europe un tatouage, de plus en 14 Dans un cadre différent, plusieurs affaires judiciaires récentes ont mis en cause des policiers et gendarmes 'lui ont vendu des informations à des détectives privés, en abusant de leurs privilèges d'acces à des fichiers confidentiels (Le Figaro, 14 avriI2006). 23


plus souvent électronique. Le tag injecté sous la peau de l'animal ne contient lui-même qu'un simple identifiant, qui est enregistré dans un fichier national. À cet identifiant, correspond dans le fichier un ensemble de données sur l'animal mais aussi sur son propriétaire. Prenons le cas de la Belgique. L'organisme chargé de l'enregistrement des animaux domestiques canins est l'Association belge d'identification et d'enregistrement canins 15.À partir du numéro de tatouage, électronique ou non, il est possible d'obtenir publiquement sur le site web de l'association l'ensemble des données concernant l'animal ainsi que l'identité, l'adresse et le numéro de téléphone du propriétaire 16.

Comme nous l'avons vu, le risque de vol d'informations au niveau du tag peut être fortement réduit si des techniques cryptographiques (chiffrement ou authentification) sont utilisées. L'usage de ces techniques sur des tags à très bas coût ne peut toutefois pas être envisagé. Dans ce dernier cas, seul un identifiant est émis par le tag, mais cette donnée peut déjà constituer une information de grande valeur, notamment pour un concurrent.

Traçabilité malveillante Le problème de la traçabilité malveillante est plus délicat à traiter. Quelle que soit l'information envoyée par le tag, elle peut potentiellement être utilisée pour le tracer, par exemple pour déterminer l'heure d'arrivée et de départ d'une personne de son poste de travail. Pour ne pas permettre la traçabilité malveillante, le tag doit n'envoyer aux lecteurs que des réponses qui « semblent» être aléatoires 17sauf pour le lecteur autorisé 18. Cette technique n'est presque jamais employée car elle présente plusieurs inconvénients majeurs: (1) le tag doit avoir les capacités suffisantes pour utiliser de la cryptographie; (2) pour pouvoir lire ifficacement les données reçues, le lecteur doit connaître l'identité du tag (pour savoir quel secret utiliser), mais pour connaître l'identité du tag, il doit savoir lire les données reçues; (3) pour pouvoir communiquer, le système RFID utilise 15 http://www.abiec-bvirh.be/. 16 En France, l'accès à l'intégralité des fichiers répertoriant canins et félins semble aux professionnels. 17 La valeur renvoyée par le tag peut être par exemple l'identifiant de celui-ci, chiffré secret partagé par le lecteur et le tag. Il faut alors que le chiffrement soit randomisé, dire que chiffrer une même valeur deux fois doit produire deux résultats différents. 18 En utilisant le secret partagé, le lecteur peut déchiffrer la réponse du tag et ainsi son identifiant. 24

réservé avec le c'est-àobtenir

Sécurité de la RFID : comprendre la technique sans être un technicien un protocole d'évitement de collisions 19 qui repose souvent sur le fait que chaque tag possède un identifiant d'évitement de collisions unique et fixe (OlD) ; en conséquence, même si le protocole RFID évite la traçabilité malveillante, le protocole d'évitement de collisions peut permettre la traçabilité du tag et donc de son porteur. Le seul exemple que nous connaissons où le problème de la traçabilité malveillante est pris en compte est le passeport biométrique. En effet, dans le cas du passeport, le tag ne délivre des informations intelligibles qu'à partir du moment où le lecteur s'est correctement authentifié 20. En outre, l'identifiant d'évitement de collisions n'est pas fixe: il est généré aléatoirement chaque fois que le tag est sollicité par un lecteur. Seul bémol, même s'il n'est pas possible de tracer en théorie un passeport, sa présence peut être détectée: avant de s'authentifier auprès du passeport, le lecteur envoie une commande pour sélectionner l'application « passeport» sur le tag. Si le tag ne renvoie pas de message d'erreur, cela signifie bien que le lecteur est en présence d'un passeport. Illustrons la traçabilité, certainement pas malveillante, mais faite à l'insu des utilisateurs, par le cas du métro de Boston. La MBTA, la compagnie de transports publics du Massachusetts, enregistre depuis l'introduction de son nouveau système RFID les passages dans les portillons des voyageurs munis de la Charlie Card, sésame des transports bostoniens qui peut contenir un abonnement ou un porte-monnaie électronique. Si la Charlie Card est rechargée avec une carte de crédit, alors le numéro de la carte de crédit est associé au numéro de la Charlie Card dans les fichiers de la MBTA. Enfin, troisième élément, les stations de métro de Boston regorgent de caméras de surveillance. En associant ces trois éléments, MBTA et police ont été en mesure d'arrêter plusieurs dizaines de malfaiteurs depuis la mise en service du système, en décembre 2006. Il Y a quelques semaines, Richard Stallman proposait aux membres du CSAIL, laboratoire du MIT auquel appartient le célèbre défenseur des libertés individuelles, de se réunir pour une séance d'entre-échange de Charlie Card, juste histoire de brouiller les pistes...

19

Un protocole d'évitement de collisions permet de lire un tag même si un autre tag se trouve dans le champ électromagnétique du lecteur. Sans un tel protocole, la présence de deux tags en même temps à proXlfTlÎté d'un lecteur empêche celui-ci de fonctionner correctement. 20 Le secret permettant au lecteur de s'authentifier est imprimé dans le passeport, et lu par un dispositif optique. 25


Déni de service Enfm, le piratage peut ne pas concerner un tag donné, mais un système donné en cherchant à déstabiliser son infrastructure. Cela peut être fait de manière inintéressée, au même titre qu'un pirate informatique déface un site web ou qu'un délinquant dessine des graffitis sur les murs, ou cela peut être le fruit d'un travail élaboré et prémédité. Ce dernier cas est tout à fait envisageable dans une situation de concurrence entre deux sociétés. Il pourrait être tentant de déstabiliser son concurrent en anéantissant le système RFID qui contrôle sa chaîne de production. Les techniques qui permettent de faire cela sont diverses et variées et dépendent fortement de la technologie RFID utilisée. Une technique simple est d'utiliser un brouilleur électromagnétique qui empêche la lecture des tags présents dans son environnement. Ce brouilleur peut être introduit chez la victime ou, s'il est assez puissant, placé à l'extérieur des locaux de la victime. Plus subtil, des tags falsifiés peuvent être introduits chez la victime pour '2122 pertur b er son systeme . Notons également qu'il est facile de «cacher» de manière électromagnétique un tag RFID en le plaçant dans une cage de Faraday qui peut être constituée d'une simple feuille métallique 23. Cette technique est redoutable dans un magasin qui utilise de la RFID et dont le contrôle de sortie est effectué par le client lui-même en utilisant une caisse self-service. L'étude des dénis de service dans les systèmes RFID n'en est qu'à ses premiers balbutiements. Ce domaine profite d'une longue histoire et de l'expérience dans le domaine plus général de l'informatique qui pourront être utilisées, à bon ou mauvais escient, dans le domaine plus restreint de la RFID.

Conclusion Cette succincte présentation de la sécurité de la RFID a pour but de présenter et de clarifier les menaces qui pèsent aujourd'hui sur cette technolo21

Notons que le blocker tag proposé par Ari Tuels, Ronald Rivest et Michael Szydlo dans le but de préserver la sphère privee est malgré lill aussi un outil de déni de service qill permet de perturber les systemes RFID d'autrtÙ au niveau du protocole d'évitement de collis1ons. 22 Une technique fortement étudiée depills peu est la conception de virus transportés par des tags RFID. 23 Du film alimentaire en aluminium est suffisant pour faire barrage aux ondes électromagnétiques. Des solutions plus élégantes mais dont le principe est tout aussi simple peuvent etre achetées sur Internet, par exemple sur le site www.rfid-shield.com. 26


gie. Sans aborder les aspects purement techniques, elle permet de distinguer ce qui est réalisable de ce qui ne l'est pas, tant en termes d'attaques qu'en termes de contre-mesures. Vol d'identité, vol d'informations, traçabilité malveillante et déni de service sont autant de menaces qu'il faut considérer sérieusement. Certaines d'entre elles trouvent incontestablement leur parade dans l'usage de la cryptographie. D'autres sont plus délicates à traiter. Mais il est un point important qu'il faut garder à l'esprit: les techniques mises en œuvre pour sécuriser la RFID repose sur le postulat que les attaques proviendront d'un pirate extérieur au système. Une menace majeure, pourtant, concerne l'utilisation abusive voire frauduleuse des données par les personnes même qui les recueillent licitement.

27

U buquitous computing 1 et Droit L'exemple


STÉPHANIE LACOUR Chargée de recherche au CECO]I-CNRS Lassée de jouer dans l'herbe du parc, Alice s'assoupit. À l'instant où elle s'endormait, son regard fut attiré par le passage d'un lapin blanc, habillé d'un costume trois pièces de marque et équipé d'une magnifique montre à gousset, qu'il consultait fébrilement. Le lapin s'inquiétait à voix haute: «Je ne vais jamais avoir suffisamment de temps! ». Intriguée par ce manège et désireuse de lui apporter son aide, Alice décida d'accompagner le lapin... Arrivé à quelques mètres de son automobile, celui-ci l'ouvrit grâce à une clé RFID. La fillette se permit alors de lui faire remarquer qu'ils gagneraient certainement du temps en prenant les transports en commun. « Qu'à cela ne tienne », répondit le lapin, et ils se dirigèrent vers le bus le plus proche. Une fois montés à bord et enregistrés sur le système par leurs cartes sans contact, les deux compères se dirigèrent vers un centre commercial. Le lapin savait en effet que le dernier album de son groupe préféré, les « Lièvres verts », était dans les bacs, et il souhaitait en acquérir un exemplaire numéroté. L'album dans sa besace, ils quittèrent le magasin en jetant un regard à la montre, qui leur conseilla au passage, grâce aux informations de son lecteur RFID, de se rendre dans le magasin de vêtements du centre pour y acquérir le tee-shirt promotionnel des Lièvres verts, qui venait d'être livré, ainsi qu'un chapeau pour Alice, dont la puce implantée signalait un risque d'insolation. Les deux amis décidèrent de ne pas tenir compte de ces conseils. Ils savaient que leurs systèmes embarqués avaient tendance à les pousser à la consommation. En outre, le lapin avait promis à Alice un verre de jus de carottes ainsi qu'une copie de l'album des Lièvres verts, qu'elle ne connaissait pas.

1

L'ubiquitous computing,expression inventée par Mark Weiser, du Xerox Parc de Palo Alto, en Californie, est un système constitué d'ordinateurs invisibles et omniprésents, embarqués dans notre environnement. Les RFID prennent une part centrale dans ce dispositif cauipassait pour futuriste il y a encore quelques mois mais semble désormais à nos portes. A ce sujet, on l'eut

lire Everyware:

The Dawning Age

New Riders Publishing, 2006.

0/ Ubiquitous

Computing de Adam

Greenfield,


Dans le terrier du lapin, la porte équipée d'un lecteur RFID s'ouvrit automatiquement. Le réfrigérateur fut moins coopératif et lui indiqua qu'il ne pouvait offrir à son invitée le jus promis, la date d'expiration contenue dans l'étiquette électronique de ce dernier étant expirée depuis 2 heures. Ils se contentèrent donc d'un verre d'eau et Alice copia le disque du lapin avant de quitter celui-ci, qui devait maintenant recevoir le livreur de jus de carottes, appelé par l'ordinateur central du terrier. Elle ne savait pas, pauvre enfant, que son lecteur de disques refuserait, en l'absence de RFID valable, de lire cette copie... Il n'est pas habituel,

pour un juriste, de commencer

son exposé par une

allégorie. Il s'agissait, tout d'abord, de rendre hommage à Lewis Caroll

2

et à

son univers fantasmagorique, dans lequel on a parfois l'impression de plonger lorsque l'on travaille sur les technologies de l'information. Il s'agissait également de rappeler à nos souvenirs communs certaines des caractéristiques des deux personnages centraux de cette première partie de son œuvre. Alice, tout d'abord, est l'une des figures récurrentes qui ont hanté les travaux qui ont rassemblé le CECO]I, la DAF et les chercheurs en cryptographie de l'INRIA. Ces derniers font en effet systématiquement usage de ce nom pour désigner le premier maillon des chaînes de transmission d'informations dont ils testent la sécurité, le second étant Bob. Alice a donc régulièrement fait l'objet de nos conversations. Le Lapin, ensuite, qui a été choisi pour emblème par l'une des sociétés 3 qui a investi très tôt, en France, le champ de l'informatique ubiquitaire et qui vient de lancer, ces dernières semaines, une campagne de publicité commune avec une grande société d'édition pour promouvoir son application RFID. Ce petit lapin est en effet équipé d'un lecteur RFID qui lui permet non seulement de retrouver, selon ses concepteurs, tous les objets « pucés» qui se trouvent dans son périmètre, mais aussi d'exempter les parents de la fastidieuse corvée de la lecture du soir, puisque les livres équipés de ces « timbres» et dont les éditeurs ont adhéré à la technologie en cause seront tout simplement lus par le lapin luimême à leurs enfants... Nous ne discuterons pas, ici, du caractère souhaitable ou pas de ce genre de gadgets... En revanche, le discours de l'un des fondateurs de la société qui développe cet objet, lui, présente quelque intérêt pour qui souhaite examiner les scénarii prospectifs existant en matière de technologies de l'information et de la communication. Pour lui, les produits de sa société 2

V. Lewis Carroll, Alice au Pi!Ysdes meroeilles,traduction de Jacques Papy, illustrations de Sir John Tenniel, Gallimard Jeunesse/Denoël, 1999. 3 Pour en savoir plus sur cette société, v. http://www.nabaztag.com/en/index.html. 30

Ubuquitouscomputinget Droit. L'exemple de la radio-identification sont promis à un développement conséquent. Et pour cause, sur les 8 à 10 000 objets qui sont en général présents dans le logement d'une famille, seuls cinq objets sont, en moyenne, reliés à l'Internet. D'où la question, semble-t-il naturelle: comment relier tous les autres? Le lapin, qui lit livres et courriels, donne la météo du jour et l'état du trafic, est un premier pas en ce sens... la suite de l'opération s'appelle l'Internet des objets 4... Cette perspective appelle quelques réflexions, sur les usages auxquels ces technologies sont destinées et aussi sur leur encadrement juridique, tant cette technologie est en passe de prendre une place considérable dans le monde de demain. En effet, toutes les applications RFID qui sont décrites dans cette histoire existent déjà ou bien sont à l'étude dans nos laboratoires de recherche 5. À titre d'exemples, on trouve d'ores et déjà ces petites étiquettes, sur le territoire français, dans la plupart des livres des bibliothèques et des librairies, dans les cartes «Navigo 6» de la RA TF qui permettent d'entrer dans le métro et les bus parisiens et de valider son ticket sans contact, et 7 les plus perfectionnées. Nomaussi dans les «Cartes de vie quotidienne» bre d'emballages en contiennent, parmi lesquels ceux de médicaments connus qui souhaitent ainsi lutter contre la contrefaçon R.On les trouve éga4

V. à ce sujet, le rapport de l'Union internationale de télécommunications de l'année 2005, « The Internet of Things », 7èmcédition. 5 Au mois de mars 2007, quelque 43 projets de recherche collaboratifs sur le sujet étaient financés par l'industrie et les organisations de recherche européennes. Cela représentait alors un investissement total de 315 millions d'euros, dont) 54 millions provenant de la Commission européenne. Tous les pays de l'Union, les Etats-Unis, en particulier par l'intermédiaire du MIT, le Japon et la Corée du Sud investissent massivement dans des recherches portant sur ces technologies, qui font de plus en plus intervenir des techniques acquises grâce aux nanotechnologies et sont considérées mondialement comme des technolOgies d'avenir. 6 Selon le compteur mis en ligne par la RATP, celui-ci était, au 30 novembre 2007, en p,0ssession de 2 400 000 usagers des transports parisiens, sa diffusion est donc loin d être anecdotique en la matière. 7 Ces cartes font partie du dispositif technique lancé par l'État dans le cadre de l'administration électronique. Elles sont déjà distribuées dans un certain nombre de communes françaises et permettent de régler les abonnements aux transport en commun, des commerçants, des places de spectacle, des entrées dans les installations sportives, ainsi que de bénéficier d'un certain nombre d'inscriptions et d'abonnements à distanc« et d'aide pour des formalités administratives pour les plus perfectionnées d'entre elles. A ce sujet, lire G. Beauvais, « La carte de vie quotidienne et l'administration électronique locale», in La sécurité argourd'hui dans la sodété de l'information, contributions réunies et coordonnées par S. Lacour, L'Harmattan, 2007 8 La Food and Drug Administration des États-Unis estime que la contrefaçon représente plus de 10 % du marché mondial des médicaments (6 % selon l'OMS) et, en consequence, recommande l'implantation massive de puces RFIÙ sur les emballages de médicaments (http://www.fda.gov / oc/initiatives/ counterfeit/ report6_06.html). Des entreprises fortement atteintes par ce fléau ont déjà commencé à équiper leurs produits les plus touchés de tags RFID. C'est notamment le cas du Viagra, des laDoratoires Pfizer, mais aussi du Trizivir, des laboratoires GlaxoSmithKline, qui fait partie d'un traitement du VIH. 31


lement dans les clés sans contact de quasiment tous les véhicules récents, et, plus surprenant, dans une partie du cheptel français, dans nos animaux de 9 et dans tous les arbres de Paris. Aux États-Unis, comme en compagnie Corée du Sud, elles servent déjà massivement de moyens de paiement JO.Elles entrent progressivement dans nos hôpitaux 11, dans nos aéroports, qu'il s'agisse du suivi des bagages ou encore de la gestion des passagers et sont promises à un avenir radieux dans les domaines de la distribution et du contrôle d'accès. Et pourtant... Pourtant, à l'heure actuelle, les RFID ne font l'objet 12 et le droit peine toujours à évaluer les d'aucune réglementation spécifique enjeux réels de leur développement. Nous essaierons dans cette contribution de voir comment, d'un procédé matériel qui n'est pas particulièrement récent 13, on arrive aujourd'hui à une technologie qui promet d'être révolutionnaire, aussi bien dans ses perspectives économiques que, surtout, dans le contenu informationnel qu'elle s'avère capable de véhiculer. Ces considéra9

Les articles L. 214-5 et R. 221-27 du code rural rendent en effet obligatoire l'identification des animaux domestiques (chiens et chats) gui font l'objet d'une cession à titre gratuit ou onéreux. Cette identification peut être réalisee par le biais d'un tatouage de l'animal ou par la pose d'une puce RFID. Cette dernière technologie est présentée par le Syndicat des vetérinaires français comme devant devenir la norme à l'averur. (bttp:/ /www.snvel.fr/Public/Actualite/sn-!W_actu.htm). 10 Le système le plus connu de paiement RFID est celui qui a été mis en place dans les stations-service et gui permet de remplir son réservoir et repartir sans autre contact grâce à des puces intégrees aans le porte-clés de la voiture, sur sa plaque d'immatriculation et dans les P9mpes de la station. Ce système, dénommé Paypass, fonctionne déjà à grande échelle aux Etats-Unis et permet également de régler ses notes d'épicerie, de parking et, plus étonnant, de pharmacie. Il Pour le suivi des prélèvements biologiques, notamment, mais aussi l'étiquetage des patients et des instruments de chirurgie, destiné à éviter les erreurs d'opérations par confuslOn d'identité des patients et les oublis... 12 La Commission européenne, après avoir consulté par la voie d'un sondage sur Internet, les industriels concernés mais aussi le grand public, a d'ailleurs clairement exposé les raisons pour lesquelles elle se refusait à adopter une telle législation préférant fonctionner, pour les questions laissées en suspens, par la voie de guides de bonnes pratiques. Elle semble néanmoins avoir changé d'aVls récemment, en lançant, toujours par le bIais d'Internet, une nouvelle consultation dans le but avoué de proposer des recommandations pour l'implémentation de principes concernant la protection de la vie privée, la protection des données et la sécurite des informations dans les applications supportées par la RFID. En ce sens, v. MEMO/08/145 , notes sur le discours ae Viviane Reaing, la Commissaire eurof,éenne pour la sociét~ de .l'information et les,médias, ~ruxelles, le 5 mar~, 2008. .. . Une controverse sCIentifique eXIste quant a la date reelle de leur premtere appantion, certains remontant jus~u'en 1945 et aux travaux de Léon Theremin pour le compte de l'espionnage russe, d autres la situant en 1948, dans un article de Harry Stockman, mtitulé « Communication by Means of Reflected Power », Proceedings of the IRE, octobre 1948, p. 1196-1204. Le premier brevet, américain, déposé pour cette technologie date, lui, de 1973. Il s'agit de l' « U.S. Patent 3, 713, 148» de Mario Cardullo. En toute hypothèse, quelle que soit la technologie réellement utilisée à ce moment-là, elle était très éloIgnée des spécificités physiques, et surtout de la taille des RFID d'aujourd'hui. 32

Ubuquitous computinget Droit. L'exemple de la radio-identification

tions ne sont, en effet, pas étrangères aux problématiques de sécurité, que nous traitons aujourd'hui, puisqu'elles rejoignent parfois des préoccupations de souveraineté nationale. Les RFID se multiplient ainsi que leurs applications concrètes. D'abord réservées à des applications dites en « boucle fermée 14» à la fm des années 1990, elles sont en passe de devenir, avec succès, des standards de gestion logistique en « boucle ouverte». Cette technologie a même été élue pour être intégrée dans le nouveau passeport biométrique français. Elles ne sont donc plus, aujourd'hui, une technologie confidentielle et réservée à quelques chercheurs ou de rares sociétés particulièrement téméraires mais tendent à envahir nos magasins, nos rues... nos ondes. Une intense activité de normalisation technique entoure ce développement. Cette normalisation concerne 15 aussi bien les protocoles d'échange entre la RFID et son environnement que le codage des produits eux-mêmes. Les fréquences radioélectriques qui permettent ces échanges font, quant à elles, l'objet d'une réglementation précise. Afin de cerner au mieux les enjeux juridiques que font apparaître les RFID, nous distinguerons ici les considérations relatives au support de la technologie RFID (I), qu'il s'agisse de son support matériel ou immatériel, des considérations portant sur le contenu que l'on peut leur faire porter (II). La question plus directe de la protection des données personnelles, qui est au centre de bien des débats relatifs aux systèmes RFID, ne sera abordée ici qu'en conclusion, dans l'attente d'une modification annoncée, sur ce point, 16. du droit communautaire

