Données personnelles

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Donnée.

Les données personnelles correspondent à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres (article 2 de la loi informatique et liberté). Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont notamment la loi Informatique, fichiers et libertés de 1978, la directive 95/46/CE au niveau communautaire ainsi que la Convention n°108 pour la protection des données personnelles du Conseil de l'Europe. À l'instar de la CNIL française, beaucoup de pays disposent aujourd'hui d'autorités chargées de la protection des données personnelles, qui sont souvent des autorités administratives indépendantes (ou des équivalents de celles-ci).

Les données personnelles qui permettent l'identification (ou nominatives) correspondent aux noms, prénoms, adresses (physique et électronique), numéro de téléphone, lieu et date de naissance, numéro de sécurité sociale, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, photo, empreinte digitale, ADN, etc. Aujourd'hui, en effet, une recherche à l'aide d'un moteur de recherche sur une ou plusieurs bases de données, en utilisant la combinaison de quelques-unes simplement de ces données, permet d'identifier et de retrouver avec précision n'importe quel individu. Certaines de ces données, dont en particulier le numéro de sécurité sociale ou le NIR, ainsi que les données biométriques (empreinte digitale, échantillon ADN, etc.), sont particulièrement sensibles, car elles fonctionnent en tant qu'« identifiants universels », qui permet de raccorder différents fichiers entre eux et ainsi d'opérer leur interconnexion.

Selon une déclaration du Conseil des ministres du Conseil de l'Europe de 1997, les données personnelles incluent les données médicales et génétiques[1], ainsi que les empreintes digitales et, en général, toute caractéristique biométrique.

Plusieurs éléments essentiels sont pris en compte concernant le traitement de ces données, dont leur durée de conservation, la finalité du traitement concerné, le consentement de la personne vis-à-vis de ce traitement, l'obligation d'information et, dans le cadre de l'entreprise, la consultation des instances représentatives[réf. nécessaire], le niveau de protection technique dont elles bénéficient (ou non), etc.


Quelques définitions[modifier | modifier le code]

La différence entre donnée, information et connaissance est la suivante:[2]

Une donnée est une description élémentaire, typiquement numérique, d’une réalité. C’est par exemple une observation ou une mesure.

À partir de données collectées, de l’information est obtenue en organisant ces données, en les structurant pour en dégager du sens. Plus précisément, les informations c'est un ensemble de données signifiantes.[3]

En comprenant le sens de l’information, nous aboutissons à des connaissances, c’est-à-dire à des « faits » considérés comme vrais dans l’univers d’un locuteur, et à des « lois » (des règles logiques) de cet univers.

Valeurs des données personnelles[modifier | modifier le code]

Les données personnelles ont une valeur économique, mais aussi une valeur de confidentialité.

Elles peuvent contribuer aux capitaux sociaux du société. Par exemple, l'agrégation des données aide à la recherche des médicaments d'une épidémie[4], ou permet le reciblage publicitaire, et l'alignement des prix par rapport à la concurrence.

Les individus peuvent aussi bénéficier des partages des données personnelles. Par exemple pour retrouver des relations sur les réseaux sociaux, ou pour trier des vidéos en fonction des appréciations d'autres utilisateurs.

Au niveau international[modifier | modifier le code]

La Conférence internationale sur la protection des données personnelles a mis sur pied, en 1983, un groupe de travail spécifique visant à protéger les données personnelles dans le domaine des télécommunications, le International Working Group on Data Protection in Telecommunications (IWGDPT)[5]. Quelques années plus tard, le grand public apprenait l'existence du réseau Echelon et la puissance du renseignement d'origine électromagnétique moderne.

En septembre 2005, la 27e Conférence internationale des Commissaires à la protection des données et à la vie privée, a débouché sur l'adoption de la Déclaration de Montreux visant, selon la CNIL, « au renforcement du caractère universel des principes de la protection des données. La Conférence a également adopté une résolution sur l’utilisation des données biométriques dans les passeports, cartes d'identité et documents de voyage et une résolution sur l’utilisation de données personnelles pour la communication politique »[6], repris par la « résolution de Madrid ».