I - Le support technologique

des RFID

Un système RFID est composé, a minima, d'une puce électronique équipée d'une antenne, d'une mémoire et d'un microprocesseur, lequel répond aux requêtes émises par un lecteur par le biais d'ondes électromagnétiques 17.Cette présentation sommaire de la technologie RFID ne reflète pas, néanmoins, la diversité qui règne en ce domaine. 14 Les notions de boucle fermée et ouverte seront développées i'!fra. 15 Ces protocoles sont en réalité des logiciels qui permettent la transformation d'un signal radio en données numériques eXploitables. 16 Voir néanmoins, sur ce point, S. Lacour, « L'identification par radiofréquence, une technologie en mal de régulatIon juridique », Annales des télécommunications,Vol. 62, n° 11/12, nov.-déc. 2007,« Security in the digital world », p. 1241 et s. 17 P?ur davantage de renseignements techniques, se reporter à la contribution de Gildas Avotne. 33


Ces systèmes peuvent en effet être de puissances, et par conséquent de portées, très variables, allant de quelques centimètres à plusieurs mètres. Leurs microprocesseurs en eux-mêmes peuvent, en outre, être très basiques et renvoyer un identifiant fixe à la sollicitation du lecteur, ou bien plus sophistiqués, c'est-à-dire capables d'être réinscrits voire d'entretenir avec le lecteur un dialogue plus complet encore. Ces étiquettes peuvent en outre être actives, c'est-à-dire pourvues de batteries, ou bien passives, c'est-à-dire ne pas posséder de source énergétique propre. Elles peuvent, dès lors, comme le souligne le document de travail que le groupe de l'article 29 a consacré à cette technologie 18, être « réveillées» plusieurs dizaines d'années après avoir été fabriquées. Malgré cette diversité de supports techniques, toutefois, la nécessité de se plier à la réglementation relative aux fréquences radioélectriques demeure un point commun à tous les systèmes RFID. C'est pourquoi nous lui consacrerons quelques développements tout d'abord (A). Nous verrons ensuite qu'indépendamment de la rareté des fréquences, d'autres éléments peuvent donner lieu à l'intervention du droit en ce qui concerne le support de la technologie RFID, même si ceux-ci relèvent encore, à l'heure actuelle, du domaine de la prospective (B). A - La réglementation desfréquences radioélectriques L'espace hertzien est intégré mis, de ce fait, aux dispositions effet d'une ressource rare, dont 21, mais gements internationaux bien que civils.

depuis 198919 au domaine de l'État et soudu code du domaine de l'État 20. Il s'agit en l'occupation répond, en outre, à des engaégalement à des impératifs militaires aussi

18

Il s'agit du groupe de travail sur la protection des données créé en vertu de l'article 29 de la directive 9S/46/CE et qui réunit des représentants des homologues de la CNIL de tous les Etats membres. V. Document de travail sur les questions de protection des données liées à la technologie RFID (radio-identification), du 19 janvier 2005, n° 10107/0S/FR, WP 105, disponible à partir du site de l'Union européenne: www.europa.eu.int/comm/privacy. 19 Cette qualification juridique a été posée par la loi n° 89-15 du 17 janvier 1989, modifiant la loi n° 86-1067 du 30 septembre 1986. Au sujet de cette qualification, V. Lanry Droit de l'inftrmatique et des réseaux, 2006, n° 1551, p. 950. 20 Article L. 41-1, al. 3 du code des postes et des communications électroniques: «Conformément à l'article L. 2124-26 du code général de la propriété des personnes publiques, l'utilisation, par les titulaires d'autorisation, de fréquences radioélecrnques disponibles sur le territoire de la République constitue un mode d'occupation privatif du domaine public de l'Etat ». 21 Au niveau mondial, le Règlement des radiocommunications de l'UIT (Union internationale des télécommunications) centralise ces engagements. 34


En France, le cadre réglementaire des fréquences hertziennes a été profondément modifié par la loi du 26 juillet 1996 qui a créé l'Agence nationale des fréquences radioélectriques (ANFR). Cette agence est parfois qualifiée

de grossiste des fréquences 22. Sur le plan national, elle affecte en effet des bandes de fréquences aux départements ministériels qui ont des besoins propres et à ceux que l'on peut nommer, par opposition, les « détaillants de fréquences )) que sont le Conseil supérieur de l'audiovisuel et l'Autorité de régulation des communications électroniques et des postes. Les systèmes RFID correspondant à la définition des communications électroniques telle qu'elle est posée par l'article L. 32 du code des postes et des communications électroniques 23, c'est à l'ARCEP que revient, en application de l'article L. 32-1, II, 110 du même code, le soin de veiller, entre autres, à l'utilisation et à la gestion efficaces des fréquences radioélectriques les concernant. Plusieurs bandes de fréquences intéressent directement les fabricants et utilisateurs de systèmes RFID. Ces bandes présentent des caractéristiques différentes et permettent, en conséquence, des applications ciblées. Pour simplifier, on peut distinguer quatre types de fréquences utilisées pour des systèmes RFID : Les étiquettes basses fréquences (LF), autour de 135 kHz, sont couramment utilisées pour l'identification animale mais ne permettent que de faibles distances de lecture 24 et ne contiennent, en général, que peu de données. Les étiquettes hautes fréquences (HF) sont d'ores et déjà déployées, notamment dans les domaines des librairies et bibliothèques, du suivi des bagages. Elles se situent autour de 13.56 MHz et permettent des distances de lecture de l'ordre du mètre ainsi qu'une capacité en termes de données plus intéressante. Les étiquettes ultra hautes fréquences (UHF), présentent, semble-til, les meilleurs résultats en termes de logistique. On les trouve dans la bande de 863 à 915 MHz.

22

V. La lettrede l'Autorité, lettred'informationbimestriellede l'ARCEP, n° 46, septembre-octobre 2005, dossier fréquences, p. 3. Cette lettre peut librement être téléchargée sur le site de l'ARCEP, www.arcep.fr. 23 Article L. 32, 10 du code des postes et des communications électroniques. « On entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d'écrits, d'images ou de sons, par voie électromagnétique.» 24 Environ 50 cm. 35


Enfin, Les puces de type micro-ondes (SHF), de 2.45 GHz ou encore 5,4 GHz, sont encore le plus souvent expérimentales à l'heure actuelle même si on en trouve déjà des applications notamment dans le domaine des péages automatiques d'autoroutes. Elles permettent des distances de lecture, lorsqu'elles sont actives, de plusieurs dizaines de mètres. Comme nous avons déjà pu le voir, c'est dans la zone de l'ultra haute fréquence que se situent les plus grandes potentialités des RFID dans le domaine de la logistique, qui est présenté comme l'avenir de cette technologie. Dans cette zone, en France, seules les fréquences situées entre 868 et 870 MHz étaient disponibles, sous conditions, aux appareils de faible portée. Les industries de la RFID réclamaient néanmoins l'ouverture de nouvelles bandes de fréquences qui leur soient réservées. La première d'entre elles dans une perspective d'interopérabilité, la bande de 915 Mhz, fréquence utilisée en UHF aux États-Unis, est réservée, en Europe, à la téléphonie mobile 25, ce qui l'exclut des bandes autorisées aux RFID. C'est donc sur le canal situé entre 865 et 868 MHz que se sont rabattues les prétentions des acteurs du domaine. Ce canal était jusqu'à présent occupé exclusivement par l'armée. Néanmoins, sous la pression des industriels, et après une négociation avec le ministère de la Défense, l'ARCEP est parvenue à trouver une solution. La bande située entre 865,6 et 867,6 MHz est donc désormais utilisable pour les systèmes RFID en dehors d'un nombre limité de zones militaires sensibles, après homologation par l'arrêté du 6 septembre 2006 26 de la décision que l'Autorité a prise durant l'été 2006 par le ministre en charge des télécommunications et ceci jusqu'à une puissance de 2 watts 27. 25

Conseil

général

des technologies

de l'information,

~.6 3. Arrêté du 6 septembre 2006 homologuant

rapport

n° II-B.9-2004,

janvier

2005,

la décision n° 2006-0841 de l'Autorité de ré-

gulation des communications électroniques et des postes en date du 25 juillet 2006 fixant res conditions d'utilisation des fréquences radioélectriques pour les applications d'identification par radiofréquences dans la bande 865-868 MHz. Ces deux textes (arrêté et décision) ont fait l'objet de modifications purement techniques en 2007, v. Décision n° 2007-0684 de l'Autorité de régulation des communications électroniques et des postes en date du 24 juillet 2007 modifiant la décision n° 06-0841 relative aux conditions d'utilisation des fréquences radioélectriques pour les applications d'identification par radiofréquences dans la bande 865-868 MHz et Arrêté du 19 septembre 2007 homologuant la déCIsion n° 2007-0684 de l'Autorité de régulation des communications électroniques et des f7ostes.. . . . , . . c ette pmssance dOit etre comparee' aux 4 watts autonses aux E' tats- U filS. N eanmOinS, ' l'unité de puissance utilisée sur les deux continents étant différente (en France, les données spnt expnmées en Watts ERP, autrement dit Effective Radiated Power, tandis que les Etats-Unis expriment cette puissance en Effective Isotropie Radiated Power, EIRP, les 36


Au-delà de ces précisions purement techniques, ce que l'on peut retenir de cette évolution, c'est que le marché des RFID est en train de se libéraliser sur notre territoire, sous la pression conjuguée des industriels du secteur, qui souhaitent développer rapidement des solutions logistiques fondées sur cette technologie, et de la Communauté européenne, qui a adopté cette bande fréquence dans ses recommandations 28. Pas d'exception culturelle française en ce domaine, donc, les systèmes RFID destinés à la logistique et qui devraient, si l'on s'en tient aux promesses des acteurs de ce marché, remplacer les traditionnels codes-barres dans les dix ans à venir, vont trouver là le ferment de leur développement à grande échelle en toute légalité. B - La feuille de route des RHD,

une source d'inquiétudes?

Si, comme on vient de le voir, sur le plan des bandes de fréquences, la situation est en train de se normaliser en France et, plus largement, en Europe, la libéralisation obtenue par l'industrie ne doit pas, pour autant, effacer d'autres sources d'inquiétudes relatives au support de cette technologie. Tout d'abord, en effet, les RFID fonctionnent sur la base d'ondes électromagnétiques, dont on sait qu'elles peuvent, dans certaines conditions, représenter un danger pour la santé. Qu'en sera-t-il des milliers de tags et de lecteurs qui peupleront nos biens de consommations et nos parcours les plus quotidiens, lorsque nous serons parvenus au monde de l'ubiquitous computing ? La réglementation relative à la protection du public contre les champs électromagnétiques s'appuie sur le décret du 3 mai 200229 qui transpose la recommandation européenne du 12 juillet 1999 30. Des normes harmonisées

ont par ailleurs été défInies par le CENELEC

=

31

dans le cadre de la mise en

rapports entre les deux étant le suivant: 1 W ERP 1,62 W EIRP), nous parviendrons à une puissance très proche de la leur dans les mois à venir. 28 L'Institut européen des normes de télécommunication créé par la Conférence européenne des administrations des postes et télécommunications, l'BTSI, est chargé de produire des normes et des spécifications techniques de terminaux, de réseaux et de services de télécommunication. Dans le cadre de cette mission, cet institut avait adopté, en 2004, une norme EN 302-208 qui concerne spécifiquement l'UHF et qui autorise une puissance de 2 Watts ERP dans la bande de fré'1uence 865,6-867,6 MHz. En France, les canaux situés entre 865 et 865,6 Mhz seront limites à une puissance de 100 mW et ceux situés entre 867,6 et 868 Mhz à 500 mW. 29 Décret n° 2002-775 pris en application du 12° de l'article L. 32 du code des postes et télécommunications et relatif aux valeurs limites d'exposition du public aux champs électromagnétiques émis par les équipements utilisés dans les réseaux de télécommurucation ou les installatio~s radioélectriques. fr~r , .. . . Recommandation n° 1999/519/ CE relative a la limitation de I exposition du pubhc aux champs électromagnétiques (de 0 Hz à 300 GHz). 31 Comité européen de normalisation électro-technique. 37


œuvre de la directive du 9 mars 1999 32. Concernant les équipements de faible portée, dont les RFID, il s'agit de la norme EN 50364:2001 qui vise la limitation de l'exposition humaine aux champs électromagnétiques émis par les dispositifs fonctionnant dans la gamme de fréquences de 0 Hz à 10 GHz, utilisés pour la surveillance électronique des objets, l'identification par radiofréquence (RFID) et les applications similaires et de la norme EN 50371:2002, qui est une norme générique pour démontrer la conformité des appareils électriques et électroniques de faible puissance aux restrictions de base concernant l'exposition des personnes aux champs électromagnéti33. ques Le respect de ces normes entraîne une présomption de conformité du système à la réglementation européenne. Cette dernière devra être prouvée si leurs exigences ne sont pas remplies. On le voit, les effets des RFID sur la santé, y compris la santé des travailleurs, qui pourraient être exposés massivement à leurs ondes dans des en34, trepôts par exemple sont déjà pris en considération en ce qui concerne leurs aspects radioélectriques, même si l'état actuel de nos connaissances sur le sujet n'est pas totalement satisfaisant 35. Mais les effets des transmissions engendrées par les systèmes RFID ne sont pas les seules conséquences de leur développement massif qui peuvent susciter l'intervention du droit. Par ailleurs, en effet, la feuille de route des RFID croise déjà celie des 36. Au-delà même des possibilités de miniaturisation nanotechnologies ex32 Directive 1999/S/CE du Parlement et du Conseil du 9 mars 1999 concernant les équipements hertziens et les équipements terminaux de télécommunications et la reconnaissance mutuelle de leur conformité. 33 Normes publiées auJOCE du 7 décembre 2002/C304-16. 34 La directive n° 2004/40/CE, du 29 avril2004 concernant les prescriptions minimales de sécurité et de santé relatives à l'exposition des travailleurs aux risques dus aux agents physiques (champs électromagnétiques) devra être transposée dans la législation française avant 2008. 35 De nombreuses études scientifiques portent encore aujourd'hui sur la question des effets réels ou supposés des ondes électromagnétiques sur la santé humaine. L'étude REFLEX, menée sous l'égide de l'Union européenne, n'est que l'une d'entre elles et conclut, semble-til, à l'existence d'effets réels de telles ondes sur notre ADN. Plus généralement, les études étant souvent parcellaires ou même aboutissant à des résultats contradictoires, il convient de ne surtout pas prendre la réglementation actuelle comme un fait acquis, l'évolution des connaissances pouvant très bien la modifier rapidement. 36 En ce sens, v. Conseil général des technologies de l'information, rapport n° II-B.9-2004, 2005, p. 10; v. également le rapport du sénateur Claude Sauruer pour l'Office parj"anvier ementaire pour l'évaluation des choix scientifiques et technologiques, OPECST, sur l'évolution du secteur des semi-conducteurs et ses liens avec les micro et nanotechnologies, rapport établi le 8 avril 2003 et qui fait l'objet, aujourd'hui d'une actualisation qui devrait prendre en considération bien plus profondément les questions liées à la protection des données personnelles, l'exemple des RFID étant cité par le sénateur Saunier à l'appui de l'étude de faisabilité, sur ce pomt. 38


trême que ces perspectives ouvrent et qui doivent être considérées au regard de nos règles de protection de la vie privée et des données personnelles, les nanotechnologies sont également porteuses d'inquiétudes en elles-mêmes. Leur impact toxicologique et éco-toxicologique demeure en grande partie inconnu à l'heure actuelle, malgré les études et recherches menées sur le sujet. Cette afftrmation est d'autant plus vraie que l'on cherche à s'intéresser à cet impact en termes d'analyse de l'ensemble du cycle de vie des nanoproduits, la nanoélectronique étant l'un des exemples les plus massivement distribués de ces produits à l'heure actuelle. Le Comité de la prévention et de la précaution a rendu public un avis au sujet des nanotechnologies en mai 200637, de même que l'AFSSET 38 au mois de juin de la même année. Cette dernière s'apprête par ailleurs à publier un autre rapport relatif à la sécurité au travail, sur la même thématique. Pour les deux organismes, il est urgent d'adopter très vite des mesures de précaution et d'intégrer la prise en compte de la spécificité des nanomatériaux par l'Union européenne dans le cadre de la réglementation REACH 39. Ces considérations restent en outre en deçà des risques sanitaires que l'on pourrait craindre s'il s'avérait que, comme c'est déjà le cas aux ÉtatsUnis, les industriels des systèmes RFID entament, en France, une campagne pour l'insertion d'implants RFID sous la peau d'êtres humains. De tels implants ne sont en effet plus du domaine de la science-fiction, et si la plupart d'entre eux sont encore réservés à des usages ludiques et tout à fait volontaires ~\ leurs promoteurs souhaitent les voir se multiplier dans les domaines ., . 41 d e Ia secutlte et d e Ia geo notamment. 42 ' ' Ioca lisahon d es personnes,

37

Avis du Comité de la prévention et de la précaution (CPP) ; « Nanotechnologies, nanofsarticules ; _quels.danger~ ? qu~ls risques? ». , . . . _ \gence trançalse de secun!e samta1re de I en\'lrOnnel11Cnt et du Ira\,;l11. 39 Règlement (CE) n° 1907/2006 du Parlement européen et du Conseil du 18 décembre 2006 concernant f'enregistrement, l'évaluation et l'autorisation des substances chimiques, ainsi que les restrictions applicables à ces substances (REACH), instituant une agence européenne des produits chimiques, modifiant la directive 1999/45/ CE et abrogeant le règlement (CEE) n° 793/93 du Conseil et le règlement (CE) n° 1488/94 de la Commission ainsi que la directive 76/769/CEE du Conseir et les directives 91/155/CEE, 93/67/CEE, 93/105/CE et 2000/21/CE de la Commission,JOCE, L136, 50e année, 29 mai 2007. 40 Le Baja Beach Club, une boîte de nuit située à Barcelone, utilise ainsi ce genre d'implants pour identifier ses clients VIP, qui utilisent en retour le RFID comme un moyen de paiement. 41 La ville de Mexico a implanté 170 de ces tags RFID sur ses officiers de police afin de contrôler l'accès aux bases de données et aussi dans le but de mettre en œuvre des moyens de localisation en cas de kidnapping. 42 À ce sujet, lire Anne-Sophie Ginon et Thierry de Rochegonde, « Des peurs sans objet; lecture critique de l'avis du Groupe européen d'éthique sur les implants TIC dans le corps 39


Concernant le support technologique des RFID, on vient de le voir, de nombreuses questions restent ouvertes qui, en l'état des recherches actuelles, relèvent du domaine du principe de précaution. L'ouverture de nouvelles bandes de fréquences UHF aux systèmes RFID ne résout qu'une partie des problèmes. On peut, à cet égard, se demander si cet élargissement des fréquences disponibles pour la RFID, tant souhaité par les industriels, intervient réellement à propos, au regard des incertitudes qui pèsent encore sur la technologie en cause.

II - Le contenu informationnel des RFID D'autres aspects des systèmes RFID font l'objet, depuis quelques années, d'une intense activité de normalisation, cette fois plus privée. Il s'agit de déterminer quel sera le contenu informationnel des étiquettes, autrement dit de déterminer comment ces dernières seront codées en rapport avec les produits ou les personnes sur lesquels elles seront apposées ou dans lesquels elles seront insérées. Il va de soi, en effet, que l'apposition d'étiquettes RFID et leur lecture n'a aucun sens si leur contenu ne renvoie pas à une base de données répertoriant les biens ou personnes étiquetés 43. Au sujet du contenu informationnel des systèmes RFID, deux grandes sources de préoccupations peuvent être recensées. La première concerne la destination du système et, conséquemment, la sécurité des contenus informationnels dont ce dernier est porteur (A). La seconde concerne, de manière plus globale, les destinataires réels des contenus échangés, autrement dit les propriétaires réels de l'information contenue dans les systèmes en cause, dont nous verrons qu'ils peuvent être très éloignés de leurs utilisateurs immédiats (B). A - La destination du {YstèmeRFID Les systèmes RFID peuvent être destinés soit à l'identification, soit à l'authentification des personnes ou des biens. Ces deux termes sont entendus ici dans leur sens informatique, qui se distingue assez nettement de leur

humain », Cahiers Droit, sciences et technologies, n° 1, dossier logies », CNRS éditions, 2008. 43

thématique

La question de savoir comment les ondes électromagnétiques

et son lecteur sont transformées fera pas l'objet de développements

en données ici.

numériques

40

« Droit

et nanotechno-

échangées entre l'étiquette

est, elle aussi, centrale,

mais ne

Ubuquitouscomputinget Droit. L'exemple de la radio-identification

signification pour des juristes, comme l'a démontré l'étude Asphales 44 au sujet de la preuve électronique notamment. Dans le premier cas, le système RFID va avoir pour objet d'identifier une personne ou un objet sans que son identité n'ait réellement besoin d'être prouvée, au sens large du terme. Ce sera le cas dans la majorité des hypothèses d'application de cette technologie, qui concernent la logistique, la gestion des stocks ou encore le tri sélectif. Dans toutes ces hypothèses, la sécurité du système peut être assurée de manière très relative. En conséquence, l'emploi de tags d'un coût assez peu élevé est tout à fait envisageable. Néanmoins, toute considération de sécurité n'est pas exclue dans de telles configurations. En effet, imaginons, par exemple, un supermarché entièrement équipé d'un système RFID, dans lequel chaque produit porte une étiquette, laquelle, lue par le système lors de la sortie du client, va automatiquement, c'est-à-dire sans passage en caisse, permettre la facturation, voire le prélèvement immédiat du montant des achats sur le compte en banque de ce dernier 45. On voit immédiatement le profit que pourrait tirer un «pirate» informatique de ce genre de système s'il n'est pas suffisamment sécurisé. Il achète du beurre, change l'étiquette chez lui par une autre étiquette, qu'il a lui-même achetée et modifiée. Il revient ensuite au supermarché et rachète à nouveau le même produit (avec l'étiquette RFID modifiée), qui infectera toute la base de données du magasin, changeant ainsi tous les prix par exemple. Ce scénario a été dévoilé par une équipe de recherche en informatique de l'Université d'Amsterdam 46, qui est parvenue à créer ce genre de virus. Dans le second cas, si le système vise l'authentification, c'est qu'il est destiné à assurer la sécurité. Ce sera le cas lorsque l'étiquette RFID sert de badge d'accès à un immeuble ou à un poste de travail, d'abonnement aux transports publics, de moyen de paiement ou bien est inséré dans un titre d'identité tel qu'un passeport. On imagine aisément les raisons pour lesquelles de tels systèmes doivent impérativement être sécurisés de manière beaucoup plus fiable que les précédents, tant les conséquences d'une attaque 44

Les documents issus des travaux menés dans le cadre de ce programme de recherche de l'ACI sécurité informatique sont déjà en partie disponibles sur le site www.asphales.net. Pour des développements supplémentaires sur la notion d'intégrité, v. les actes des séminaires de recherches de ce programme, in La sécuritéatU0urd'huidans la sociétéde l'information, contributions réunies et coordonnées par S. Lacour, L Harmattan, oct. 2007. 45 Un supermarché de ce type a déjà été installé, à titre expérimental, à Rheinberg en Allemagne, par la chaîne Métro, sous la dénomination « Supermarché du futur ». 46 Le New-York Times a d'ailleurs consacré un article à ces recherches le 15 mars 2006, intitulé « Stutfy S~s Chips in ID TagsAre Vulnerable to Virnses», sous la plume de John Markoff. 41


peuvent être désastreuses pour le porteur de l'étiquette. Néanmoins, de tels systèmes, qui existent déjà à l'heure actuelle 47, font parfois appel à des composants, et notamment à des étiquettes, qui ne permettent pas, comme 48, le développement le démontrent les travaux d'informaticiens d'algorithmes de chiffrement assurant cette sécurité. En ce domaine, les normes manquent encore, qui devraient imposer l'emploi d'étiquettes ayant une capacité suffisante pour supporter ces algorithmes. 49 que présente la technologie RFID lorsPar ailleurs, avertis des risques qu'elle est appliquée à des fonctions d'authentification, certains utilisateurs de systèmes, dont l'État français, préfèrent parfois assortir le chiffrement des données transmises par les tags d'autres verrous de sécurité. Ainsi en est-il, a priori, de notre nouveau passeport électronique. En effet, on peut s'apercevoir, dans l'avis publié par la CNIL au mois de novembre 200550 à son sujet, que de nombreuses barrières ont été prévues pour protéger le contenu de la puce RFID. Selon la CNIL, « les sécurités développées autour de l'accès

aux données

de la puce

sont

les suivantes:

1 ° la lecture

des don-

nées du composant électronique suppose l'ouverture physique du passeport (!otected databases is article 6 and specifically 6.4.5 of the Copyright Directive (Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society, OJ L167/10, 22 une 2001 ("The Copyright Directive")), which relates to the legalprotection ofTPMs, an expressly states that such protection applies to the Database Directive. 6 For more details on how over-protection can arise from the combination of the sui generis right and contract andlor parasitism, see E. Derclaye, The legalprotection of databases:a comparative anaqsis, Cheltenham, Edward Elgar, 2008, Chapters 3 and 4 and E. Derclaye, "Can and shoUld misappropriation also protect databases? A Comparative Approach", in P. Torremans, Research Handbook on Copyright Law, Cheltenham, Edward Elgar, December 2007, p. 83-108.

J

193

La sécurité de l'individu munérisé

to check this assertion is necessary (section I). It is a criterion against which features of the sui generisright can be said to be over- or under-protective and be rectified accordingly. In other words, its purpose is to determine an adequate (level of) database protection. Simultaneously, it informs whether the protection of databases by TPMs and anti-circumvention provisions is over-protective or not. The application of the standard to the suigenerisright itself shows that many of the features of the right are already overprotective per se (section II). The question whether the combination of the sui generisright with TPMs and anti-circumvention provisions reinforce these over-protective features can thereafter be tackled (section VI). Before doing this, a few preliminary issues and the exact scope of the study must be clarified (section III) and an explanation of the nature of TPMs and anticircumvention provisions (section IV) together with a brief overview of the legal protection of TPMs must be given (section V). The article concentrates mainly on EU law and its implementation in France. The analysis will show that TPMs and anti-circumvention provisions confirm and reinforce the over-protective features of the sui generisright and increase the possibility of monopolisation of information. The article proposes remedies to the over-protection and monopolisation arising from the use of TPMs and anticircumvention provisions on databases (section VI). A final but central point must be made. How do the issues in this article relate to the security of data or information 7? The data the article is concerned with is "public data" (i.e. data that can be disclosed to the public as opposed to data confidential by nature) as the Database Directive seems to deal exclusively with publicly disclosed databases (see art. 8, 9, 10 of the said Directive). It makes sense as, in order to recoup their investment, database producers must commercialise their databases i.e. make them public. Generally, personal data will be kept confidential at the request of the individual and be subject to the rules of the Data Privacy Directive 8.No doubt many of the contributions at this conference [in this book] will touch upon the security of this data. On the other hand, "public information" included in databases is also very important to every individual on the planet and has 7 Throughout the article, the terms "data" and "information" will be used interchangeably to mean data comprehensible to man. On the differences of meaning between the terms "data" and "information", see E. Derclaye, "What is a database? A critical analysis of the definition of a database in the European Database Directive and suggestions for an international definition" [2002] 5 JWIP 6, p. 1004-1005. 8 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281,23.11.1995, p. 31-50. 194

Appropriation et eXploitationdes bases de données a strong impact on everyone's personal security. This is because many databases generally contain scientific data e.g. medical discoveries, genomic data informing on diseases and remedies, climate, meteorological and geographical data which inform on our safety on the planet 9. If this information is monopolised, only a few individuals may be able to "save themselves" or worse, it can be kept confidential by companies whose interest is to hide data which could endanger their economic growth or existence (e.g. oil companies wishing to resist the move towards other greener sources of energy). In addition, as the information is held only by one source, it can be either lost or manipulated. It is the security not only of individuals but of the data itself which is then at risk. It now becomes clear that the possibility that the sui generis right in combination with TPMs and anti-circumvention provisions has to monopolise such information is a great source of concern.

I - Criterion establishing an adequate database protection In order to determine whether the sui generisright itself and in combination with TPMs and anti-circumvention provisions over-protects database producers' investment, a yardstick needs to emerge. It would be too long to detail the complete argumentation that leads to the discovery of the standard here but the reader is referred to it elsewhere 10.For the purposes of this article, a summary of such argumentation is sufficient. Accordingly, it is appropriate to refer to copyright when trying to determine such standard because the suigenerisright is akin to copyright and related rights. This involves analysing the justifications for having copyright and the interests protected by copyright law as they can help in the determination of this yardstick. Indeed, those justifications and interests shape the checks and balances that exist within copyright law. A review of the justifications (naturalist, utilitarian, economic and based on human rights) and of the interests protected in copyright law (those of the authors, publishers and of the public) shows that the most precise criterion to determine an adequate copyright protection is to be based on a combination of the economic and the human rights justifications and of the interests protected by copyright law 11.This is because they do not focus on one right (e.g. copyright) but on the economic rationale for protecting information in general 9 Police and defence data should on the other hand certainly remain confidential levant state bodies for evident state security purposes. 10 See E. Derclaye, supra fn. 6, Chapter 1, Introduction and authors cited. 11 For detailed developments on this issue, see ibid., Chapter 1, Section 1.

195

to the re-


on the one hand, on all relevant human rights on the other (i.e. the right to the protection of property (this includes intellectual property rights), the right to freedom of expression and the right to the respect of privacy) and all the interests at stake in copyright law. They take into account the broader picture and can address the accumulation of different protections on one subject-matter (e.g. the protection of works by copyright, contract, parasitism, TPMs and anti-circumvention provisions). This combined framework or criterion can be extrapolated to the protection of investment in databases because the rationale of the two protections is the same: promoting and protecting an investment in producing some sort of information (the difference between the two being that copyright protects structure and the sui generisright, contents). Therefore, at least the copyright balance must also be respected by the sui generisright and similar additional protections. This criterion provides general principles of protection and limits to the protection of databases. According to this criterion, databases should not be protected by similar protections (such as TPMs and anti-circumvention provisions) over and above the limits of the sui generis right (as modified to respect the criterion 1~. Indeed, such overriding of the sui generis right's limits would go against the economics of information goods, the public's right to information and the public interest. For instance, if a TPM can override the sui generisright's exceptions protecting e.g. the right to information, this value is a dead letter. Over-protection by accumulation of protections (by combining the protection of the sui generisright with parasitism, contract, TPMs and/or anticircumvention provisions) can occur in three ways. As this article is concerned only with the accumulation of the sui generisright with TPMs and anticircumvention provisions, examples of these three types of over-protection will therefore be given only in respect of TPMs and anti-circumvention provisions. First, over-protection can occur simultaneously. A database is protected by the sui generis right and by TPMs and/or anti-circumvention provisions. Second, over-protection can also occur "negatively". For instance, sui generisprotection is not available because the database has not required a substantial investment. But the protection of the database by TPMs and/ or anti-circumvention provisions leads to over-protection simply because it does not deserve protection in view of the economic rationale and unduly restricts the right to information and the public interest. Creations which have not required investment should not be protected by intellectual 12

See ibid., chapter 10 for remedies to the over-protective 196

features of the suigenerisright.

Appropriation

et exploitation des bases de données

property or similar protections. This gives protection for no reason. There is no investment so no market failure to correct. Finally, over-protection can happen aposteriori.This happens when a database once protected by the sui generisright is later protected by TPMs and/or anti-circumvention provisions. This latter point is linked with the limitation of protection in time. Despite all the above mentioned similarities between the sui genens right and copyright, one major point differentiates them. Contrary to what may occur when database contents are protected, copyright does not grant protection on information itself and therefore no monopoly can arise on it. That said, copyright grants a monopoly on the expression of information. Thus, normally all copyright markets should be monopolistically competitive. However, reality shows that not all copyright markets have a similar structure. Some are quasi-monopolistic (operating systems), oligopolistic (recorded music) or competitive (e.g. pornographic movies, some computer programs, landscape paintings, romance novels) 13.However, for the purpose of the demonstration in this article, when comparisons are made between copyright and database protection, the copyright model referred to will be that of monopolistic competition. The several market structures existing in the field of copyright should nevertheless not be forgotten as database markets may sometimes present similar structures because database producers may collude. This simply means that the less competitive a market is, the more likely a copyright work or database will be over-protected because the copyright holder or the database producer has this power (unless the law prevents them expressly from doing so). Accordingly, the following consequences can be drawn in relation to the criterion to be followed in this article. As database protection may in some cases grant a monopoly on information itself, the economics of copyright can therefore not be applied en blocto investment in database creation. A more refmed analysis needs to be made. Under the economic analysis of copyright, ideas must not be monopolised because it reduces social welfare 14. By analogy, it can be safely said that granting a monopoly on facts or information also reduces social welfare. Sole source information like ideas exist in only one exemplary: if a piece of information is created, it is unique to its creator, like an idea created by an individual. However, there is a tension between market failure and welfare 13 This may be why market structure was not an aspect discussed by W. Landes & R. Posner, "An economic .analysis of , in M Featherstone, R. Burrows (eds , Çyberspace/ Çyberbodies/ Çyberpunk, Sage, 1995, 175-189 ;Jean-François Blanchette, Debora ~ G. Johnson, « Data Retention and the Panoptic Society: The Social Benefits of Forgetfulness », The Information SocietY,2002, 18(33), 45. 250

Réinventer l'art d'oublier et de se faire oublier dans la société de l'information?

d'identifier et de caractériser certains enjeux sous-jacents à la multiplicité d'enregistrements en tous genres auxquels l'existence individuelle quotidienne, de la vie publique aux expériences les plus intimes ou privées, ne sembleplus pouvoir, ni, dans une certaine mesure, vouloir, échapper. L'évaluation que nous voulons tenter portera sur les facteurs non seulement technologiques mais également sociopolitiques d'un tel changement. Nous voulons pour ce faire nous démarquer du déterminisme technologique trop prégnant à l'heure actuelle dans le champ du droit et qui n'envisage souvent, comme cause unique et déterminante des défis nouveaux, que le progrès technologique interprété pour l'occasion comme origine autonome des menaces pour la dignité, l'autonomie et l'égalité des personnes 3, ignorant du même coup la relation de coproduction, ou de renforcement mutuel, existant nécessairement entre processus technologiques, et sociopolitiques 4. Notre propos consistera ensuite à observer les enjeux de l'accroissement de la « mémoire digitale », à travers la problématique de la « subjectivation c'est-à-dire la façon suivant laquelle nous devenons des « sujets» dans un univers d'« objets communicants» - ainsi que les ramifications juridiques et politiques de la nouvelle mécanique de la mémoire et de l'oubli. Il importera de clairement distinguer la mémoire autobiographique des individus et la mémoire numérique, dans la mesure où, nous semble-t-il, la « face objectale» de la mémoire numérique, de par sa construction « hétéronome» (du 5. point de vue du sujet), pose des questions inédites Ce qu'il nous intéresse d'explorer à travers une réflexion sur le « droit à l'oubli» dans la société de l'information, c'est la manière dont les nouvelles technologies - et les formes inédites de production du savoir et de constitution de la mémoire qui les accompagnent - instigatrices de changements culturels, transforment les processus de « subjectivation » ou de développe-

3

La perception réductionniste des transformations sociales résultant du postulat que cellesci ont pour source privilégiée les développements scientifiques a ceci de paradoxal qu'alors qu'elle surévalue le pouvotr de transformation sociale des technologies pour le pire, elle reste souvent aveugle par principe à ce que les nouvelles technologies ont à offrn en termes d'émancipation et d'experimentation de nouveaux modes de vie et d'interactions. 4 Cette relation de co-production a été mise en lumière notamment par Sheila ]asanof, Bruno Latour, Isabelle Stenghers et bien d'autres. 5 « La question est osée dans sa radicalité dès l'investigation de la face objectale de la mémoire: qu'en est-" de l'énigme de l'image, d'une eikôn - pour parler grec avec Platon et Aristote - qui se donne comme présence d'une chose absente marquée du sceau de l'antérieur? », Paul Ricœur, La Mémoire, l'histoire,l'oubli, Paris, Ed. du Seuil, septembre 2000, 672 pages.

/

251


ment par l'individu d'une personnalité qui lui soit propre 6. L'enjeu de ce détour, plus philosophique que juridique, est fondamental pour le droit: puisque l'autodétermination, ou le libre développement de la personnalité se trouvent être les concepts-clés des régimes de protection de la vie privée et dans la société de de protection des données 7, il s'agit de repenser, l'information, comment le « sujet» ou le « soi» se constitue dans le temps 8, peut « s'autodéterminer» à travers, ou malgré la persistance, sous forme digitalisée, de traces de ses moindres faits, gestes, émotions, choix... et l'intensification du contrôle, de la surveillance, du profIlage et de la banalisation des pratiques individuelles spontanées peu compatibles avec la préservation par l'individu de sa propre vie privée. Nous voulons soutenir que l'une des conditions nécessaires à l'épanouissement de l'autonomie individuelle est, pour l'individu, la possibilité d'envisager son existence non pas comme la confirmation ou la répétition de ses propres traces, mais comme la possibilité de changer de route, d'explorer des modes de vie et façons d'être nouveaux, en un mot, d'aller là où on ne l'attend pas. C'est bien ce « droit à une seconde chance », la possibilité de recommencer à zéro (que consacre déjà le droit à l'oubli lorsqu'il impose par exemple l'effacement des mentions de condamnations pénales, après un certain temps, du casier judiciaire) qu'il importe de restaurer ou de préserver, non seulement pour les personnes ayant purgé une peine criminelle, mais pour l'ensemble de la population dès lors qu'augmente la capacité de mémoire digitale. « C'est dans les dossiers des archives de la police que 6 « (...) pour rendre compte de cette articulation entre les soubresauts politiq1Jes gigantesques qill existent aujourd'hui dans le monde et les révolutions technoscientifiques, il faut essayer de cerner de plus près en quoi les technologies informatiques et de la commande ne sont pas uniquement de l'ordre des techni-sciences mais intçrvtennent en tant que telles dans 1a production de subjectivité individuelle et collective. A cette condition, on pourra rendre compte d'interactions, de relations, de r:P.tures événementielles qui, autrement, apparaissent comme tout à fait déconcertantes. » (Félix Guattari, entretien entre Félix Guattari et Jacques Robin, «Révolution informationnelle, écologie et recomposition subjective », MultItudes web, 12 mars 2007). 7 À ce sujet, nos réflexions dans Antoinette Rouvroy et Yves Poullet, « The right to informational self-determination and the value of self-development. Reassessing the importance of privacy for democracy», in Reinventing Data.Protection ?, proceedings of the International Conference held in Brussels, 12-13 October 2007, Springer (à paraitre). 8 En conclusion d'un précédent travail, nous suggérions ceci: « ln a post-conventional configuration, one woUld have to define human beings as necessarily marked by difference, never completely contained in themselves, never complete in the present, but always over time. Normative consequences derive from that conception of the self: rights should not merely be allocated with the aim of maximizing agency or welfare in the present, rights should also be conceived as guarantees against the complete condensation or swallowing of the self by 'presence' - what is thereand what is now. » (Antoinette Rouvroy, Human Genes and NeoliberalGovernance.A FoucauldianCritique, New York & Abingdon, 2008, p. 257). 252


se trouve notre seule immortalité », écrivait Milan Kundera dans Le livre du rireet del'oubli9. Une immortalité que la notion d'« individu numérisé» paraît étendre, bien au-delà des archives de la police. Nos 'corps digitaux' portent des stigmates qui sont peut-être plus difficiles à effacer que la boue ou le péché - les marques d'anciens retards de paiements ou d'infractions de la circulation passées. Ils nous poursuivent, nous trahissent alors que nous tentons d'obtenir des emprunts hypothécaires ou des visas. Mais ils sont aussi manipulés par nous, ignorants qu'ils sont de nos transactions en liquide ou de nos nouveaux tatouages 10. 1- L'hypothèse d'une inversion l'oubli se justifie-t-elle ?

de paradigme

de la mémoire

et de

La diminution des coûts et l'augmentation des capacités de stockage d'information sous forme digitale sont principalement évoquées pour suggérer qu'alors qu'il devient de fait moins coûteux de la conserver que de l'effacer, par défaut, toute information digitalisée est « naturellement» stockée quelque part. L'argument se vérifie dans les pratiques individuelles de chacun d'entre nous, pour qui il est devenu de fait moins coûteux et moins fatigant de conserver que de trier et d'éliminer une partie des documents digitaux (textes, images, sons) de plus en plus nombreux que nous produisons, utilisons ou recevons chaque jour. Ne nous est-il pas, en effet, devenu « naturel» de vivre entourés, pour ainsi dire, d'un nuage d'informations digitales facilement mobilisables à tout moment, stockées à portée de main et accessibles à partir des nombreux terminaux de moins en moins encombrants et de plus en plus mobiles, que nous consultons de notre domicile ou de notre lieu de travail, ou que nous transportons dans nos poches? Parallèlement à l'augmentation des capacités de stockage digital, la banalisation des pratiques de surveillance, de 'monitoring', de profilage des individus par les bureaucraties tant privées que publiques, caractérise le régime de capitalisme informationnelll que nous connaissons. C'est que les techno9 Gallimard, 1987. 10 « Our 'data bodies' carry stains that are perhaps harder to clean than mud or sin - the marks of past late payments or motoring offences. They pursue us, confronting us as we apply for mortgages or visas, but they are also manipulated by us, ignorant as they are of our cash transactions or new tattoo.» (John E. McGrath, Loving B{g Brother. PeifOrmance,Privaryand SuroeillanceSpace, Routledge, 2004, p. 159). II « What is distinctive about informational capitalism is that personal information has become the basic fuel on which modern business and government run and (h') the systematic accumulation, warehousing, processing, analysis, targeting, matching, manipulation and use of personal information is producing new forms of government and business (...).» ( Perri6, The Future ofPrivary, London, Demos, 1988, pp. 14-15). 253


logies de l'information, de la communication et de la réseautique ne se sont pas développées dans le « vide» : elles doivent leur essor, au moins en partie, à la préexistence sinon d'une demande sociale, du moins d'un terrain culturel, social, économique, favorable à leur déploiement 12.Le phénomène exponentiel de rétention de l'information, comme phénomène technologique, économique et culturel, renforce et résulte en partie d'un ensemble de présomptions relativement indiscutées qui caractérisent le mode de gouvernance néolibéral actuellement dominant. L'une de ces présomptions fait de l'acquisition, de la conservation et du traitement d'informations à caractère personnel relatives aux individus le moyen le plus efficace pour réduire l'incertitude dans le champ de la sécurité 13, de la gestion gouvernementale, du marketing et une condition indispensable pour réduire les risques et maximiser les profits. Les entreprises privées ne sont pas en reste, qui, comme Google, conservent les requêtes introduites dans les moteurs de recherche sur Internet 14, pratique que le groupe de travail européen « Article 29 » sur la protection des données à caractère personnel souhaite voir strictement limitée 15. L'information personnelle digitalisée, perçue comme une « ressource» fondamentale au même titre que l'énergie, et comme un « bien» marchand, doit sa «valeur» au privilège définitionnel et prédictif des identités, comportements, préférences et risques individuels qui lui est systématiquement attribué (Plutôt qu'aux variables structurelles ou contextuelles socio-économiques et environnementales). Rares sont les bureaucraties privées ou publiques qui se passent du traitement automatisé de don12