Au niveau européen[modifier | modifier le code]

Les données personnelles sont protégées au niveau européen par plusieurs directives, la première étant la directive 95/46/CE. L'article 5 de la directive 2002/58/CE (« Vie privée et communications électroniques »)[7] dispose que l'internaute doit être informé de l'existence de toute collecte d'information ; qu'il a le droit d'en connaître la finalité et de s'y opposer :

« Les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. »

Cette directive a été modifiée par la directive 2006/24/CE sur la conservation des données, dont l'article 3 est énoncé : « Les articles 5, 6 et 9 de la directive 2002/58/CE définissent les règles applicables au traitement, par les fournisseurs de réseaux et de services, de données relatives au trafic et de données de localisation générées par l’utilisation de services de communications électroniques. Ces données doivent être effacées ou rendues anonymes lorsqu'elles ne sont plus nécessaires à la transmission d'une communication, sauf les données requises pour établir les factures et les paiements pour interconnexion; moyennant l’accord de l’intéressé, certaines données peuvent également être traitées à des fins commerciales ou de fourniture de services à valeur ajoutée. »

Il existe aussi un Contrôleur européen de la protection des données chargé d'évaluer les politiques relevant de ce domaine. Il a par exemple autorisé la mise en place du Système d'information des visas (SIV) qui est une base de données biométrique.

En France[modifier | modifier le code]

Selon la loi Informatique, fichiers et libertés de 1978, lorsqu'il s'agit du secteur privé, ces données ne peuvent être collectées, traitées et conservées par un organisme ou une entreprise que si la personne ou le service qui est responsable de ces opérations a effectué au préalable une déclaration à la CNIL, qui doit être validée par l'attribution d'un numéro d'enregistrement. Ce numéro doit être indiqué sur le site web en plus de l'adresse de contact du service qui va gérer le fichier des données personnelles.

Depuis la loi sur la sécurité quotidienne de 2001, modifiée par la loi de 2006 relative à la lutte contre le terrorisme, les FAI et les opérateurs télécom sont tenus de conserver les données de connexion de leurs usagers et de les mettre à la disposition des autorités policières si celles-ci le désirent.

Le responsable du fichier ou du traitement de données personnelles doit informer les personnes concernées du but de ce traitement, de l'identité des destinataires de ces informations, et des droits dont ils disposent conformément aux articles 32 et 38 de la loi informatique et libertés de 1978.

Les partis politiques, les églises, les syndicats et les associations ne sont pas tenus de déclarer le fichier de leurs membres à la CNIL. Les sites web mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle sont aussi dispensés de déclaration, comme le stipule la dispense de déclaration n° 6[8] de la CNIL.

La loi française qualifie de « données sensibles » les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur vie sexuelle ; de même les données relatives aux infractions, condamnations et mesures de sûreté bénéficient d'un régime spécifique. Il est a priori interdit de collecter et d'enregistrer ces données, seuls les fichiers d’État (police, RG, etc.) pouvant déroger à cette règle, sous certaines conditions.

En ce qui concerne les entreprises un sondage de juin 2008 hébergé sur le Village de la Justice[9] « met à jour les manquements des entreprises en matière de données personnelles. Presque la moitié des sondés (sur un total de 300 professionnels) déclarent ne pas maîtriser la gestion des données à caractère personnel. Des manques qui pourraient donner des sueurs froides à certains dirigeants car les amendes infligées par la CNIL peuvent monter jusqu’à 300 000 euros[10]. » « Pourtant une majorité (60 %) affirme être bien ou plutôt bien informée sur la notion et les enjeux des données à caractère personnel[11]. » Selon l'étude, « cela montre que les entreprises, bien qu'informées des obligations légales vis-à-vis de la CNIL ne gèrent pas de manière rigoureuse l'ensemble de leurs déclarations et traitements soumis à la loi. » D'après ITRmanager.com, « les choses devraient néanmoins changer progressivement puisque depuis deux ans, la CNIL mène auprès des entreprises françaises des opérations de sensibilisation[12]. »

En Suisse[modifier | modifier le code]

La Loi fédérale sur la protection des données du 19 juin 1992 (dans son état au 1er janvier 2011) a mis en place une protection très stricte de la vie privée en interdisant pratiquement tout traitement de données non explicitement autorisé par la personne intéressée[13]. Il est en particulier prescrit que :

  • le traitement de données personnelles doit être effectué conformément aux principes de la bonne foi et de la proportionnalité ;
  • les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte ;
  • la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée :
  • lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.