On pourrait à cet égard reprendre, en l'adaptant au contexte des technologies de l'information et des communications, l'idée de « coproduction» sociale et technique développée par Sheila Jasanoff dans le contexte des biotechnologies. (Sheila Jasanoff, States oj Knowledge: The Co-Production of Scienceand Social Ortkr, Routledge (International Library of Sociology),2004). 13 Ainsi, la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, impose aux fournisseurs de ces services de conserver, pour une durée de six mois à deux ans, les 'données de connexion' des utilisateurs permettant d'identifier ces derniers, les dates, horaires et durées de chaque communication, et permettant d'identifier les destinataires des communications. 14 Lire à cet égard Omer Tene. 2008. « What Google Knows: Privacy and Internet Search Engines», ExpressO Available at: http://works.bepress.com/omectene/2. 15 L'opinion récente du Groupe de travail « article 29» sur la protection des données à caractère personnel précise que la directive européenne 2006/24/CE ne s'applique pas aux opérateurs de moteurs de recherche (Article 29 Data Protection Working Party, « Opinion on data protection issues related to search engines», April 4, 2008). Lire aussi la lettre adressée par le Groupe de travail « article 29 » à Mr. Fleischer, conseiller juridique de Google en matière de vie privée, le 16 avril 2007, relativement à la politique de Google en matière de protection de la vie privée. http://epic.org/privacy/ftc/googIe/art29_0507.pdf. 254


nées personnelles à des ftns statistiques et/ou de proftlage des consommateurs ou consommateurs potentiels et des administrés. La surveillance, dont témoigne l'invasion des espaces tant privés que publics par les caméras de vidéo surveillance 16, et le recueil d'informations personnelles apparaissent par défaut comme dictés par les objectifs indiscutables de prévention de l'insécurité, de rationalisation des services publics, de maximisation de l'efftcacité et du proftt des entreprises, et même de convivialité lorsque les opérateurs de 'réseaux sociaux' tels que Facebook conservent les profùs des utilisateurs, même après désactivation des comptes de ces derniers, qui n'ont par ailleurs pas la possibilité de maîtriser la trajectoire des contenus qu'ils 'postent'. Enftn, à côté des pratiques individuelles et bureaucratiques de collecte et de conservation d'informations en tous genres, nous assistons aussi à la banalisation de l'enregistrement volontaire et de l'exposition publique de leur existence personnelle par les individus eux-mêmes notamment à travers les 'réseaux sociaux' tels que Facebook. «La confession publique de ses secrets intimes dans un show télévisé est devenue la vérité dernière du retrait dans la sphère privée », au point que « L'ultime résultat de la subjectivation mondialisée n'est pas la disparition de la réalité objective mais la disparition de la subjectivité elle-même », écrit Slavoj Zizek, dans Bienvenue dans le désert du réel17. Dans le domaine du droit, le phénomène se traduit par l'intensiftcation de l'incertitude conceptuelle dont souffrent les notions de protection de la vie privée et des données à caractère personnel, de plus en plus solennelle16

À propos du déploiement de la vidéosurveillance en Europe, lire le rapport final du projet de recherche européen UrbanEye (Septembre 2001-Févner 2004), Leon Hempel, Eric Tôpger, « On the Threshold to Urban Panopticon? Analysing the Employment of CCTV in European Cities and Assessing its Social and Political Impacts », 2004, http://www.urbaneye.net/results/ ue_ wp 15.pdf. Lire également Norris c., McCahill M., Wood D., 2004, « The Politics of CCTV in Europe and Beyond », Surveillanceand society,vol. 2, n° 2-3, 2004. At : http://www.surveillance-andsociety.org/cctv.htm; Pieter Kfeve, Richard V. De Mulder, Kees van Noortwijk, « Surveillance technology and law: the social impact », Int. J. Interculturall1iformation Management, 2007, Vol. 1, no. 1, pp. 2-16. 17 Slavoj Zizek, Bienvenuedans le désertdu réel,trad. François Théron, Champs Flammarion, 2007, p. 130. L'interprétation opposée, proposée par Hille Koskela, est que l'exposition publique de la vie privée peut dans une certaine mesure constituer un « empowering exhibitionism », par lequel les individus, devenant les sujets actifs de la production d'images, subvertissent les codes conventionnels qui régissent la délimitation du « montrable» et de ce 9.ui doit « rester caché », et ainsi exposent les tensions culturelles relatives aux conceptions epistémologiques de la vision, des genres, des identités, et de la moralité, dans une contestation du rapport traditionnel entre visibilité ou transparence d'une part, et pouvoir ou contrôle d'autre part. Loin de désubjectiver l'individu, l'exposition volontaire de sa vie privée lui permettrait de se réapproprier les normes présidant à sa subjectivation. Lire Hille Koskela, « Webcams, TV Shows and Mobile Phones: Empowering Exhibitionism », Surveillanceand SocietY,CCTV Special (eds. Norris, McCahill and Wood), 2004, 2 (2/3), 199-215. 255


18 alors même que leur signification concrèment protégées dans les textes 19 te et leur mise en œuvre effective s'avèrent plus que jamais compromises. La banalisation des pratiques de surveillance et d'auto surveillance, l'intensification des phénomènes de « profilage» et le déploiement de tech20 tendent à rendre obsolènologies de type « environnements intelligents» tes les régimes de protection des données à caractère personnel, et érodent la sensibilité du public aux menaces que font peser, sur l'existence même de leur vie privée, les pratiques des bureaucraties publiques et privées gourmandes d'informations à caractère personnel. De fait seule une minorité de la population paraît préoccupée par la montée de la « société de surveillance» justifiée a priori par les logiques absolues de sécurité, d'efficacité, de confort et d'interaction. Mais au-delà d'une soumission passive aux idéologies dominantes, peutêtre faudrait-il voir, dans cet « amour pour Big Brother» 21, l'un des premiers indices d'une transformation anthropologique significative, préfigurée par les opérations de « life-logging », consistant en l'enregistrement automatique, à l'initiative d'un individu, de l'intégralité de ses expériences quotidiennes au moyen de dispositifs technologiques combinant caméras, capteurs divers et systèmes informatiques, et permettant l'avènement d'une 22 reliant des « auto surveillance » radicale. La récente invention de Microsoft capteurs physiologiques et/ou environnementaux voués à enregistrer notamment le rythme cardiaque, la transpiration, les signaux électriques émis par le cerveau, le rythme respiratoire, la température corporelle, les expressions faciales et la pression sanguine des employés, de manière à permettre à 18 En témoigne notamment la consécration du droit à la protection des données à caractère personnel comme droit à valeur « quasi-constitutionnelle» dans un article spécifique (article B) de la Charte européenne des dro1ts fondamentaux. 19 « In today's Web 2.0 world where many people instantly share very private aspects of their lives, one can hardly imagine a privacy concept more foreign than the right to be let alone» (Andrew B. Serwin, « Privacy 3.0 - The Principle of Proportionality », disponible sur SSRN : http://ssrn.com/abstract=lOS9513). 20 Sur les défis spécifiques que t'osent les « environnements intelligents» pour la protection de la vie privée et des donnees a caractère personnel, voir notre étude, Antoinette Rouvray, « Privacy, Data Protection, and the Unprecedented Challenges of Ambient Intelligence », Studies in Ethics, Law, and Technology (Berkeley electronicpress), 200S, vol. 2, Iss. 1. http://www.bepress.com/selt/vol2/iss1 1art3. 21 John E. McGrath, Loving Big Brother. Peiformance,Privary and SU17Jeiffance Space, Routledge, 2004. 22 Pour une description du dispositif « Monitoring Group Activities» en question, se reporter à la description de l'invention sous-tendant la demande de brevet: http://

appftLuspto.gov

1netacgil

nph- Parser?Sect1

=PT01&Sect2= HITOFF&d

= PG01 &p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.html&r=

007030017

4%22.PGNR.&OS=

DN 12007030017

256

1&f=G&l=50&s

4&RS= DN 120070300174.

1=%222


l'employeur d'évaluer les niveaux de stress, de performance, de contentement au travail ou de frustration des employés paraît annonciatrice d'une intensification de la «visibilité» et de l'enregistrement de « faits» relatifs aux individus, construits sur base d'informations a Priori triviales, et dont les individus eux-mêmes n'ont pas même conscience le plus souvent mais auxquelles l'intermédiation technologique confère intelligibilité et sens en fonction des attentes spécifiques d'un « contrôleur ». Si la traduction systématique du monde physique et de ses habitants en données digitales s'accompagne de vulnérabilités nouvelles de l'individu, celles-ci peuvent, nous semble-t-il, s'analyser comme résultant de la convergence de deux phénomènes. Le premier est la perte de contrôle, par l'individu, de la trajectoire et des codes d'intelligibilité (de l'interprétation qui sera faite) des 'traces' qu'il émet dès lors que ces dernières sont potentiellement disséminées, conservées et interprétées hors du contexte social et temporel initial où elles ont été 'produites'. Autrement dit, il s'agit de l'absence de pouvoir de l'individu sur les agencements, l'intelligibilité et la circulation de ses données à la fois dans l'espace et dans le temps. Le second phénomène consiste dans l'intensification du «contrôle à distance» que permettent les nouveaux dispositifs informationnels.

2 - Nouvelles vulnérabilités: profilage et contrôle à distance 2.1 - Spécificités qualitatives de la (( mémoire digitale ))

À côté des enjeux liés à l'augmentation quantitative de la mémoire digitale, ce sont donc aussi de certains de ses aspects qualitatifs qu'il convient de nous inquiéter. Faute de recul temporel, il nous est malaisé d'identifier et de prendre la mesure de ce qui se joue dans l'intermédiation technique à travers laquelle se «construit» la «mémoire digitale». Qu'advient-il de la « mémoire» lorsqu'au lieu de résulter du processus «naturel» par lequel l'homme se souvient, elle résulte plutôt d'une construction - ou agencement de données d'origines disparates - manipulable et médiatisable ? Alors que, a priori, la mémoire humaine paraît faillible mais authentique 23,la mémoire digitale, elle, paraît artificielle et manipulée, mais, assez paradoxalement, plus fiable que la mémoire humaine. Il nous faut en tout cas noter que la « mémoire digitale », à la différence de la « mémoire incarnée» dans les individus ou les collectivités, est une mémoire éminemment mobile, se réor23

Il convient toutefois de tenir compte des usages stratégiques qui sont parfois faits de la

mé~oire humaine et, en particulier, ae la mém01re collective, à des fins politiques ou géopolitiques. 257


ganisant constamment « en temps réel», répondant principalement aux impératifs de pertinence et de vitesse alors que deviennent inopérants les critères de vérité, d'objectivité, de diversité, de critique, et de 'profondeur historique' propres à l'évaluation de la mémoire humaine. Plutôt que de refléter passivement le « réel» tel qu'il s'est produit dans le passé, la mémoire digitale, résultant de l'intermédiation technologique, reconstruit inévitablement nos perceptions de la causalité liant les phénomènes que nous observons, de l'agencivité des acteurs, de la valeur explicative de tel ou tel facteur. En d'autres termes, la mémoire digitale construit une forme de «savoir», qui concerne notamment les individus, suivant des algorithmes qui, pour une large part, échappent à leur contrôle et qui, répondant aux besoins bureaucratiques spécifiques du contrôleur des traitements de données, répercutent et amplifient plus qu'ils ne transforment les normes d'intelligibilité et de reconnaissance socialement instituées 24. Il est donc illusoire de croire en la séparation des espaces virtuels et de l'espace « réel» ou plutôt « matériel» dans lequel nous habitons. S'il y a bien « déterritorialisation » et « décontextualisation » des interactions et des rapports interindividuels dans la société de l'information, nous assistons aussi actuellement, à la faveur de l'implantation de dispositifs informationnels dans un nombre et une variété de lieux de plus en plus importants, et d'un 25 retour aux idéologies de référence et aux logiques dominantes, à un processus de « reterritorialisation » radicale. Si bien sÛt la personne humaine reste irréductible aux « profils» qui « filtrent» en quelque sorte son identité, le phénomène du profùage, basé sur le recueil et l'agencement d'informations parfois signifiantes mais souvent triviales par elles-mêmes confère, à distance géographique et temporelle - à des informations personnelles qui peuvent être totalement insignifiantes pour la personne elle-même, un sens particulier auquel sont attachées des conséquences qui, elles, peuvent être rien moins que triviales. L'individu numérisé n'est pas le résultat d'une construction autonome de la personne, mais résulte, en partie du moins, des algorithmes de classification à l'œuvre dans la construction des profils. Il s'agit en cela d'une constmc/ion d'identité hétéronome.

24

Et dont le caractère « socialement institué» et la contingence

dents. 25

.

.

F e' lix G uattan,op.Cl!. 258

n'apparaissent

plus évi-


2.2 - Contrôle à distance et cotiformisme anticipatif Le développement et le déploiement en réseau de la « mémoire digitale» s'accompagnent d'une intensification des phénomènes de « contrôle à distance». En lieu et place du type de contrôle facilement identifiable par les individus dans les sociétés traditionnelles, se mettent en place des nouvelles instances de contrôle et de surveillance publiques ou privées largement invisibles et donc difficiles à contester pour les individus. Ces nouvelles instances de contrôle et de surveillance se présentent de manière dépersonnalisée et fonctionnent sur la base de savoirs créés notamment par la combinaison des 'traces' laissées par les utilisateurs d'Internet, et objectivées sans contact direct avec l'individu (ex. : le screening des mails sur base de mots-clés, la constitution de profùs à partir des sites visités). Cette décontextualisation du contrôle et de la surveillance s'opérant en fonction de « normes abstraites» (telle personne correspond-elle a priori à tel profù ?) peut faire craindre qu'à défaut de correspondre aux profùs optimums, certains individus se voient discriminés dans l'accès à certains biens et/ou services et opportunités. La distance ainsi creusée entre contrôleurs et contrôlés a deux conséquences : la première est que les individus ne « voyant» pas ceux qui les observent conservent peut-être un peu naïvement l'impression de n'être pas vus dans toute une série de circonstances quotidiennes où ils se croient à l'abri des regards. Il s'en suit que le critère fondé sur l'existence d'« expectations of privacy» des individus, tel qu'utilisé dans certains arrêts de la Cour suprême américaine, n'a plus qu'un très faible effet protecteur pour la vie privée des individus. Les protections de la vie privée doivent donc être redéfmies face à un contrôle plus difficile à cerner et dont l'enjeu est plus lointain même s'il est plus fondamental dans la mesure où il peut influencer notamment les perspectives socio-économiques des personnes ainsi que leur capacité à exercer effectivement leurs droits et liberté fondamentaux. Une seconde conséquence du «contrôle à distance» est que dans la mesure (encore faible dans le contexte du cyberespace mais beaucoup plus importante si l'on considère les modes de surveillance à distance mis en place dans l'espace public (vidéo surveillance) ou sur les lieux de travail), où les individus se savent surveillés, pistés, observés, et, en conséquence catégorisés et en quelque sorte «jugés hors contexte» sans avoir l'occasion de contrôler la signification que le dispositif de surveillance dérive de leurs faits et gestes; le fait pour eux d'être exposés aux réactions quasi automatiques du dispositif de surveillance s'ils adoptent, ne fût-ce qu'involontairement, des comportements traités comme « non conformes» ou simplement 259


« inhabituels », peut induire un phénomène de «conformisme anticipatif» (anticipative coiformiry 2~ dans la population soucieuse d'éviter toute « friction» avec le système de surveillance, de contrôle ou d'observation. L'on retrouve ici assez précisément la figure du Panoptique, rendue célèbre par Michel Foucault, comme dispositif qui « autonomise et désindividualise le pouvoir », faisant que « celui qui est soumis à un champ de visibilité, et qui le sait, reprend à son compte les contraintes du pouvoir; il les fait jouer spontanément sur lui-même; il inscrit en soi le rapport de pouvoir dans lequel il joue simultanément les deux rôles; il devient le principe de son pro27 pre assujettissement. » Le conformisme anticipatif signe la mutation dans les modes d'exercice du pouvoir déjà annoncée par Foucault: un pouvoir fonctionnant de plus en plus à la technique, à la normalisation et au contrôle plutôt qu'au droit, aux lois et à la répression 28. Le conformisme anticipatif est de fait un mécanisme de disciplinarisation des individus particulièrement efficace et économique puisqu'il fonctionne à l'autocensure ou à l'auto surveillance par les citoyens eux-mêmes soucieux d'éviter d'être découverts et exposés par le système. Comme l'expliquait De29 : leuze « Le propre des normes modernes, et c'est ce qui caractérise le passage progressif de la société disciplinaire décrite par Michel Foucault et qui impliquait nécessairement l'existence d'une série de lieux d'« enfermement» (l'asile, l'hôpital, l'usine, l'école, la prison,...) à la société de contrôle qui peut se passer, dans une mesure croissante, de la contrainte physique et de la surveillance directe, est que ce sont les individus qui doivent s'imposer euxmêmes non seulement le respect mais l'adhésion aux normes, les intégrer dans leur biographie, par leurs propres actions et réitérations. Le pouvoir prend, dans la société moderne, la forme d'offres de services ou d'actions incitatives bien plus que de contrainte. » Lorsque les contrôleurs sont non seulement distants dans l'espace, mais également dans le temps, par l'effet de la conservation des informations sur une très longue période, et de leur « mobilisabilité» optimale, à tout moment, que rendent possibles les nouvelles technologies de l'information, de

26

Voir Shoshana Zuboff, In the age of the sman machine: thefuture of work and power, Basic, 1998 ; Lyon D., « An electronic Panopticon ? A sociological critique of the surveillance society », SociologicalReview, 1993,41(4),653-678. 27 Michel Foucault, Suroeilleret Punir, , Gallimard, 1975, p. 204. 28 Michel Foucault, Suroeilleretpunir, Gallimard, 1975, pp. 113-114. 29 Gilles Deleuze, « Post -scriptum sur les sociétés de contrôle », L'autre journal, n° 1, mai 1990. 260


la communication et de la réseautique, l'incitation à l'autocensure pourrait être ressentie plus fortement encore. La peur d'être jugé plus tard pour des faits, gestes et opinions, dont nous ne pouvons savoir actuellement comment ils seront interprétés dans l'avenir ne risque-t-elle pas d'engendrer un conformisme plus contraignant encore du fait de l'imprévisibilité des normes à l'aune desquelles ces faits, gestes et opinions seront évalués? Il est utile aussi d'interpréter le profilage et le contrôle à distance dans le rapport qu'ils entretiennent avec un phénomène social plus général, identifié 30 notamment par Ulrich Beck comme le phénomène d'individualisation typi-

que de la 'seconde modernité'. Le concept d'individualisation revêt deux significations principales qui se recoupent partiellement et interagissent, mais doivent néanmoins être distinguées. Individualisation comme indépendance des formes imposées par les autorités traditionnelles: « déterritorialisation » La première signification renvoie à la désintégration des formes sociales antérieures, à la fragilité des catégories (classes sociales, statuts et rôles familiaux, relations de voisinages etc.) et à la dissipation progressive des interdits imposés de l'extérieur et véhiculées autrefois par les autorités traditionnelles (parents, État, Église, etc.). Alors que les sociétés modernes se sont différenciées en une multitude de sous-espaces, de microcosmes sociaux relativement homogènes et indépendants les uns des autres, ayant chacun ses hiérarchies propres, ses normes spécifiques de comportements, ses disciplines, ses codes de communication, d'intelligibilité et d'interactions interpersonnelles 31, le développement et la généralisation des technologies de l'information et des communications instaurent une société «ouverte» caractérisée par la fluidité des échanges et la porosité des anciens microcosmes. L'« ouverture» et la «déterritorialisation » de la société de l'information par rapport à la société «traditionnelle» (qui était notamment marquée par l'idée d'une séparation stricte entre espaces publics et privés) transforment les possibilités d'expressions et d'interactions humaines d'une manière radicale. De nouveaux types de subjectivités en résultent, caractérisés à la fois par une augmentation du pouvoir d'action individuel grâce à la démultiplication des interactions, et par des vulnérabilités nouvelles. Sorti de ce que Peter Slotterdijk appelle la « microsphère » de l'individu, et qui joue pour lui le rô30 Ulrich Beck, Elisabeth Beck-Gernsheim, Individualization: InstitutionalisedIndividualism and its Social and PoliticalConsequences,Sage Publications, 2001. 31 Pierre Bourdieu, La misèredu monde, Seuil, 1993, pp. 9-11. 261

La sécurité de J'individu numérisé

le d'un «système immunitaire de l'espace psychique» 32, l'individu dans le monde virtuel subit, sans même pour la plupart du temps s'en rendre compte, une métamorphose anthropologique importante. Les normes sociales traditionnelles qui régulaient, par conventions tacites spontanément suivies, les flux informationnels entre les individus dans des sociétés fermées « à forte intégrité contextuelle» n'ont plus d'efficacité étant donnée l'hétérogénéité des comportements et des attentes dans la société de l'information caractérisée notamment par la décontextualisation et la déterritorialisation des systèmes d'information. Cette dissipation des normes sociales spontanées typiques des espaces de communication traditionnels n'empêche pas l'émergence progressive, dans des communautés virtuelles suffisamment homogènes, de «contrats sociaux restreints », de nouvelles normes de comportements, de communications et de gestion de l'information, de nouvelles possibilités d'expérimentation sociale à fort potentiel d'émancipation. Mais force est de constater que le phénomène de reformation de contrats sociaux virtuels reste un phénomène marginal, comparé à la majeure partie de l'activité informationnelle sur un INTERNET de jour en jour davantage colonisé par les logiques de profit. De cette désintégration des formes sociales antérieures et de la dissolution des autorités « identifiées» résulte à la fois le sentiment d'un accroissement quantitatif et qualitatif des possibilités de réalisation de soi pour l'individu, mais également l'injonction impérieuse à devenir en quelque sorte son propre créateur, à devenir un « soi» qu'il doit lui-même choisir. Dans cette société hautement individualisée qui prétend donner priorité à la liberté des individus plutôt qu'aux causes collectives, les individus sont face à un dilemme angoissant dont se nourrit le nouveau «marché du conseil en dé33. Le « soi» n'est veloppement personnel» : « Qui suis-je pour moi-même» plus guère «donné », mais bien «construit ». L'autorité de l'injonction à « devenir soi-même» fait du « soi» un projet, une chose à laquelle on aspire, à la façon dont l'on aspire à être à la mode ou à obtenir le dernier modèle d'un objet de consommation. Il me semble qu'il faut bien prendre en compte que dans cette perspective, l'individu dans la société de l'information est souvent, en quelque sorte, une «liberté sans sujet» puisque c'est précisément à travers ses pérégrinations dans le monde virtuel, les rencontres qu'il y fait, l'adoption ou le rejet de 1'« identité» que lui fabriquent, sur mesure,

32 Peter SJotterdijk, Sphèresl - Bulles, Fayard; 2002 ? 33 Renata Salecl, « Worries in a Limitless World », in Peter Goodrich, Liar Barshack, Anton Schütz, Law, Text, Terror,Routledge-Gavendish, 2006, p. 132. 262


les multiples sujet ».

opérations

de profIlage notamment

qu'il cherche à « devenir un

Individualisation comme nouvelle « sujétion» aux normes institutionnelles: « reterritorialisation

»

La seconde signifIcation du concept d'« individualisation» chez Beck renvoie aux injonctions, aux exigences et contrôles inédits imposés aux individus dans cette seconde modernité. À travers le marché du travail, l'État providence et ses institutions, l'individu est pris dans un réseau de réglementations, de conditions, d'obligations. L'assurance, l'éducation, la fIscalité sont autant de points de référence institutionnels constituant l'horizon ou le cadre dans lequel doivent se dérouler la pensée, les projets et l'action. L'individualisation en ce sens ne désigne certainement pas une logique d'action spontanée surgissant dans un espace de pure virtualité. L'individualisation ne signifIe pas non plus la simple subjectivité non assujettie, une attitude qui refuserait de voir qu'en dessous de la surface de la vie existe une infrastructure institutionnelle très effIcace. La sphère dans laquelle le sujet moderne déploie ses options est tout sauf un espace non social ou hors société. Alors que l'exercice du pouvoir se passe de plus en plus de la contrainte directe sur les corps, ce sont les individus qui doivent s'imposer eux-mêmes non seulement le respect mais l'adhésion aux normes, les intégrer dans leur biographie, par leurs propres actions et réitérations. Le pouvoir prend, dans la société moderne, la forme d'offres de services ou d'actions incitatives bien plus que de contrainte 34. Alors que l'on naissait dans une condition particulière dans la société traditionnelle, on a à présent à faire quelque chose, faire un effort actif pour obtenir les avantages sociaux modernes. On doit gagner, prendre des risques, savoir comment s'affIrmer constamment dans la compétition pour l'obtention de ressources limitées. L'on peut se demander dans quelle mesure toutes ces pratiques normées influencent, voire constituent, la cohérence interne des individus. L'identité tant recherchée serait alors autant, voire davantage, un idéal normatif que l'expérience subjective de la continuité de la personne à travers le temps. L'identité serait moins ce qui témoignerait des composants d'une personnalité qu'une norme d'intelligibilité instituée et maintenue socialement 35.