En sus, tout particulier peut demander par écrit à une entreprise (gérant un fichier) la rectification ou la suppression des données le concernant[14]. L'entreprise doit répondre dans les trente jours[14].

L'ensemble du dispositif est soumis à l'autorité d'un Préposé fédéral à la protection des données et à la transparence[15].

Au niveau Asiatique[modifier | modifier le code]

En Chine[modifier | modifier le code]

Il n'existe pas de loi spécifique pour protéger les données personnelles en Chine. Jusqu'en 2013, la définition des données personnelles est apparue. Les données personnelles incluent le nom, le prénom, l'âge, le numéro d'identité, la situation de mariage, le lieu de travail, le niveau d'éducation, l'adresse domicile, le numéro de téléphone, etc. Ce sont des données pouvant identifier un citoyen ou les informations privées associées à un citoyen. Pour avoir toutes les données personnelles, il faut se baser sur une quarantaine de lois. Il est donc difficile de protéger les données personnelles à cause d'un manque de lois.

Dans la vie quotidienne, les données personnelles sont collectées par de nombreuses organisations, telles des banques, assurances, entreprises de télécommunications, hôpitaux, etc. Les numéros d'identité, les numéros de téléphone, l'adresse domicile ne sont plus secrets. De plus, il n'est pas rare que certaines organisations divulguent des données personnelles. Par exemple, les banques, assurances, et la compagnie aériennes partagent des données personnelles sans autorisation. De plus, une industrie se forme autour des données personnelles à des fins lucratives. C'est une des raisons expliquant les appels publicitaires de diverses entreprises.

Données des dossiers passagers (PNR)[modifier | modifier le code]

Article détaillé : Données des dossiers passagers.

Les données des dossiers passagers (ou PNR, pour l'anglais passenger name record) sont des données personnelles concernant tous les détails d'un voyage pour des passagers voyageant ensemble. La CNIL, et son homologue européen le G29, considèrent que l'échange de ces données entre États ainsi que l'utilisation qui en est faite soulèvent un certain nombre de problèmes quant au respect de la vie privée, particulièrement avec les États-Unis dont la législation protège moins bien ces données que ne le fait la législation de l'Union européenne. Dans son avis concernant la décision-cadre du Conseil européen de novembre 2007, qui reprenait maintes dispositions de l'accord entre l'UE et les États-Unis de juillet 2007 sur l'échange des données PNR, le G29 déclarait : « Un régime PNR européen ne saurait aboutir à la surveillance généralisée de tous les passagers. »[16] En avril 2012, le Parlement européen a donné son aval au stockage d’informations sur les passagers aériens européens par les autorités américaines.

L'économie de l'exploitation des données personnelles[modifier | modifier le code]

Données médicales[modifier | modifier le code]

Article connexe : Droit de la santé.

Les données médicales surtout quand elles sont nominatives sont considérées comme des « données sensibles » par la directive 95/46/CE et par la loi Informatique et libertés. Elles ne peuvent être collectées que dans certains cas, encadrés par la loi, par exemple pour le dossier médical informatisé d'un patient hospitalisé. Le rapport Babusiaux de 2003 préconisait de les transmettre aux CPAM (Caisses primaires d'assurance maladie), aux mutuelles et aux assurances après anonymisation[17]. Une petite minorité de médecins s'est rebellé contre l'informatisation des dossiers médicaux, lors de la mise en place de la Carte Vitale, en alléguant la nécessité de protéger le secret médical[18].

La « Loi relative à l'assurance maladie » (13 aout 2004) prévoit[19] la création d'un Institut des données de santé (IDS, groupement d'intérêt public, opérationnel en 2007) puis aussi soumis à la loi de 2011 de simplification et d'amélioration de la qualité du droit[20]) ; il réunit l'État, les caisses nationales d'assurance maladie, l'Union nationale des organismes d'assurance maladie complémentaire et l'Union nationale des professionnels de santé et doit assurer la cohérence et la qualité des systèmes d'information utilisés pour la gestion du risque maladie ; il « met à disposition de ses membres, de la Haute Autorité de santé, des unions régionales des professionnels de santé et de certains organismes désignés par décret en Conseil d'État, à des fins de gestion du risque maladie ou pour des préoccupations de santé publique, des données issues des systèmes d'information de ses membres, dans des conditions garantissant l'anonymat fixées par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés » et publie annuellement un rapport d'activité d'abord transmis au Parlement.

Exemple du SIDA[modifier | modifier le code]

En France à la fin des années 1990, l'inclusion, ou non, du SIDA dans la liste des maladies infectieuses à déclaration obligatoire fait débat. Le secrétaire d'État à la santé Bernard Kouchner[21] propose alors une déclaration obligatoire mais anonymisée des séropositifs, soutenu par les associations de lutte contre le SIDA, tant que la donnée est anonymisée[22],[23].

Jean-Baptiste Brunet, directeur du Centre européen de surveillance du sida[22] soutient aussi cette idée, mais le Conseil national du sida s'y oppose au projet, soulignant les « risques d'atteinte aux libertés individuelles » ainsi que la moindre efficacité de « mesures obligatoires qui ne sont pas directement dans l'intérêt des malades » : « l'obligation supposerait un dispositif automatique, un système illusoire de sanctions en cas de non-respect de la réglementation, voire un aménagement législatif du code de santé publique »[22].

En mai 1999, un décret impose la déclaration obligatoire du SIDA dans le cadre de la loi de 1998 sur la veille sanitaire[24]. Un autre décret, du , inquiète les associations de lutte contre le SIDA à l'été 1999, car incluant possiblement des données nominatives dans le traitement automatisé mis en œuvre par l'Institut de veille sanitaire, avec un risque de discrimination. Le ministre annonce alors que ce décret sera modifié, tandis que la CNIL diffère en septembre 2009 la mise en œuvre par l'IVS du traitement automatisé[25].

Protection des données médicales[26][modifier | modifier le code]

Définition[modifier | modifier le code]

Avant toute chose, il convient de définir de façon plus précise ce qu’on entend par une donnée médicale. Dans un premier temps une donnée médicale n’est pas nécessairement informatique : elle peut en effet être archivée sous forme écrite. Nous avons à titre d’exemple des certificats médicaux et des ordonnances. Ainsi le terme de donnée médicale englobe tout ce qui a trait à une méthode de conservation de l’état de santé d’un patient. La question de protection des données médicales, avec les règles de déontologie et de respect de la vie privée s’y afférant, n’est donc pas récente. Cependant l’évolution fulgurante des technologies de l’information peut constituer un danger pour les données de santé. Ainsi ces dernières peuvent se voir perdues, détruites, modifiées ou même volées. Du fait de leur caractère personnel, ces données restent très sensibles et doivent faire l’objet d’une protection particulière.

En France[modifier | modifier le code]

   La France est pionnière en la matière puis qu’elle dispose de ce fait d’un régime juridique protégeant l’ensemble des données personnelles. Ce régime date de la loi du 06 janvier 1978. L’objectif premier de cette loi est d’assurer la sécurité du traitement des données à caractère personnel. Les données médicales font l’objet de dispositions particulières. En effet le législateur a jugé que ces données étaient sensibles par nature, il était nécessaire d’y accorder une protection spécifique. Le code de la santé publique protège donc les données médicales et leur traitement par les professionnels de santé.

   Cependant, une donnée informatique est, par définition, immatérielle. Elle suppose donc une localisation sur un serveur. Hélas, dans le cas où un ressortissant français tombe malade dans un pays étranger et est soigné là-bas, ses données médicales ne seront pas situées sur le territoire national. La loi française ne s''appliquant que sur le territoire français, le régime de protection des données médicales pourra se voir alors modifié, et certaines atteintes à la confidentialité de données de santé seront peut-être tolérées alors qu''elles constituent une infraction au droit français.