34

Gilles Deleuze, op. cit., note 28. 3~ Pour une cri~que r~dicale de l'ide~tité (à traver~ .la théorie performative tion du genre), lire Judith Butler, Défam legenre,Editions Amsterdam, 2006. 263

de la construc-


C'est tout le problème de la 'performativité' de l'individu numérisé: sa capacité à 'déteindre' en quelque sorte, sur l'individu 'physique' dont il 'émane' et qu'il ne cesse de rapporter à lui. La liberté individuelle dans la société de l'information est donc incomplète dans la mesure où l'autodétermination de l'individu, cette faculté mythique de se donner ses propres règles, d'être à l'origine de sa propre intentionnalité et, dans une certaine mesure, de sa propre personnalité, ne peut être que de façade dans une société que nous pouvons caractériser comme société de contrôle à distance.

3 - Insuffisance de la liberté comme immunité. De la tyrannie de la majorité L'insuffisance d'une liberté conçue exclusivement comme résultant d'une libérationdes contraintes antérieures (à quoi correspondrait la liberté dans un monde digital délivré des contraintes physiques et morales propres au monde 'réel') a été assez exactement décrite par Hannah Arendt: « liberties (...) are the result of liberation but they are by no means the actual content of freedom, which, (.. .), is participation in public affairs, or admission to the public realm. »

36

Les ambivalences que nous venons d'évoquer témoignent de l'impossibilité dans laquelle nous sommes de répondre simplement à la question naïve qui pourtant nous vient spontanément: « notre entrée dans la société de l'information augmente-t-elle ou restreint-elle la liberté des individus ? ». C'est que ce que nous appelons « liberté» recouvre un ensemble de notions bien différentes. En français nous n'avons qu'un mot pour désigner la diversité des notions que recouvre le concept de « liberté ». La liberté, c'est... la liberté. Il en résulte que, bien que nous n'ayons que ce mot-là à la bouche, nous oublions, dans la fétichisation du mot lui-même, le caractère équivoque et fuyant des valeurs qu'il traduit ou derrière lesquelles il court. Benjamin Constant opposait la « liberté des modernes» à la « liberté des anciens », nos textes internationaux relatifs aux droits et libertés fondamentaux distinguent les droits civils et politiques des droits économiques et sociaux. Hannah Arendt contrastait en anglais les concepts de « liberty» et de « freedom ». Nous voudrions suggérer ici, nous inspirant de la distinction faite par Hannah Arendt, que la liberté comme immunité ou indépendance (liber!)1), 36

Hannah Arendt, On Revolution,Penguin Classics, 1963, p. 32. 264


doit, pour n'être pas seulement fantasmée, être accompagnée d'une autre forme de liberté (freedom) qui est le pouvoir d'influer sur les modes de représentation collectifs dont nous relevons et sur les « normes» qui, en retour, nous façonnent. La liberté comme indépendance vis-à-vis des autorités traditionnelles est nécessaire mais insuffisante à assurer ce qu'Arendt appelle « freedom» et qu'elle décrit, se référant à la démocratie athénienne, comme: « (...) not an inner realm into which men might escape at will from the pressures of the world, (nor as) the liberum arbitrium which makes the will choose between alternatives. Freedom could exist only in public; it was a tangible, worldly reality, something created by men to be enjoyed by men rather than a gift or capacity, it was the manmade public space or marketplace which antiquity had known as the area where freedom appears and becomes 37 visible to all. » Seconde face du concept global de liberté, il s'agit ici du « reembedding ». Condition sine qua non de cette « freedom» (et c'est là que l'on entrevoit la « co-originalité» de l'autonomie individuelle et de la démocratie délibérative) : que les « normes» et catégorisations institutionnelles en vigueur soient délibérées et décidées démocratiquement, qu'elles puissent être contestées. Voilà qui s'apparente à ce que Bertrand Leclair appelle « penser» : « intervenir sur les modes de représentation collectifs dont je re38 lève. » Cet idéal de « freedom» ne peut être atteint que par la délibération démocratique à propos notamment des algorithmes de classification, des critères de « normalisation» rigides à l'œuvre et auxquels les individus sont appelés à se conformer. De fait cette notion de « freedom» est incompatible avec l'organisation d'une « société de contrôle» dans la mesure où ce qui caractérise cette dernière est précisément que les normes institutionnelles, bureaucratiques et administratives échappent très largement au débat public, étant peu transparentes et passant presque pour « naturelles ». Cela étant dit, même dans les circonstances idéales où les normes - c'està-dire les critères suivant lesquels les modes de vie, comportements et atti)) tudes individuels passent pour « normaux)) ou « anormaux dans une société donnée, la nôtre - seraient effectivement décidées démocratiquement, la protection d'une sphère privée permettant à l'individu de ne pas s'y conformer, du moins dans cet espace, reste essentielle pour lui permettre 37 Hannah Arendt, On Revolution,Penguin Classics, 1963, p. 124. 38 Bertrand Leclair, Théorie de la déroute (Chapitre II : Dans l'univers communicationnaire), Verticales/Seuil, 2001, p. 65. 265


d'échapper à la « tyrannie de la majorité », pression sociale poussant l'individu au conformisme, si bien décrite déjà en 1835 par Tocqueville dans La démocratie en Amérique, et en 1859 par Mill dans On Liberry : « Un roi d'ailleurs n'a qu'une puissance matérielle qui agit sur les actions et ne saurait atteindre les volontés; mais la majorité est revêtue d'une force tout à la fois matérielle et morale, qui agit sur la volonté autant que sur les actions, et qui empêche en même temps le fait, et le désir de faire. [...] » « [...] En Amérique, la majorité trace un cercle formidable autour de la pensée. Au-dedans de ces limites, l'écrivain est libre; mais malheur à lui s'il ose en sortir. Ce n'est pas qu'il ait à craindre un autodafé, mais il est en butte à des dégoûts de tous genres et à des persécutions de tous les jours. La carrière politique lui est fermée: il a offensé la seule puissance qui ait la faculté de l'ouvrir. On lui refuse tout, jusqu'à la gloire. [...] » « [...] Les princes avaient pour ainsi dire matérialisé la violence; les républiques démocratiques de nos jours l'ont rendue tout aussi intellectuelle que la volonté humaine qu'elle veut contraindre. Sous le gouvernement absolu d'un seul, le despotisme, pour arriver à l'âme, frappait grossièrement le corps; et l'âme, échappant à ces coups, s'élevait glorieuse au-dessus de lui; mais dans les républiques démocratiques, ce n'est point ainsi que procède la tyrannie; elle laisse le corps et va droit à l'âme. Le maître n'y dit plus: Vous penserez comme moi, ou vous mourrez; il dit: Vous êtes libre de ne point penser ainsi que moi; votre vie, vos biens, tout vous reste; mais de ce jour vous êtes un étranger parmi nous. Vous garderez vos privilèges à la cité, mais ils vous deviendront inutiles; car si vous briguez le choix de vos concitoyens, ils ne vous l'accorderont point, et si vous ne demandez que leur estime, ils feindront encore de vous la refuser. Vous resterez parmi les hommes, mais vous perdrez vos droits à l'humanité. Quand vous vous approcherez de vos semblables, ils vous fuiront comme un être impur; et ceux qui croient à votre innocence, ceux-là mêmes vous abandonneront, car on les fuirait à leur tour. Allez en paix, je vous laisse la vie, mais je vous la laisse pire que la mort. » Dès 1859, John Stuart Mill mettait jorité en ces termes:

en garde contre la tyrannie de la ma-

« Like other tyrannies, the tyranny of the majority was at first, and is still vulgarly, held in dread, chiefly as operating through the acts of the public authorities. But reflecting persons perceived that when society itself is the tyran - society collectively, over the separate individuals who compose it its means of tyrannising are not restricted to the acts which it may do by the hands of its political functionaries. Society can and does execute its own mandates: and if it issues wrong mandates instead of right, or any mandates at all in things with which it ought not to meddle, it practises a social tyran266


ny more formidable than many kinds of political oppression, since, though not usually upheld by such extreme penalties, it leaves fewer means to escape, penetrating much more deeply into the details of life, and enslaving the soul itself. Protection, therefore, against the tyranny of the magistrate is not enough: there needs protection also against the tyranny of the prevailing opinion and feeling, against the tendency of a society to impose, by other means than civil penalties, its own ideas and practices as rules of conduct on those who dissent from them; to fetter the development, and, if possible, prevent the formation, of any individuality not in harmony with its ways, and to compel all characters and fashion themselves upon the model of its own. There is a limit to the legitimate interference of collective opinion with individual independence: and to find that limit, and maintain it against encroachment, is as indispensable to a good condition of human affairs, as 39 protection against political despotism. » C'est le sens notamment du droit à la protection de la vie privée lorsqu'il protège des comportements, attitudes et modes de vie qui, sans être illégaux ni sans causer dommage à autrui, sont néanmoins impopulaires et exposeraient ceux qui s'y adonnent à l'animosité ou à des réactions discriminatoires ou stigmatisantes de la part de tiers s'ils en avaient connaissance. L'on voit ici que le droit à la protection de la vie privée et l'interdiction des discriminations fondées sur des motifs non rationnellement ou objectivement pertinents s'inscrivent dans la même optique: préserver un certain « droit à la différence» qui est essentiel à la fois pour l'individu en ce que ce droit est une condition nécessaire à son épanouissement personnel, mais également pour la société dans la mesure où celle-ci a besoin pour évoluer et donc pour rester vivante, de ce que ce «droit à la différence)) permet comme modes de vie et de pensée innovants, comme expérimentations individuelles et collectives. Rappelons néanmoins en passant que ce que Mill appelle la « tyrannie de la majorité)) et qu'il présente comme une menace majeure pour l'autonomie individuelle, est en fait elle-même le résultat de l'exercice, par ceux qui propagent les opinions dominantes, de la liberté qu'ils ont de les propager en vertu de leur propre liberté individuelle. La propagation des opinions dominantes est bien une faculté relevant de l'autonomie individuelle et de la liberté d'expression de chacun, on n'imagine pas une loi interdisant des comportements conformistes ou l'expression d'opinions conformes à la majorité. Les choix et comportements individuels conformistes, qu'ils résultent d'une adhésion pleine et entière aux opinions et modèles majoritaires ou de 39 John Stuart Mill, On Uberry, Cambridge University Press, 1989 [1859], pp. 8-9. 267


formes de pressions sociale, morale ou économique, relèvent bien de ce que Mill décrit comme « a space in which individuals would be free from law». C'est bien là l'un des paradoxes du libéralisme que la menace la plus importante pour l'individualité ne soit autre en fm de compte que l'individualisme, que le libéralisme soit lui-même la source de la standardisation contre laquelle il devrait être, par vocation pourrait-on dire, en lutte 40. Contre certains présupposés actuellement dominants, et, en particulier, contre les présomptions un peu rapides de l'économie néolibérale largement reprises par le droit, suivant lesquelles l'individu est, par nature, un être autonome et rationnel, peut-être serait-il temps de prendre en compte le fait que les préférences et choix individuels ne sont pas des réalités naturelles préexistantes aux conditions sociales, culturelles et économiques dans lesquels ils sont exprimés, et que les choix individuels et les préférences exprimées par les individus ne reflètent pas nécessairement une réelle «autodétermination ». L'équation souvent suggérée entre choix individuel et liberté (ou, dans l'espace informationnel, entre interaction et consentement) est fallacieuse notamment dans la mesure où elle fait de la liberté une aptitude située entièrement dans le psychisme individuel sans garantir jamais à l'individu le pouvoir d'influer sur les jugements de valeur culturellement, socialement et économiquement dominants qui confinent et même conditionnent, qu'il le sache ou non, ses préférences et ses choix. Klick et Parisi ont montré que les attitudes humaines de conformisme peuvent être comprises comme produites de l'adaptation humaine. En essayant de maximiser leurs chances de succès et de bénéfices des interactions sociales, les humains ont tendance à adopter des stratégies de falsification de leurs propres préféren, . . 41 ces ou d a d aptatton d e ce IIeS-Cl . Edwin Baker observait lui aussi, à propos de l'analyse économique du droit à la protection de la vie privée, que toute norme ou loi qui restreint le 'secret' encourage des attitudes ou des valeurs qui sont nécessairement davantage compatibles avec certaines formes de vie sociale que d'autres, et en cela renforcent des jugements de valeur particuliers à l'égard de ce que les individus sont ou devraient être. Voilà qui renvoie à un paradoxe difficilement réductible pour l'analyse économique du droit, qui doit présupposer certaines préférences individuelles comme « données », et manque ainsi de 40

Voir TedRubenfeld, Freedomand Time: A TheoryofConstitutionalSe!fGovernment,Yale Uni-

versity Press, 2001, pp. 231-232. 41 Jonathan Klick et Francesco Parisi, « Social Networks, Self Denial, and Median Preferences : Conformity as an Evolutionary Strategy », Florida State University, College of Law, Working Paper Series, 2004,126. 268


rencontrer la question fondamentale à notre sens, qui est celle de la « subjectivation », ou du mode de détermination des préférences individuelles. Le paradoxe consiste dans le fait qu'alors que l'analyse vise à déterminer quelles lois ou normes sont efficaces ou lesquelles répondent au mieux aux désirs et préférences humaines, la réponse dépend de quelles préférences sont crééespar les normes quejustement l'on vise à évaluer, au regard de cespréférencesprésumées préexister aux normes. La réponse sera donc chaque fois tributaire, ou orientée par le contenu même de la loi ou norme à évaluer, puisque chaque loi ou norme est par définition la mieux à même de répondre aux désirs, préférences et choix qu'elle-même génère. « La loi, du fait de sa nature de cause, anticipant toujours sur ses effets possibles, est celle qui résulterait de la seule affirmation de la productivité de la norme, compte tenu de cet autre aspect de son action, qui est son caractère immanent », notait à cet égard Pierre Macherey 42. Michel Foucault, dans son analyse de la dialectique du désir et du pouvoir, l'écrivait déjà: « [1]1n'y aurait pas à imaginer que le désir est réprimé, pour la bonne raison que c'est la loi qui est constitutive du désir et du manque qui l'instaure. Le rapport de pouvoir serait déjà là où est le désir: illusion donc de le dénoncer dans une répression qui s'exercerait après coup, mais vanité aussi de partir à la quête d'un désir hors pouvoir. » 43 Évaluer la justesse, la légitimité ou l'opportunité des lois ou normes à l'aune des « préférences » individuelles qu'elles permettent de satisfaire ne permet pas de dégager de conclusion valide. L'alternative serait, plutôt que de se demander comment maximiser au mieux la satisfaction des préférences assumées préexistantes, de chercher à déterminer quellespréférences le droit devrait encourager. La question à laquelle il conviendrait de répondre, en suivant cette voie alternative, serait donc: comment donc définir ces préférences que le droit doit encourager. L'analyse économique du droit est bien entendu incapable de répondre à cette question. Il nous parait sensé de soutenir que la méthode de détermination de ces préférences à encourager devrait au minimum reconnaître à chaque personne une voix égale, plutôt que favoriser la voix des mieux nantis dans la distribution des richesses ou de favoriser les préférences qui sont générées par les institutions sociales sur lesquelles porte, précisément, l'effort d'évaluation 44. 42

Pierre Macherey, « Pour une histoire naturelle des normes », in Michel Foucaultphilosophe: Rencontreinternationale,Paris, Janvier 1988, Seuil, 1989, p. 215. 43 Michel Foucault, Histoire de la sexualité, Tome I, La volonté de savoir, Gallimard, 1976, 107-112. fP. Edwin Baker, « Posner's Privacy Mystery and the Failure of Economic Analysis of Law», Geo'l,ia Law Review, 1978, 12(3) : 475-496. 269


Outre la protection du « droit d'être soi-même», ou d'expérimenter divers modes de vie fussent-ils impopulaires, contre la tyrannie de la majorité, le droit à la protection de la vie privée fonctionne, et ce de façon croissante, pour protéger les personnes contre toute une série de distinctions de traitements économiquement rationnelles dans l'accès à divers biens sociaux. La technologie permet dans de nombreux secteurs de développer des mécanismes décisionnels individualisés fondés sur l'accumulation de données qui permettent un proftlage fIn. Cette pratique d'individualisation (des prix, de l'offre de service, de l'évaluation des risques dans le domaine de l'assurance) pose des questions cruciales. Premièrement, peut-on admettre la prise en considération de n'importe quelle donnée à caractère personnel, à la seule condition que cette prise en compte soit économiquement rationnelle? Estil acceptable, par exemple, que le fait pour une femme de subir de la violence conjugale puisse être pris en compte pour déterminer le montant de la prime d'assurance vie qui peut lui être réclamé? Rationalité économique et justice sociale s'opposent dans ce genre de cas, et la protection de la vie privée vient ici en renfort de la justice sociale. Encore faut-il s'entendre sur une défInition des critères de la justice sociale. Ceux-ci doivent refléter l'état présent d'une délibération démocratique continue, c'est là une condition nécessaire de leur légitimité. Voilà qui nous renvoie une fois encore à l'idéal de « freedom» tel que suggéré par Hannah Arendt, et donc à la nécessité non pas d'une acceptabilité sociale (et encore moins d'une acceptation sociale), mais d'une contestabilité sociale (c'est-àdire d'une possibilité de contester) des critères d'effIcacité, de mérite, de dangerosité et de risque qui président aux catégorisations bureaucratiques et/ ou sécuritaires des individus et comportements. Notons ici que les nouvelles technologies de l'information et de la communication, et l'Internet en particulier, nonobstant les mises en garde qui précèdent et à condition de préserver les nouveaux espaces publics auxquels ils donnent naissance des appropriations privatives et des processus de domination, pourraient bien rendre possible cette contestabilité sociale et la réappropriation citoyenne des signifIcations qui président à la défmition du bien public et de la justice. C'est en tout cas l'espoir de Pierre Lévy : « À l'origine, nous avions cette idée fondamentale de reconnaissance des savoirs même non acadénùques.

Rapidement,

l'utilisation

des nouveaux

moyens de communication s'est imposée à nous pour la nùse en œuvre du projet. Coo.)En fait, l'utopie sous-jacente, pour moi, était de transformer un

groupe humain quelconque l'intelligence collective.

en

communauté

270

virtuelle

pratiquant


« Le monde est peuplé de gens, de corps, mais aussi d'esprits que l'on ne voit pas. Or, cet invisible est peut-être le plus intéressant. Ce système nous permettait de rendre visible ce qui ne l'est pas. Tel est le principe des Arbres de connaissance: faire apparaître un autre type d'espace, celui de la coopération des intelligences. Une connaissance isolée n'a aucun sens, elle devient féconde lorsqu'elle est mise en coopération avec d'autres, dans un dessein précis. » Rendre visible et dicible ce que l'on ne voit pas et ce qui se tait, le marginal, le minoritaire, donner la parole au non-conforme, tel pourrait bien être l'espoir de la 'cyberdémocratie'. La technologie pourrait bien indiquer la voie d'une subjectivation nouvelle, c'est elle qui détient le «virtuel» qui se tient du côté du «jamais vu, jamais senti» 45. Mais cette nouvelle 'phase' de la démocratie présuppose une « écologie du virtuel» 46, impliquant, au minimum, non seulement la transparence des rationalités «automatiques» à l' œuvre au lieu de leur actuelle opacité mais également le renforcement du « système immunitaire de l'espace psychique» des individus auquel contribue de façon significative le droit à la protection de la vie privée. En d'autres termes, il s'agit de renverser la situation actuelle où les individus deviennent de plus en plus transparents et hétéronomes dans la construction de leur personnalité, alors que les institutions publiques et privées deviennent de plus en plus opaques et gagnent en « autonomie» - en « automaticité » - dans la construction des modes d'intelligibilité, d'interprétation et de réaction à l'égard des individus. Nous voulons défendre l'idée que le droit à la protection de la vie privée doit être l'un des instruments de ce renversement

47.

Conclusions

Plaider, par écrit qui plus est, pour la reconnaissance d'un « droit à l'oubli» aurait pu, a priori, paraître paradoxal. Comment invoquer un « droit à l'oubli» au moment même où l'on parle, au moment où l'on écrit? Parler, écrire, auraient-ils un sens si au moment même où nous parlons, où nous écrivons, nous voulions être oubliés? Cette première aporie nous force à préciser, d'entrée de jeu, que lorsque nous suggérons qu'existerait une ten45 René Schérer, « Subjectivités hors sujet », Chimères,21, 1993. 46 Félix Guattari, « L'Oralité machinique et l'écologie du virtuel », Oralités-Pofyphonix, 16. Québec, Les Editions Interventions, 1992. 47 Pour une réflexion plus large à ce sujet, voir Antoinette Rouvroy, « Privacy, Data Protec~on, and the Unprecedented Challenges of Ambient Intelligence », 38 p., disponible sur SSRN : http://ssrn.com/abstract=1013984 271


sion entre l'intensification de la rétention de données en tous genres dans les dispositifs informationnels et un « droit» ou plutôt un « intérêt légitime à oublier et à se faire oublier », 1'« intérêt à être oublié et à se faire oublier », traduit l'inquiétude de la personne queje suis pour la personne quej'entends, ou quej'espère devenir dans l'avenir. C'est, pour le dire autrement, le souci que ce que je dis, ou ce que j'écris ici ne puisse être retenu contre elle plus tard. Mon propos était donc tout entier tourné vers cette tension complexe existant entre, d'une part, la « suspension» nécessaire du « soi» entre le présent et l'avenir, suspension qui nécessite une forme de résistance aux assignations rigides, et, d'autre part, la « résilience» de l'information dans les dispositifs technologiques de plus en plus ubiquitaires qui permettent à tout moment de « réactiver» les traces d'actions et événements passés, abolissant même les notions temporelles de passé et de présent dans un éternel « présent» immédiatement accessible 48, puisque rien, dans le présent digital n'est jamais « différé» - l'une des caractéristiques de la mémoire digitale étant, comme nous le verrons, son immédiateté. Et de fait, si j'invoque aujourd'hui, alors que j'écris, mon « intérêt à oublier et à me faire oublier» c'est en prévision du fait que je pourrais bien dans l'avenir changer d'avis sur tout ce que j'écris aujourd'hui. C'est bien parce que je compte sur cette possibilité d'être oubliée, et d'oublier, que je me sens libre d'écrire aujourd'hui. Ce souci de maintenir une indétermination de la personne que nous pourrions devenir dans l'avenir, ce souci de rester en ce sens des êtres « virtuels », s'oppose à la constitution d'« individus numérisés », « copies », « simulacres », « images» de nousmêmes, susceptibles de nous façonner de telle manière que nous puissions de plus en plus difficilement nous en défaire. Ce à quoi il s'agit de réfléchir dans la nouvelle phase de développement de la société de l'information dont nous faisons actuellement l'expérience, c'est à ce qu'implique la nécessité de suspendre la définition du « soi» dans une forme d'auto-récursivité ou d'auto-réflexivité suggérée notamment par Michel Foucault comme constitutive du « souci de soi ». L'émergence des systèmes d'« informatique ubiquitaire» et d'« intelligence ambiante» 49,prolongeant ou relayant, d'une manière quasi prothétique et 48

Anita Allen constatait à cet égard que « the very idea of « past» and « present» in relation to personal information are in danger of evaporating. The past is on the surface, like skin» (Anita Allen, « Dredging-Up the Past: Life-logging, Memory and Surveillance », UniversitYof ChicagoLaw Review, 2008, à paraître). 49 Pour une vision prospective des développements de l'intelligence ambiante, lire notamment le Rapport de l'Information Society Technologies Advisory Group (ISTAG), « Shaping Europe's Future Through ICT », Commission europeenne, mars 2006: 272


désincarnée, la mémoire et l'intentionnalité humaine, ne suggère-t-elle pas la possibilité d'une substitution progressive d'une « mémoire digitale automatique» à la « mémoire incarnée» et à la « capacité d'oubli organique» qui lui 50 est consubstantielle ? L'enregistrement digital permettant à tout moment de «réactualiser» ce qui jusqu'à aujourd'hui n'avait d'existence qu'éphémère, dissipe 1'« opacité pratique» qui recouvrait jusqu'il y a peu nos actions et attitudes, une fois passé le délai nécessaire au temps pour faire son œuvre et effacer les torts commis, les petites et grandes hontes de la mémoire humaine 51, au point qu'il faille appréhender le risque que cette «mémoire digitale totale », à la longue, aboutisse à oblitérer ce qu'il y a de « virtuel» chez l'homme 52: une certaine potentialité du sujet humain, la contingence qui l'habite et qui, s'épanouissant (ne parle-t-on pas de 'libre épanouissement de la personnalité' ?) lui promet un 'devenir autre', une 'différence' un déploiement du 'radicalement neuf', à la fois irréductible à, et essentiellement différent de 1'« individu numérisé» ? L'assignation rigide de ses propres traces au titre d'un destin identitaire suggérant une lisibilité performative de l'avenir de l'individu « proftlé » devenu prévisible, n'est-ce pas là ce à quoi renvoie l'expression «individu numérisé» dans un paradigme dans lequel « le réel deviendrait une copie de sa propre image» 53 ? La pos-

« Building on and extending the ambient intelligence vision, technology developments are proceeding along well characterised paths. We note four main trajectones for this next generation of ICT. Systems and services that are: 1) Networked, mobile, seamless and scalable, offering the capability to be always best connected any time, anywhere and to anything; 2) Embedded into the things of everyday life ln a way that is either invisible to the user or brings new form-fitting solutions; 3) Intelligent and personalised, and therefore more centred on the user and their needs; 4) Rich in content and experiences and in visual and multimodal interaction. » 511 Cette 'sub~titution' réaliserait, en qu~19ue sorte, « l'utopie d'un corps incorporel» en effaçant « la tnste topologie du corpS» (MIchel Foucault, Les HétérotopteSet L Utopie du co1jJs, deux conférences radiophoniques de Michel Foucault, France Culture, 7 et 21 décembre 1966, CD INA, Mémoire Vive). 51 Entreprises à titre expérimental, mettent mal à l'aise une Eartie du public des juristes, pour des raisons qu'eux-mêmes ont encore du mal à identtIier clairement. Anita Allen, « Dredging-Up the Past: Life-logging, Memory and Surveillance », UniversiryI!!ChicagoLaw Review, 2008 (forthcoming). 52 L'idée suivant laquelle l'une des caractéristiques immanentes de l'être humain serait d'être « virtuel» (porteur CIevirtu(Ùités), se retrouve chez des penseurs comme Deleuze (Différence et Répétition) et Bergson. (A ce propos lire Keith Ansell Pearson, « The Simple VIrtual: Bergsonism and a Renewed Thiking of the One », Pli, 2001, 230-252.), mais aussi chez Slavoj Zizek (voir sa conférence sur « the real and the Virtual »). 53 Peter Weibel, « Pleasure and the Panoptic Principle» », in. T.Y. Levin, U. Frohne, P. WeIbel (eds.) CIRL[SPACE} : Rhetorics 0/ Suroeillancefrom Bentham to Big Brother, Karlsruhe, ZKM Centre for Art and Media. 273


sibilité d'oublier, et d'être oublié, concernerait dès lors directement sociale et politique si, comme Arendt le soutient:

la vitalité

« Le miracle qui sauve le monde, le domaine des affaires humaines, de la ruine normale, naturelle, c'est finalement le fait de la natalité, dans lequel s'enracine ontologiquement la faculté d'agir. En d'autres termes: c'est la naissance d'hommes nouveaux, le fait qu'ils commencent à nouveau, l'action dont ils sont capables par droit de naissance 54.» Le primat porté sur l'information personnelle comme nouvelle catégorie, nouvelle ressource au même titre que l'énergie par exemple, finalise tacitement les processus informationnels et communicationnels d'une manière calquée sur les relations de marché, fondées sur la rareté des produits et orientées vers la production d'un certain profit marginal, alors qu'il devient urgent - étant donné l'impact de l'entrée dans la société de l'information sur la subjectivation - de refinaliser ces processus sur des systèmes de valeur centrés sur l'humain. Quel rôle assigner au droit, dès lors? Alors que l'une des vocations les plus traditionnelles du droit est d'organiser la prévisibilité des comportements, ne faut-il pas, face aux nouvelles menaces que le conformisme consommateur et l'individualisme possessif font aujourd'hui peser sur la démocratie délibérative, afftrmer au contraire que le droit devrait justement encourager la contestation ou, à tout le moins, la « conte stabilité » des régimes représentationnels qui, sans avoir fait l'objet d'aucune délibération démocratique, nous informent et nous forment tout à la fois? Ce qu'il s'agit de restaurer ou de protéger concerne directement l'une des capacités fondamentales de l'être humain: celle de s'inventer lui-même comme «sujet ». Cette capacité est bien une « capabilité », dans le sens défini par Amartya Sen dans le sens où elle conditionne toutes les autres capacités humaines ainsi que la jouissance effective de l'ensemble des droits et libertés fondamentaux. Il me paraît crucial de réaffirmer aujourd'hui que le droit à la protection de la vie privée, et l'exercice effectif de ce droit par les individus, sont condition sine qua non d'une telle « capacité », nécessaire, comme précondition à la possibilité de débattre démocratiquement des représentations collectives et, partant, de la nature du bien commun et de la meilleure façon de le protéger ou de l'atteindre. La protection de cette « capabilité » individuelle, en ce qu'elle est condition de la « contestabilité », et partant, de la lé-

54 Hannah Arendt, 1994[1961], p. 314.

Condition de l'homme moderne, CaIman-Levy, 274

coll. « Agora Pocket »,

Réinventer

l'art d'oublier

et de se faire oublier dans la société de l'information?

gitimité des normes qui nous gouvernent, est une exigence éthique et démocratique fondamentale. Le droit à la protection de la vie privée est bien une condition (nécessaire mais non suffisante) du développement personnel des individus, impliquant tour à tour une séparation d'avec le monde (seclusion) et l'intégration dans la vie sociale (inclusion) 55. Réaffirmer la nécessité d'espaces ou de contextes « déconnectés », dans la société en réseau, où la personnalité peut se construire en marge de la « tyrannie de la majorité » comme l'une des « facettes » du principe de la protection de la vie privée est bien insuffisant. Encore faut-il également prendre en compte que l'individu ne construit pas, ou pas uniquement, sa personnalité dans la solitude. En témoigne le rapprochement subtil que Hannah Arendt faisait entre «private» et «deprived». L'autonomie individuelle n'est pas une capacité purement individuelle et psychique: elle a des bases sociales et matérielles. S'il serait bien absurde de penser que le droit puisse « garantir » l'autonomie individuelle (un tel « droit à l'autonomie» n'aurait pas, pour le droit, plus de sens qu'un «droit au bonheur » ou un « droit au talent musical »), il entre néanmoins dans la mission du droit de garantir certaines des conditions fondamentales nécessaires à l'épanouissement de cette autonomie. La protection d'une « sphère privée» immunisant l'individu des tentations d'un trop grand conformisme (séclusion) et la régulation des flux d'informations à caractère personnel, tantôt soumis à une interdiction formelle, lorsque ces flux risquent de donner lieu à des discriminations inacceptables (inclusion), tantôt soumis au contrôle de l'individu (dont l'on sauvegarde la capacité de « choisir» l'intensité, la nature, les modes d'interactions avec autrui), forment un faisceau d'instruments juridiques mobilisés sous l'appellation «protection de la vie privée » mais dont les objectifs sont autant d'utilité publique que privée, puisqu'ils garantissent, en sus des intérêts de la personne concernée, la possibilité d'une délibération démocratique à propos précisément des représentations et normativités à l'œuvre. Le caractère de « pré-condition » à l'exercice effectif des droits et libertés fondamentaux que revêt la protection de la vie privée est l'une des raisons pour laquelle la « capacitation » (que l'on pourrait aisément rapprocher de ce qu'Amartya Sen et Martha Nussbaum appellent « capabilité» 5~ individuelle 55

Voir à cet égard Antoinette Rouvroy, Yves Poullet, « Self-determination as « the » key concept », fuinventing Data Protection, International Conference, Bruxelles, 12-13 octobre 2007. 56 Lire, entre autres, Amartya Sen, Commodities and Capabilities. Oxford, Oxford University Press, 1985; Amartya Sen, DevelopmentAs Freedom. New York, Knopf, 1999 ; Martha C. Nussbaum, Amartya Sen, eds., The Qualiry rifLifi, Oxford, Clarendon Vress, 1993. 275


que confèrent les lois de protection des données à caractère personnel ne peut s'assimiler à un droit de propriété individuel sur ces données, qui permettrait notamment leur aliénation, équivalente à la renonciation à la protection du droit à la protection de la vie privée alors même que cette protection est constitutive d'une «liberté substantielle », condition de possibilité (ou de jouissance effective) de toutes les autres libertés fondamentales. La notion d'« autodétermination informationnelle» est souvent mal comprise. Elle ne doit pas être interprétée comme suggérant que le contrôle de 'ses' données personnelles constituerait un exercice d'autodétermination, de libre développement de « soi» de l'individu. L'information et les données personnelles ne sont pas des éléments préexistants ni des composants du « soi» individuel. Un tel amalgame, auquel invite l'expression «individu numérisé », serait indûment réductionniste : le « soi» est non seulement irréductible mais aussi essentiellement différent des données et informations produites à son propos. L'information, la donnée n'est d'ailleurs jamais une chose qui a préexisté à son expression ou à sa divulgation. Ce que donc l'expression « autodétermination informationnelle » signifie plutôt, c'est que le fait pour l'individu de conserver un certain contrôle sur 'ses' données est une condition nécessaire - mais non suffisante - pour qu'il ait une existence qu'il puisse dire, en partie du moins, « auto déterminée ». Cette autodétermination présuppose la possibilité de mettre à distance - ce que l'oubli permettait efficacement - les identités construites à partir des traces éparses que nous projetons sur le monde. Il convient donc que le droit - ou d'autres mécanismes contraignants - limitent la rétention des données personnelles dans la mesure nécessaire, en fonction de l'intensité des menaces qu'une telle rétention fait peser sur la possibilité pour l'individu de construire sa propre personnalité à l'abri de contraintes excessives d'une part, et de contrôler certains aspects de sa personnalité qu'il projette sur le monde. Enfin, il revient également au droit d'y contribuer, en réactivant un contrôle très strict de la proportionnalité et de la légitimité de toute mesure de profilage et/ou de surveillance des citoyens, à des fins tant publiques que privées, et de toute conservation d'information personnelle à ces fins notamment. À cet égard, saluons l'opinion récente du Groupe de travail « article 29 » sur les aspects de protection des données relatifs aux moteurs de recherche du 4 avril 2008, précisant que la directive européenne 95/46/EC sur la protection des données à caractère personnel est bien applicable au traitement de données personnelles par les opérateurs de moteurs de recherche, même lorsque ceux-ci ont leur siège hors de la zone économique européenne, alors que la directive européenne 2006/24/EC 276


sur la rétention des données ne leur est, par contre, pas applicable, en conséquence de quoi les opérateurs de moteurs de recherche sont dans l'obligation d'effacer ou d'anonymiser de manière irréversible les données à caractère personnel - en ce compris les adresses IP des utilisateurs - dès lors qu'elles ne sont plus nécessaires à la poursuite de l'objectif spécifique et légitime pour lequel elles avaient été collectées. Il revient en outre à ces opérateurs d'être en mesure, à tout moment, de justifier la conservation et la durée de rétention des 'cookies' qu'ils utilisent. En outre, et c'est là un apport particulièrement intéressant de l'opinion du Groupe 29, le consentement des utilisateurs, est-il estimé, est requis avant toute opération de croisement des données et d'enrichissement de leurs profils 57. Il s'agit de lutter contre les dogmes d'efficacité économique et de sécurité présentés comme des logiques absolues de légitimation des traitements et de replacer ces logiques absolues dans leur cadre relatif. C'est là un objectif crucial dans la mesure où ces logiques véhiculent des représentations particulières de l'être humain. La logique absolue de la sécurité fait de tout être humain un suspect par défaut alors que la logique économique perçoit l'individu comme essentiellement rationnel et égoïste, se positionnant toujours rationnellement par rapport aux risques et opportunités de l'existence en fonction de sa nature de « joueur» ou de « frileux ». Ces deux types de logiques absolues (sécurité et rationalité économique), sont exemplaires de la mise en œuvre d'un pouvoir articulé sur la technique, la normalisation et le contrôle, dans la mesure où ils impliquent la classification des individus dans des catégories de « risques ». Des classifications de ce genre sont difficilement « contestables» : le risque étant une construction intellectuelle qui n'identifie aucune personne présente, mais vise seulement des événements

57

Article 29 Data Protection Working Party, « Opinion on data protection issues related to search engines », April 4, 2008 : « A key conclusion of this Opimon is that the Data Protection Directive generally applies to the processing of personal data by search engines, even when their headquarters are outside the EEA, and that the onus is on search engmes in this position to clarity their role in the EEA and the scope of their responsibilities under the Directive. The Data Retention Directive (2006/24/EC) is clearly highlighted as not applicable to search engine providers. This Opinion concludes that personal data must only be processed for legitlmate purposes. Search engine providers must delete or irreversibly anonymise personaf data once they no longer serve the specified and legitimate purpose they were collected for and be capable of justifying retention and the longevity of cookies deployed at all times. The consent of the user must be sought for all planned cross-relation of user data, user profile enrichment exercises. Website editor opt-outs must be respected by search engines and requests from users to update/refresh caches must be complied with immediately. The Working Party recalls the obligation of search engines to clearly inform the users upfront of all intended uses of their data and to respect tlieir right to readily access, inspect or correct their personal data in accordance with Article 12 of the Data Protection Directive (95/46/EC). » 277


susceptibles de se produire dans l'avenir, est une technologie, ou une discipline adressée à l'ensemble d'une population plutôt qu'à des individus ou groupes d'individus actuellement identifiés et qui donc auraient matière à la contester 58. Renverser ces logiques absolues, ou transformer ce cadrage a priori, est d'autant plus urgent que celui-ci, s'il n'a aucune validité objective, a néanmoins un pouvoir performatif. À force de déployer, à travers notamment les dispositifs technologiques de la société de l'information, des représentations aussi négatives de l'individu on risque effectivement de susciter des comportements qui justifieront in fine ces logiques sécuritaires et économiques absolues, mais au prix de la plus précieuse de nos aptitudes: la liberté. A condition d'accepter de remettre en cause ces représentations collectives, de les ouvrir à la contestation, nous pourrons faire en sorte que les personnes puissent effectivement déployer tout le potentiel non seulement libératoire, mais aussi créatif et politique au sens arendtien du terme, contenu en germe dans la société de l'information. Ainsi, la« vie privée» n'apparaît pas comme un droit fondamental parmi d'autres, elle est une condition nécessaire à l'exercice des autres droits et li59. On peut se demander à cet égard si l'indétermibertés fondamentaux nation du droit à la protection de la vie privée ne découle pas, précisément, du fait que les conditions nécessaires à l'exercice plein et entier des autres droits et libertés fondamentaux varient en fonction des circonstances, des époques et des cultures? Puisque, comme nous avons voulu le montrer, le droit à la protection de la vie privée joue notamment le rôle d'un « système immunitaire de l'espace psychique », il paraît naturel que les instruments juridiques de sa protection évoluent, de la même façon que tout système immunitaire s'adapte aux mutations de l'environnement technologique et socio-politique, y compris pour garantir la réversibilité et la contestabilité de ces transformations. 58 La notion de gouvernance renvoie ici à l'approche foucaldienne et post-structuraliste centrée sur les rapports existant entre les 'tuesttons de gouvernement-autorité-politique, et les questions d'identité-« self »-,Personnalite. La notion de gouvernementalité, développée par Foucault donne les outils d une réflexion sur les liens eXistant entre les technologies du pouvoir et les technologies du « soi », les relations spécifiques que le sujet entretient avec Jui-même et qui président à la constitution du « soi» comme sujet moral. ev oir principalement Michel Foucault, «What is Enlightenment? », in The Foucault R£ader, Paul Rabinow (ed.), Pantheon Books, 1984, et Michel Foucault, Technologiesof the Se!!: A Seminar With Michel Foucault, University of Massachusetts Press, 1988.) 59 L'absence de référence explicite au droit à la protection de la vie privée dans la Constitution américaine mais son identification, par la Jurisprudence, « dans la pénombre» des autres droits fondamentaux atteste bien à mon avis du fait que le respect au droit à la protection de la vie privée constitue une pré-condition au respect des autres droits fondamentaux. 278

Applications

de la géolocalisation

GWENDAL LE GRAND CNIL Introduction Les applications de la géolocalisation sont multiples et utilisent différentes technologies permettant un positionnement plus ou moins précis des individus ou des objets. Néanmoins, l'avènement simultané d'outils de collecte de données de géolocalisation et d'outils cartographiques multiplie les usages et les applications qui sont maintenant accessibles à tous. Par exemple, la géolocalisation peut être utilisée pour le guidage des véhicules, la personnalisation des services offerts à des utilisateurs nomades, l'affichage d'un contenu adapté sur un site web, le suivi des déplacements d'un véhicule ou d'une personne et le suivi de son activité, la réduction des coûts d'une assurance automobile en fonction de l'usage réel du véhicule, etc. Dans la suite de ce document, nous examinerons les principales applications de la géolocalisation des objets et des personnes. Nous décrirons successivement les usages du positionnement par satellite (GPS) - incluant notamment la navigation, le positionnement, la personnalisation des primes d'assurance, le géocontrôle parental et les applications de confmement. Mais la géolocalisation peut faire appel à d'autres technologies, notamment le réseau de communication utilisé ou l'adresse IP d'un ordinateur. Finalement, nous aborderons la géolocalisation des appels d'urgence et nous conclurons en rappelant quelques éléments du cadre législatif.

Les usages du GPS L'usage grand public du GPS (Global Positioning System) s'est démocratisé avec plus de 14,5 millions de PND (personal Navigation Device) vendus en 2006, soit 40 % de plus qu'en 2005. De nombreuses applications visant à exploiter les données brutes de géolocalisation ont vu le jour pour offrir aux utilisateurs des informations sur les services situés à proximité de leur localisation (restaurants, hôtels, lieux touristiques, etc.).


Les données collectées sur le positionnement d'un véhicule peuvent soit être exploitées localement à l'intérieur du véhicule, soit renvoyées à un terminal ou un tiers distant qui va retraiter cette information. Dans le deuxième cas, des capacités de communication (par exemple GSM/ GPRS) sont nécessaires. Dans le véhicule lui-même, un boîtier dédié peut être installé; il envoie des données brutes à des logiciels spécialisés permettant par exemple de suivre la position du véhicule sur une carte. 1 peuvent De manière générale, les risques pour les données personnelles se situer à plusieurs niveaux: dans la transmission des données si elle n'est pas sécurisée, dans la collecte des données par le tiers (et les échanges possibles entre tiers) car il faut s'assurer que seules les personnes habilitées peuvent accéder aux données et que celles-ci ne sont pas excessives, et dans l'interfaçage avec les outils externes puisque certains logiciels font appel à des données de cartographie en ligne dont les fournisseurs peuvent conserver la liste des requêtes effectuées. Des applications ont vu le jour dans la sphère personnelle comme dans la sphère professionnelle. Pour les flottes de véhicules professionnels, une dizaine de prestataires propose des dispositifs à des fins de contrôle de flottes de véhicules: un boîtier électronique est généralement placé derrière le tableau de bord du véhicule. Ce boîtier comprend un récepteur GPS (satellite) permettant de connaître la position du véhicule (longitude, latitude, altitude), la date et l'heure, l'état du véhicule et de transmettre ces informations via GSM ou GPRS vers le centre de traitement du prestataire de géolocalisation où se trouvent les logiciels d'analyse et de traitement des informations. Ce prestataire peut donner, via son site Internet, un accès sécurisé à l'employeur afin qu'il visualise et localise les véhicules de ses salariés. Techniquement, il est possible de collecter une grande variété de données, y compris des données concernant des dépassements de vitesse autorisée, mais la constitution de fichiers d'infraction par des sociétés privées n'est pas autorisée par la CNIL. Pour les applications personnelles, GoPass [1] commercialise un dispositif embarqué dans les véhicules personnels, qui renvoie des données de localisation à un PC pouvant visualiser les déplacements des véhicules sur une carte Google. En dehors des simples applications de suivi des véhicules, les informations de géolocalisation peuvent, quand elles sont disponibles, être traitées par différents intervenants. Ainsi, des applications sont apparues dans le 1

Ces données

peuvent

notamment

permettre

de tracer les déplacements 280

des personnes.

Applications de la géolocalisation monde de l'assurance, le montant de certaines primes peut dépendre de l'usage qu'une personne fait de sa voiture (ou de l'usage d'une flotte). D'autres usages sont également possibles pour la géolocalisation des appels d'urgence. Personnalisation

des primes d'assurance 2 Le « payas you drive» a été initié par Norwich Union au Royaume-Uni en 2004. Ce concept permet notamment de proposer à chaque client une police adaptée à l'usage qu'il fait de sa voiture ou de sa flotte de véhicules. La personnalisation nécessite une collecte de données envoyées depuis le véhicule vers l'assureur. Les données sont généralement collectées soit par un boîtier branché sur le bus CAN 3 embarqué du véhicule (et n'exploitant pas obligatoirement des données de positionnement GPS puisque par exemple le nombre de kilomètres parcourus peut être suffisant), soit par un boîtier dédié permettant une transmission des données (y compris de géolocalisation) vers l'assureur par GSM/GPRS. La nature des données collectées et les grilles de tarification sont propres à chaque assureur. La compagnie d'assurance ne collecte généralement pas les données brutes de localisation. Elle utilise un intermédiaire qui traite et agrège les données de géolocalisation des individus ou qui calcule des données anonymisées pour l'ensemble d'une flotte; seules les données agrégées ou anonymisées sont ensuite transmises à l'assureur pour adapter le montant de la prime de son client.

Le géocontrôle

parental

Le géocontrôle parental [6] [7] permet à des parents de pouvoir localiser leurs enfants au moyen d'un objet (téléphone portable, boîtier introduit dans une peluche,...) équipé d'un dispositif de géolocalisation (GPS/GSM). Le marché du « Child locating» était évalué à plus de 220 M€ par an en 2006 en Europe. L'interaction avec le dispositif peut s'effectuer par différentes interfaces, comme par exemple l'Internet ou le Wap. Après identification dans un espace sécurisé, une requête de localisation (pouvant utiliser différents types de technologies) est envoyée sur le réseau mobile. Selon les dispositifs, le boîtier peut être désactivé matériellement en actionnant un bouton ou par envoi d'un SMS au service. De plus, certains

2 Le terme de « payas you drive» 3 Controller Area Network.

est breveté

par Norwich

281

Union.

La sécurité de J'individu numérisé

dispositifs informent le porteur à chaque fois que leur téléphone a fait l'objet d'une requête de géolocalisation. Le demandeur reçoit des données de localisation qui peuvent être représentées sur une carte en indiquant le périmètre géographique où se situe le mobile. Le boîtier comporte également une touche « SOS» qui permet à l'enfant d'adresser un SMS d'alerte vers des numéros pré enregistrés par ses parents afin qu'ils puissent le localiser. Le confinement Plusieurs technologies et applications permettent de s'assurer qu'un individu reste dans un périmètre prédéfini. Les usages varient selon qu'il s'agit de protéger l'individu de l'environnement ambiant ou de protéger la société d'un individu dangereux. Dans le premier cas, des applications ont notamment vu le jour en environnement hospitalier pour protéger les personnes vulnérables. Afin de prévenir l'enlèvement d'enfants pouvant survenir dès la naissance, certains hôpitaux français comme l'hôpital de Montfermeil en Seine-Saint-Denis [8] se sont équipés de dispositifs électroniques s'appuyant sur la technologie sans-fli RFID (munis d'un dispositif anti-arrachement), permettant de localiser la salle dans laquelle se trouve chaque bébé; le dispositif déclenche une alerte en cas de sortie d'un espace prédéftni. Ce type de bracelet électronique a également été utilisé sur des malades d'Alzheimer. Dans le domaine judiciaire, le bracelet électronique permet de vérifier qu'une personne purgeant sa peine à domicile ne quitte pas les lieux dans lesquels il est confiné. Plus récemment, le bracelet électronique mobile [9], fixé sur des individus en fm de peine, permet de suivre leurs déplacements, s'assurer qu'ils n'entrent pas dans certaines zones d'exclusion et se trouvent bien à des moments prédéfinis dans des zones d'inclusion. Cette technologie s'appuie sur un positionnement GPS couplé à un émetteur récepteur GSM/ GPRS pour transmettre périodiquement la localisation de l'individu et éventuellement lui envoyer des messages. Mais le GPS n'est pas la seule technologie permettant de pister les individus ; ainsi, la géolocalisation peut reposer sur le réseau de communication mobile utilisé et même sur l'adresse IP d'un utilisateur sur Internet.

Localisation

par réseaux de communication

Un opérateur de téléphonie mobile sait à tout moment dans quelle zone (cellule ou groupe de cellules) se trouve un téléphone mobile dès lors qu'il 282

Applications de la géolocalisation n'est pas complètement éteint. Cette information est naturellement plus imprécise que la localisation GPS, puisqu'elle se fait généralement à l'échelle de la cellule (c'est-à-dire à quelques centaines de mètres près en environnement urbain). Parmi les utilisations de la localisation par GSM :

-

Des scientifiques du MIT ont utilisé, dans l'expérimentation RealTime Rome [2], un système de géolocalisation visant à suivre les déplacements d'une foule munie de téléphones portables.

-

Au travail, le téléphone peut être exploité pour le géopointage des salariés. Par exemple, Deveryware propose un service DeveryLoc [3] permettant à un employé d'envoyer un SMS pour géopointer en annonçant le début ou la fm de sa journée de travail. La plate-forme Deveryware procède à la localisation du téléphone mobile et mémorise la date et le lieu des débuts et des fms de journée. L'employeur peut alors disposer d'un enregistrement des horaires de début et de fm des plages de travail, avec les lieux géographiques correspondants, ces informations étant récapitulées dans un rapport.

-

Les opérateurs doivent géolocaliser les appels d'urgence en provenance des téléphones mobiles; ils peuvent aussi utiliser des informations de géolocalisation pour personnaliser des services envoyés aux utilisateurs.

-

La géolocalisation peut être étendue non seulement à l'opérateur mais aussi à des tiers identifiés, comme dans le service myLoc de Deveryware. Chaque utilisateur peut paramétrer le service pour déterminer qui dans une communauté prédéfmie peut le localiser, dans quelles conditions, et avec quelle précision.

Naturellement, le concept de la géolocalisation dans le réseau téléphonique est repris dans d'autres technologies. Ainsi, la géolocalisation WiFi permet de savoir à quel point d'accès WiFi est connecté un internaute et donc de connaître sa localisation à une centaine de mètres près. Par triangulation, il est même possible d'obtenir des informations de localisation plus précises. Des services ou des publicités personnalisés en fonction de la localisation de l'utilisateur peuvent alors lui être communiqués. Voici quelques exemples d'outils de géolocalisation WiFi: WiFi Positioning System (WPS) de Skyhook [4], Intel [5].

283


La géolocalisation

des ordinateurs

La géolocalisation des ordinateurs est souvent peu précise. Les usages les plus classiques reposent sur la localisation de l'adresse IP en utilisant la base Whois qui permet d'obtenir des informations sur le titulaire d'un domaine et son adresse. Une géolocalisation plus précise des ordinateurs peut être réalisée lorsque des points d'accès WiFi enregistrent quels utilisateurs sont connectés, comme cela a été décrit plus haut. Une fois la localisation effectuée, l'objectif est généralement de personnaliser le contenu qu'un site web va présenter à l'utilisateur. Les informations de géolocalisation sont également exploitées pour déterminer où il est le plus pertinent d'aller chercher un contenu sur Internet, quand ce contenu est disponible à plusieurs localisations. L'intérêt de ce type de dispositif est principalement de réduire le temps de réponse des sites web puisque, en général, un contenu plus proche pourra être rapatrié plus rapidement. Ces fonctionnalités de routage avancé peuvent aussi faire appel à d'autres services, en particulier le DNS (qui effectue, entre autres, les correspondances entre les noms et les adresses IP). Géolocalisation

d'appels d'urgence

Tout appel d'urgence, même masqué, peut être démasqué et localisé par les autorités compétentes (police, pompiers, etc.). En effet, quand un appel est masqué, le numéro de l'appelant se trouve tout de même dans la signalisation envoyée au récepteur, mais elle est simplement masquée par le réseau grâce à des bits d'information indiquant que le numéro appelant ne doit pas être affiché. Les accords entre opérateurs stipulent qu'ils sont tenus de respecter cette information, mais ce n'est naturellement pas le cas des services d'urgence qui, pour offrir leurs services efficacement, doivent pouvoir identifier les appelants. D'autres services permettent d'améliorer les secours et l'assistance apportés aux personnes émettant un appel d'urgence. Par exemple, le dispositif Mobirisk consiste à envoyer au centre de secours des données de géolocalisation d'un téléphone portable, de sorte que les secours puissent le localiser plus rapidement. L'appel d'urgence transite par le serveur de l'opérateur téléphonique, qui envoie alors un message à certaines personnes de l'entourage de l'appelant, abonnées au service Mobirisk et préalablement choisies par l'appelant. Dans le domaine automobile, « eCall » est un système de notification automatique des accidents de la circulation reposant sur le numéro d'appel

284

Applications de la géolocalisation d'urgence européen. En cas d'accident grave n'importe où, les voitures équipées d'« eCall» appellent automatiquement le centre de secours le plus proche en composant le 112. Les informations essentielles sur l'accident, notamment son lieu exact, sont communiquées via cet appel, même lorsque aucun occupant du véhicule n'est en mesure de communiquer. Les informations sur l'emplacement de l'accident permettent de réduire le délai d'intervention des services de secours de 50 % en zone rurale et de 40 % en zone urbaine. Par conséquent, il a été décidé que dès 2010, tous les véhicules fabriqués en Europe devront être équipés d'un système automatique d'appel d'urgence (eCall) 4; la difficulté de leur mise en place vient de la modernisation nécessaire des infrastructures. Le centre de réception des appels d'urgence sera soit une autorité publique, soit un fournisseur de services privé opérant sous la responsabilité d'une autorité publique, et indiquera exactement le lieu de l'accident.

Conclusion Comme nous l'avons vu à travers les différents exemples présentés dans cet article, les applications de la géolocalisation sont multiples et variées. La CNIL étudie chacune de ces situations. Dans le domaine de la géolocalisation des véhicules, la décision la plus emblématique de la CNIL a été le refus d'autorisation en 2005 d'un traite5 ment mis en œuvre par la Maaf dans le cadre d'une offre d'assurance automobile à destination des jeunes conducteurs basée sur la géolocalisation des véhicules. Cette décision largement commentée a provoqué une situation d'attentisme chez les professionnels. Compte tenu des développements du « payas you drive» dans le reste de l'Europe, notamment au RoyaumeUni et en Italie, les assureurs reviennent aujourd'hui vers la CNIL pour présenter de nouveaux projets prenant en compte l'interdiction de constituer des fichiers d'infractions et d'enregistrer l'intégralité des déplacements d'une personne, qui s'avère disproportionnée au regard de l'objectif poursuivi. Dans le même temps, la CNIL constatait l'accroissement très net des dispositifs de géolocalisation au sein des entreprises. Dès lors, elle a adopté

4

Le coût de mise en place du système est estimé à 4,55 milliards d'euros par an en ce qui concerne, en particulier, l'installation du dispositif dans les véhicules et la modernisation des centres de réception des appels d'urgence. Toutefois, les estimations indiquent un rapport coûts/avantages très favorable pour le système eCall. On évalue ainsi a environ 26 milliards d'euros les économies annuelles que permettrait le système (économies sur les coûts provoqués par les accidents et les embouteillages). 5 Délibération n° 2005-278 du 17 novembre 2005. 285


le 16 mars 2006 une norme simplifiée (norme n° 51) concernant les traitements mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés et une recommandation 6 relative à la mise en œuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d'un organisme privé ou public. Dans sa recommandation, la CNIL «considère ainsi que le responsable du traitement ne doit pas collecter des données relatives à la localisation d'un employé en dehors des horaires de travail de ce dernier. C'est pourquoi, la Commission recommande que les employés aient la possibilité de désactiver la fonction de géolocalisation des véhicules à l'issue de leur temps de travail lorsque ces véhicules peuvent être utilisés à des fins privées ». Enfin, pour la géolocalisation des personnes par des réseaux de communications publics, les dispositifs doivent respecter les dispositions de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). En particulier, l'article 9 de la directive 2002/58 prévoit le consentement des personnes aux fins de localisation, leur information à chaque requête de localisation, et la possibilité de retirer à tout moment leur consentement. S'agissant de la durée de conservation des données, les données de localisation ne peuvent être traitées que « pour la durée [nécessaire] à la fourniture d'un service à valeur ajoutée ». Références [1] GoPass, http://www.gopass.com.tw/Product/AVL900_GPS_tracker.htm [2] Real-rime Rome http://senseable.mit.edu/realrimerome/ [3] Deveryloc http://www.1ocgsmpro.fr [4] WiFi Positioning System, Skyhook, http://www.skyhookwireless.com/ [5] Géolocalisation WiFi par Intel, http://www.zdnet.fr/actualites/telecoms/0.39040748.39244035.00.htm [6] üotay, http://www.ootay.com [7] Kiditel, http://www.cartelematics.fr/tranquilou.php

6

Délibération n° 2006-066 du 16 mars 2006. 286

Applications de la géolocalisation

[8] Des bracelets électroniques pour empêcher le vol de nouveaunés. http://www.Olnet.com/editorial/345930/ (mise-a-jour)-desbracelets-electroniques-pour-empecher-Ie-vol-de-nouveau-nes /

[9] Whois http://www.afnic.fr/outils/whois [9] Lancement du bracelet électronique mobile, http://www.1efigaro.fr/france/20060415.FI G000000628_lancement_ du_braceleCelectronique_mobile.html

287

La géolocalisation des biens et des individus dans l'espace public: liberté de circulation et réseau de télécommunications GAYLORD BAUDEN-HAMEREL ET CÉSAR POVÉDA lREENAT - Faculté de droit Lille 2 Le décloisonnement des espaces et des territoires dans une grande partie de l'Europe a participé à la consécration progressive du principe de liberté de circulation des personnes (article 18 TCE, intégration progressive de Schengen incluse dans le traité d'Amsterdam). Les barrières matérielles déterminant les espaces géographiques perdent ainsi de leur sens, au fur et à mesure que s'étendent les moyens de communication, qu'il s'agisse des outils technologiques ou des infrastructures civiles. Les réseaux d'échanges ouverts aux individus sont autant de couloirs de passage qui canalisent leur circulation dans un espace déterminable, avec plus ou moins de contraintes techniques pour y accéder. L'analogie entre les réseaux de télécommunications et les réseaux routiers peut être poursuivie puisqu'il s'agit dans les deux cas d'autoriser le transit d'objets reliés à des individus identifiables grâce à l'emploi de moyens de marquage assurant leur traçabilité dans un espace donné. Ainsi, la liberté de circulation des biens et des personnes n'emporte pas une garantie d'anonymat, et la diversité des moyens de contrôle et de suivi des individus multiplie les risques potentiels d'atteinte à ces libertés. Les limites et contours encore flous de ces moyens de contrôle doivent être précisés car ils présentent des risques potentiels mettant à l'épreuve le principe de liberté de circulation. La géolocalisation, entendue comme tout procédé permettant de localiser un individu ou un objet dans un espace physique ou logique déterminé, couvre un large spectre d'applications liées à des réseaux disparates. Il nous faut exclure en ce sens tous les outils de localisation des objets dans des espaces clos et fmis (non extensibles physiquement, ou interconnectés à d'autres branches de réseau par le passage forcé au travers de « portails »), comme peuvent l'être, par exemple, le système de sécurité ou de stockage


dans les entrepôts, aéroports, ou encore les voies de circulation payantes. La pénétration d'individus dans ces espaces est, normalement, guidée par un assentiment à un contrat de service ou professionnel, aliénant partiellement l'idée de liberté de circulation dans un espace déterminé. Cette analyse des espaces clos n'entre donc pas dans notre propos et nous nous centrerons sur l'analyse des dispositifs permettant de localiser les individus dans un espace physiquement ouvert.

I - La liberté de circulation: des objets aux individus dans l'espace et le domaine public A - La disparition des obstacles à la liberté de circulation des biens et des personnes dans l'espace S chengen

La liberté d'aller et de venir est garantie par des conventions internationales : -

l'article 12 du Pacte international relatif aux droits civils et politiques de N ew York du 16 décembre 1966 ;

-

l'article 2 du protocole additionnel n° 4 à la Convention européenne de sauvegarde des droits de l'homme, etc.

Notre approche sera volontairement orientée sur l'application de la géolocalisation dans l'espace européen, en interaction avec le cas français, récepteur récent de nouvelles offres de services de géolocalisation. Il est dès lors indispensable de dresser un panorama juridique des espaces de circulations d'Europe occidentale. L'espace Schengen a mis initialement en place un espace sans frontières intérieures permettant la libre circulation des facteurs de production (marchandises, individus, services et capitaux), et constitue une des initiatives les plus ambitieuses de la construction communautaire. C'est pourtant une initiative intergouvernementale parallèle à la construction européenne (sous l'impulsion du Conseil européen des 17 et 18 juin 1984) qui est à l'origine de la déftnition d'un espace de libre circulation des personnes, et qui aboutira à la Convention d'application des accords de Schengen le 19 juin 1990. À ce titre, l'extension de l'espace dit « Schengen» n'est pas limitatif aux pays membres de l'Union, mais comprend des partenaires tels que la Suisse, qui a ratifté les accords en 2005 et s'intègre à cet espace. L'article 2 de la Convention de Schengen, consacré au franchissement des frontières intérieures, prévoit que celles-ci « peuvent être franchies en tout lieu sans qu'un contrôle des personnes soit effectué », et ce sans restric290

La géolocalisation des biens et des individus dans l'espace public

tions apparentes selon l'appartenance des ressortissants circulant à l'intérieur de l'espace. Hormis les cas de menace grave envers l'ordre public et la sécurité intérieure d'un pays membre de l'espace, les frontières intérieures des États doivent être dépourvues d'obstacles pouvant entraver la fluidité du trafic routier. Toutefois, il ne faut pas oublier, tel que le précise le Conseil constitutionnel français dans sa décision du 25 juillet 1991, que « le franchissement des frontières sans qu'un contrôle des personnes soit nécessairement effectué n'est pas assimilable à une suppression [...] des frontières qui, sur le plan juridique, délimitent la compétence territoriale de l'État ». Les limites territoriales des compétences de l'État demeurent certaines. La libre circulation des biens et des personnes n'est, de plus, pas totale avec des pays non intégrés à l'Union, mais participant à Schengen, comme la Suisse, qui maintient toujours pour le moment un contrôle douanier sur les marchandises issues d'un pays membre de l'Union et entrant dans son espace. Les individus sont toutefois libres de circuler sans restrictions. La libre circulation des personnes est l'une des quatre composantes du marché intérieur, tel que défini à l'article 14 ~2 TCE. Le traité de Rome prenait en compte les personnes dans l'optique d'un projet d'intégration économique par le marché et visait au premier chef les travailleurs au sein de l'Union, avant d'être étendue dès le début des années 90 aux inactifs (retraités et étudiants). L'entrée en vigueur du traité de Maastricht a élargi aux citoyens ce principe de libre circulation sans différenciation de statut économique. Ainsi, l'article 18 TCE définit le principe en déterminant que « tout citoyen de l'Union a le droit de circuler et de séjourner librement sur le territoire des États membres ». L'intégration des principes des traités 1er « Schengen» dans l'ordre de l'Union européenne, dès le mai 1999, est la conséquence de l'inclusion au sein du traité d'Amsterdam des décisions accumulées depuis 1985, et elle étend à 13 États membres le dimensionnement de l'espace (exception faite du Royaume-Uni et de l'Irlande), tout en synchronisant l'entrée des nouveaux États arrivés en 2004 dans l'Union avec l'adoption de l'acquis « Schengen» (moyennant quelques aménagements du calendrier permettant l'intégration progressive de ces nouveaux arrivants). B - Approche

interne de la liberté de circulation

La liberté d'aller et venir est une liberté fondamentale proclamée dans la Constitution de 1791, et consacrée à plusieurs reprises par le juge administratif. Elle peut s'exercer, quel que soit le mode de déplacement, au sein du territoire. Les trois juridictions suprêmes françaises ont confirmé le statut de 291


la liberté d'aller et venir comme « principe fondamental à valeur constitutionnelle », sans toutefois s'appesantir sur la déftnition de ses contours préCIS. Les mesures d'aménagement de cette liberté ont essentiellement touché les outils de mobilité. L'exemple de l'encadrement particulier des véhicules à moteur est une mesure nécessaire de contrôle des dangers potentiels. Les impératifs de liaison de l'objet à son détenteur (immatriculation, carte grise...) permettent une identiftcation « a Priori)) destinée à assurer le suivi des agissements et des infractions dans l'espace public, responsabilisant de fait l'usager face aux exigences de sécurité et de respect de l'ordre public. C - La fin des espacesp~siques délimitables: l'extension d'un espacepublic La rupture progressive des enclaves frontalières des États ne représente aujourd'hui qu'une part de la mobilité offerte aux individus. Si la libre circulation des biens et des personnes est intimement liée aux infrastructures routières, il est de plus en plus pertinent de s'interroger sur le lien de dépendance des biens et des personnes aux réseaux de communications ainsi qu'aux dispositifs de positionnement. Les voies de communications sont des éléments particuliers attachés au domaine public, et matériellement identiftables, mais: la rupture progressive des frontières physiques ne doit pas être entendue comme le seul angle d'analyse du lien qui unit l'individu à son environnement; le déploiement de réseaux radioélectriques ouverts constitue une occupation de l'espace public (entendu au sens large comme un espace accessible, sans restrictions ni contraintes, que l'espace soit physique ou non) qui, bien qu'impalpable, trouve des applications concrètes ancrées dans nos usages. L'émergence d'un sentiment de liberté de circulation ne saurait cacher la croissance de la dépendance des personnes à ces réseaux de communications, placés sous un contrôle étatique. Les téléphones mobiles sont des dispositifs autonomes, clients d'un réseau maillé, permettant le transfert de données numériques qui ne se limitent pas qu'à la voix. Ici, c'est la connexion et l'authentification sur un réseau et un accès à un dispositif de transmission radio qui peuvent autoriser des applications de géolocalisation, ou servir de réseau de transport pour faire remonter des données issues de dispositifs de géolocalisation basés sur une technologie 292


GPS. Les applications peuvent constituer des solutions autonomes efficaces, bien que moins précises que ce que ne permet le positionnement par satellite, ou un élément complémentaire de ce dernier (dans la limite de la couverture des réseaux). Quelques applications déjà commercialisées utilisent ou combinent chacune de ces technologies pour offrir un service de traçage des porteurs des dispositifs. D - La permanence du lien de l'individu à un espace public

Aucune mesure technique ne permet de situer, en temps réel, un individu disposant uniquement d'un dispositif passif, du type simple GPS. Par contre, l'adoption massive du téléphone mobile constitue un moyen réel de positionnement qui, sans être aussi efficace et précis que la technologie par satellite, constitue un système actif de géolocalisation dès que celui-ci est allumé et accède à un réseau, et ce avec une précision approximative de 100 mètres, en fonction de la technique employée pour déterminer une posi-

.

hon

1

.

Le téléphone mobile négocie constamment son accès au réseau GSM (selon des techniques basées sur la puissance du signal ou le temps de réponse du dispositif par rapport aux émetteurs), associé à un mécanisme d'authentification, attachant le porteur du mobile à son prestataire par la combinaison d'une carte à puce et d'un code PIN, garantissant un certain degré de liaison contractuelle entre l'opérateur de téléphonie mobile et l'individu porteur. Toutefois, l'accès au réseau GSM est possible sans ce mode d'authentification. L'identification du terminal dans le réseau maillé est possible, pour un accès aux services de secours, sans avoir recours à une authentification complète PIN en se basant uniquement sur l'IMEI (International Mobile Equipment Identity) qui est un code unique composé de 15 chiffres identifiant le téléphone portable, et première information ouvrant l'accès au relais du réseau. Dès lors, il convient de s'interroger sur les obligations des opérateurs visà-vis des pouvoirs publics, ainsi que des garanties existantes de loyauté dans 1 A) Le différentiel de temps ou OTD (Enhaced Observed Time Difrence) c'est-à-dire le temps calculé entre l'émission du signal par la station la plus proche et sa réception par le téléphone, ou encore l'UTA (Uplink Time to Arrival). B) Plus rapide (quelques secondes) mais moins précise (de l'ordre de 200 mètres en ville et plusieurs aizaines de kilomètres en campagne) la méthode Cell ID identifie simplement l'antenne par laquelle passe la communication. C) La triangulation s'effectue à partir des trois relais les Elus proches du GSM ; l'opération est plus longue (quelque 5 secondes), mais plus précise (ae l'ordre de 100 mètres en ville et de 4 kilomètres en campagne). 293


le traitement des données utiles à l'emploi des réseaux de téléphonie mobile. Existe-t-il un contrôle direct de l'État sur l'espace public couvert par ces réseaux?

-

II Les réseaux radioélectriques un espace public sous contrôle

ouverts:

A - Gestion d'une ressourcerare: l'attribution desfréquences Le déploiement des réseaux de communication est devenu au cours des quinze dernières années un dossier majeur de l'aménagement du territoire en France et dans de nombreux pays membres, en partie sous l'impulsion technique des organismes de normalisation, et par la volonté de l'Union européenne, désireuse de développer les applications d'itinérance et de réguler les flux de données au sein de l'espace communautaire (Directive 87/372/CEE du Conseil, du 25 juin 1987, concernant les bandes de fréquences à réserver pour l'introduction coordonnée de communications mobiles terrestres publiques cellulaires numériques paneuropéennes dans la Communauté, et la recommandation 87/371/CEE du Conseil, du 25 juin 1987, relative à l'introduction coordonnée des communications mobiles terrestres publiques cellulaires numériques paneuropéennes dans la Communauté). La gestion des fréquences appartient aux pouvoirs publics, sans toutefois être rattachée à une notion de domaine public dit « aérien ». Le domaine public hertzien n'existe spécifiquement que depuis la loi du 26 juillet 1996 relative au secteur des télécommunications. Les garanties liées à ce classement (inaliénabilité, incessibilité, imprescriptibilité, exigence de règles de protection de l'intérêt général) servent à protéger une ressource rare, mais aussi à autoriser un contrôle administratif efficace de l'utilisation de cet espace. Leur utilisation est ouverte à une occupation privative du domaine public, et soumise à une autorisation administrative précaire et révocable (rappelée, entre autres, dans l'arrêt du Conseil d'État du 30 juin 2003 « Société Neuf Telecom SA »). La répartition des compétences de contrôle de l'usage des exploitants des réseaux radioélectriques est confiée à des autorités administratives découpées par la nature du service (ARCEP, ANFR, CSA). B - Les obligations des opérateurs Les opérateurs

de téléphonie

mobiles

294

sont légalement

contraints

à :

. . .

.


établir et exploiter

des réseaux ouverts;

obtenir l'homologation autorisant à exploiter un réseau et obtenir ainsi le statut d'opérateur. Le statut d'opérateur conditionne le respect des prescriptions exigées par l'ordre public; collecter et traiter les données; assurer les renforcements des obligations des opérateurs liés à la loi du 9 juillet 2004, dite« Paquet Telecom» et l'obligation de suivi de la propagation des terminaux mobiles et des accès au réseau.

Extrait de la convention de renouvellement S.F.R. 2004 (Source: ARCEP)

des licences GSM Orange

/

« L'efficacité de la lutte contre le vol des terminaux est renforcée. Les opérateurs métropolitains auront ainsi l'obligation d'alimenter la base de données recensant les numéros IMEI d'identification des terminaux déclarés volés, et de procéder au blocage des terminaux qui y sont inscrits. » Les téléphones mobiles sont des terminaux attachés à droit d'accès peut être révoqué au niveau d'accès l'infrastructure. De ce fait, l'éradication d'un terminal lMEl, pour être efficace, doit être appliquée à toutes les tous les prestataires, et repose à ce titre, sur un échange techniques.

un réseau, dont le le plus bas de par son numéro infrastructures de direct de données

Plusieurs interrogations en découlent: Qui gère en pratique cette base de données lM El ? Existe-t-il une synergie technique dans la collecte de ce type d'informations? A Priori oui. L'obligation précise qu'il s'agit bien d'une base de données de recensement. Quid de la procédure de blocage? Aucune mesure réglementaire ne détaille la procédure de gestion des données techniques liées aux terminaisons de réseau. Dès lors, un terminal inclus ou exclu du réseau ne peut pas disparaître de la circulation tant qu'il n'est pas détruit, ou que son lMEl n'est pas changé. Quelle est la véritable nature des données échangées entre les opérateurs ? Là encore, le régulateur est muet. Renvoi au droit commun de collecte et traitement des données?

295


Dans ce cas, la récupération des données techniques relatives aux connexions, authentifiées ou non, sont donc eXploitables par l'État et la Justice dans le cadre général de la protection de l'ordre public. Quelques éléments de réponse liés à l'architecture du réseau GSM :

. .

. .

Le registre des abonnés locaux (noté HLR pour Home Location Register) : il s'agit d'une base de données contenant des informations (position géographique, informations administratives, etc.) sur les abonnés inscrits dans la zone du commutateur (MSC). Le registre des abonnés visiteurs (noté VLR pour Visitor Location Register) : il s'agit d'une base de données contenant des informations sur les autres utilisateurs que les abonnés locaux. Le VLR rapatrie les données sur un nouvel utilisateur à partir du HLR correspondant à sa zone d'abonnement. Les données sont conservées pendant tout le temps de sa présence dans la zone et sont supprimées lorsqu'il la quitte ou après une longue période d'inactivité (terminal éteint). Le registre des terminaux (noté EIR pour Equipement Identity Register) : il s'agit d'une base de données répertoriant les terminaux mobiles grâce à leur numéro IMEI. Les opérateurs membres de la GSM Association profitent d'une base de données centralisant à la fois l'ensemble des codes IMEI des terminaux, mais aussi la liste noire alimentée par les déclarations des opérateurs. Le centre d'authentification chargé de vérifier l'identité des utilisateurs.

Quelles informations transitent d'informations. 1) Informations permanentes:

-

sur le réseau?

On recense

deux types

l'International Mobile Subscriber Identity (IMSI), information identifiant exclusivement l'abonné à l'intérieur de tout réseau GSM et qui se trouve dans la carte SIM;

-

l'IMEI; restrictions d'accès aux services (voix, service éventuels verrouillages des appels internationaux, complémentaires) . 2) Informations dynamiques: -

la position

courante

du GSM ; 296

de données, SMS, et d'autres services

La géolocalisation des biens et des individus dans l'espace public éventuellement

la situation

d'un

certain

nombre

de services

auxiliai-

res. C - L'exploitation de la géolocalisation : une contrainte légale Les opérateurs français de télécommunications ont l'obligation de mettre en place la géolocalisation des appelants pour les numéros d'urgence. Cette nouvelle disposition du code des postes et communications électroniques a été introduite par le décret 2005-862 d'application de la loi du 9 juillet 2004. Cette obligation est appelée à s'appliquer à la fois aux opérateurs fixes (via le schéma de numérotation), aux prestataires de voix sur IP et, bien sûr, aux opérateurs de téléphonie mobile. Pour la téléphonie mobile, il s'agit de déterminer le « lieu géographique de provenance de l'appelle plus précis que lesdits équipements sont en mesure d'identifier ». De cette obligation, sous couvert d'un impératif de sécurité, découle la possibilité constante d'accéder au réseau, quel que soit l'opérateur, sans obligation d'authentification de l'utilisateur disposant du combiné. Rappelons à ce titre que la géolocalisation par ce dispositif n'est pas des plus précises, et ne constitue avant tout qu'un moyen d'amélioration du routage des appels, avant d'apporter une localisation géographique précise dans l'espace. Le législateur contraint les opérateurs, sous couvert du renouvellement de leur licence, d'adopter un dispositif technique destiné à assurer l'efftcacité d'une mission de service public. Mais quid du stockage et du traitement des données de connexion non authentifiées? Sans détails précis, et au regard de l'obligation attenante aux opérateurs, la simple identification au réseau doit pouvoir entraîner une localisation. On ne trouve aucun élément posant les limites de la durée de conservation de ces données, ni les catégories de données retenues pour satisfaire cette finalité. Sans être révélatrices du porteur du terminaL elles peuvent devenir révélatrices par recoupements dans le cadre d'une enquête judiciaire (suivi des terminaux mobiles des étrangers sur le territoire ne disposant pas d'un contrat avec un opérateur national, relevés de cartes de crédit, ou vidéosurveillance par exemple...). L'utilité de ces données dépasse le cadre strict du contrôle de la qualité de service, et éclaire sur les moyens techniques accessibles par les pouvoirs publics pour assurer en premier lieu la sécurité civile des personnes. T outefois, les applications dérivant de ces données techniques sont déjà nombreuses. Elles permettent par exemple, à partir d'une ou plusieurs cellules

297


GSM, de procéder à un comptage des individus disposant d'un mobile allumé dans une zone géographique, et d'en faire ressortir, entre autre exemple, le nombre d'étrangers dans cette même zone. Le décloisonnement des espaces publics ne doit pas occulter la progression constante des moyens techniques de suivi des individus. L'usager, de plus en plus conscient de sa liberté de déplacement, perd progressivement conscience de la constance de sa dépendance à un réseau apte à suivre, mieux que jamais apte à assurer son contrôle.

298

Postface ISABELLE DE LAMBERTERIE Directeur de recherche au CNRS Au terme de cet ouvrage très riche, qui aborde toutes les facettes des relations entre sécurité et protection de la vie privée au regard des grandes étapes du traitement de l'information (collecte, exploitation, conservation), on se doit de souligner à la fois l'impression de retrouver des sujets aujourd'hui classiques et le caractère novateur des problématiques soulevées. En effet, les trente ans d'Informatique et Libertés n'ont pas permis d'épuiser les problèmes ni de réguler toutes les situations où le traitement de l'information peut porter atteinte à la vie privée! Cette étape ftnale du programme Asphales, en traitant des interactions entre sécurité juridique et sécurité technique, apparaît plus comme une ouverture vers de nouveaux programmes que comme un bilan conclusif. À travers

les regards

croisés

de juristes

et d'informaticiens,

on perçoit

l'un des principes de l'avancement de la connaissance: s'inscrire dans la continuité de son champ de recherche tout en se « frottant» aux autres disciplines. La sécurité des données numérisées, aujourd'hui, n'est pas uniquement une affaire de technique ni une affaire de régulation, elle est un problème social et culturel, le plus difftcile étant de trouver le bon équilibre entre le besoin de partager et de protéger l'information (y compris contre les intéressés eux-mêmes). Toutefois, cette expérience très riche est une invitation à aller plus loin et à pousser la collaboration pour en tirer les fruits d'une approche renouvelée de chacune des disciplines sur des objets qui ont servi de révélateur des questionnements d'aujourd'hui. En effet, ce sont de nouvelles pistes de recherches pluridisciplinaires qui émergent à travers ce panorama. Souhaitons, ainsi, la transposition de cette expérience dans ces chantiers de recherche transversaux et pluridisciplinaires en cours ou en émergence sur des objets ou des techniques comme la biométrie, le dossier médical partagé, les RFID et plus largement les nanos-


ciences et nanotechnologies quand ces champs croisent «traitement l'information» et biotechnologie...

de

Se projeter dans l'avenir, c'est le pari réussi des responsables de cet ouvrage. Autre mérite, et non des moindres, avoir su aussi ménager une place importante à la réflexion théorique pouvant aller jusqu'à une mise en perspective philosophique. C'est une invitation à poursuivre une recherche juridique distancée, se démarquant des risques d'instrumentalisation technologique, recherche qui conserve son identité dans un cadre interdisciplinaire à l'intérieur des sciences sociales.

300

L.HARMATTAN.ITALIA Via Degli Artisti 15; 10124 Torino L'HARMATTAN HONGRIE KÔllyvesbolt ; Kossuth L. u. 14-16 1053 Budapest L'HARMATTAN BURKINA FASO Rue 15.167 Route du Pô Patte d'oie 12 BP 226 Ouagadougou 12 (00226) 76 59 79 86 ESPACE L'HARMATTAN KINSHASA Faculté des Sciences Sociales, Politiques et Administratives BP243, KIN XI ; Université de Kinshasa L'HARMATTAN GUINEE Almamya Rue KA 028 En face du restaurant le cèdre OKB agency BP 3470 Conakry (00224) 60 20 85 08 [email protected] L'HARMATTAN COTE D'IvOIRE M. Etien N'dah Ahmon Résidence Karl/cité des arts Abidjan-Cocody 03 BP 1588 Abidjan 03 (00225) 05 77 87 31 L'HARMATTAN MAURITANIE Espace El Kettab du livre francophone N° 472 avenue Palais des Congrès BP 316 Nouakchott (00222) 63 25 980 L'HARMATTAN CAMEROUN BP 11486 Yaoundé (00237) 4586700 (00237) 976 61 66 [email protected]

Achevé d'imprimer par Cori et Numérique - 14110 Condé-Sur-Noireau

W d'imprimeur: 55820 - Dépôt légal: décembre 2008 - Imprimé en France

La securite de l'individu numerise : Reflexions prospectives et internationales

Reflexions sur la guillotine

Securite PHP 5 et MySQL

Securite informatique: Principes et methode

Sante et la securite du travail: problematiques en emergence

Reflexions sur les causes de la liberte et de l’oppression sociale

Электронные системы охраны. (Alarmes et securite)

Reflexions ou sentences et maximes morales

Langue francaise en Francophonie : Pratiques et reflexions

Flexibilite, securite d'emploi et flexicurite : Les enjeux et defis

DE LA NATURE ET DE LA GRÂCE RÉFUTATION DE PÉLAGE

Leibniz et la théorie de la musique

Guide pratique de la SARL et de l'EURL : Création et gestion de la SARL, de l'EURL, de la SELARL, de la SELU et de l'EARL

Théorie de la mesure et de l'intégration

Comprendre l'anglais de la radio et de la television

Les deux sources de la morale et de la Religion

Psychologie de la manipulation et de la soumission

Le livre de Packet Filter : Securite, filtrage et qualite de service

Internationales Wirtschaftsrecht (De Gruyter Lehrbuch)

Wifi professionnel : La norme 802.11, le deploiement, la securite

Les migrations internationales : Le visage humain de la mondialisation

Theorie de La Descente Et Algebres D'Azumaya

Dictionnaire de la CAO et du graphisme

DE LA GRÂCE ET DU LIBRE ARBITRE

Pathologie du pied et de la cheville

Heidegger et la question de Dieu

La cybernétique et l'origine de l'information

Rapports réels et pratiques de la psychologie

Modélisation et commande de la machine asynchrone

Le projet liberal et la transformation de la democratie : Le cas de l'Europe centrale et orientale

La securite de l'individu numerise : Reflexions prospectives et internationales

Reflexions sur la guillotine

Securite PHP 5 et MySQL

Securite informatique: Principes et methode

Sante et la securite du travail: problematiques en emergence

Reflexions sur les causes de la liberte et de l’oppression sociale

Электронные системы охраны. (Alarmes et securite)

Reflexions ou sentences et maximes morales

Langue francaise en Francophonie : Pratiques et reflexions

Flexibilite, securite d'emploi et flexicurite : Les enjeux et defis

DE LA NATURE ET DE LA GRÂCE RÉFUTATION DE PÉLAGE

Leibniz et la théorie de la musique

Guide pratique de la SARL et de l'EURL : Création et gestion de la SARL, de l'EURL, de la SELARL, de la SELU et de l'EARL

Théorie de la mesure et de l'intégration

Comprendre l'anglais de la radio et de la television

Les deux sources de la morale et de la Religion

Psychologie de la manipulation et de la soumission

Le livre de Packet Filter : Securite, filtrage et qualite de service

Internationales Wirtschaftsrecht (De Gruyter Lehrbuch)

Wifi professionnel : La norme 802.11, le deploiement, la securite

Les migrations internationales : Le visage humain de la mondialisation

Theorie de La Descente Et Algebres D'Azumaya

Dictionnaire de la CAO et du graphisme

DE LA GRÂCE ET DU LIBRE ARBITRE

Pathologie du pied et de la cheville

Heidegger et la question de Dieu

La cybernétique et l'origine de l'information

Rapports réels et pratiques de la psychologie

Modélisation et commande de la machine asynchrone

Le projet liberal et la transformation de la democratie : Le cas de l'Europe centrale et orientale

Recommend Documents