Dans l'UE[modifier | modifier le code]

Face à la difficulté d’appliquer la loi de chacun des pays hors de ses frontières, l’UE a jugé nécessaire de reformer les lois visant la protection des données des citoyens européens qui s’appliqueraient partout dans le monde. La réforme est connue sous le nom de RGPD (règlement général sur la protection des données) qui entrera en vigueur en mai 2018.  

Toutes les données sont-elles devenues personnelles ?[modifier | modifier le code]

C'est la question posée par David Brin[27]. En effet, la dichotomie plaçant d’un côté des données personnelles et de l’autre des données qui ne le sont pas est erronée : un très grand nombre de données apparemment anonymes peuvent devenir personnelles après traitement.

Par exemple, des données médicales anonymisées (visites d'hôpitaux, consultations médicales) d’employés de l’État du Massachusetts furent « réidentifées » en les croisant avec les listes électorales d'une même ville. Ainsi, pour réidentifier le gouverneur de cet État, seules six personnes partageaient la même date de naissance dont trois étaient de sexe masculin et, parmi ces dernières, une seule partageait le même code postal, sur un total de 54 000 résidents et sept codes postaux[28].

Plus récemment, une étude de chercheurs du MIT a montré que quatre points géolocalisés étaient suffisants pour identifier 95 % des individus dans une base de données téléphoniques de 1,5 million de personnes[29].

Traces numériques et ciblage comportemental : vie privée et informatique[modifier | modifier le code]

Article détaillé : Vie privée et informatique.
Article détaillé : Ciblage comportemental.

On se pose encore à l'heure actuelle la question de savoir si les traces numériques (cookies, etc.) doivent être considérées comme étant des données personnelles. Le fait est que certaines de ces traces permettent d'obtenir des renseignements sur les habitudes de navigation des internautes, permettant ainsi une collecte d'informations personnelles, à l'insu de l'individu concerné, en vue d'élaborer une base de profils utilisés notamment à fins publicitaires ou de ciblage commercial (ciblage comportemental), mais pouvant aussi être utilisés dans le cadre d'enquêtes judiciaires : par exemple, l'adresse IP de connexion d'un internaute n'est pas considérée comme une donnée personnelle selon deux arrêts de la Cour d'Appel de Paris[30]. Cette vision n'est cependant pas celle de la CNIL qui estime pour sa part que l'adresse IP est une donnée à caractère personnel[31]. La question pourrait, cependant, être bientôt tranchée par la loi. En effet, une proposition de loi est actuellement en discussion au parlement visant à considérer cette donnée comme entrant dans le cadre des données personnelles[32].

Il reste possible de naviguer de façon anonyme sur Internet, en empruntant des réseaux anonymes comme Tor, I2P, Freenet, ou en utilisant un serveur mandataire.

Collecte et exploitation des données personnelles[modifier | modifier le code]

Les modes de collecte se sont particulièrement diversifiés avec les technologies numériques. Ces modes peuvent aller de la collecte d'informations via un formulaire rempli volontairement par les individus, jusqu'à l'enregistrement de traces (habitudes de navigation, localisation géographique de l'adresse de connexion, sites consultés, relations établies avec des individus ou des réseaux, etc.).

Les modes d'exploitation peuvent être le fait des individus eux-mêmes, par recherche d'informations à l'aide d'un moteur de recherche ou sur les réseaux sociaux en ligne, ou bien le fait d'organisations : marketing ciblé, fichage des populations par l'État, envoi massif de courriels non sollicités à caractère commercial (pourriels), etc.[33],[34]. Le modèle économique des acteurs majeurs du Web (Google, Amazon) et des réseaux sociaux (Facebook, Twitter) repose en grande partie sur l'exploitation des données personnelles des utilisateurs[35].

Pierre Bellanger suggère en 2014 la création d'un droit de propriété : celui de sa trace numérique sur les réseaux. Ce droit supposerait que toute captation ou traitement des données provenant d'un citoyen européen réponde du droit européen, mais de surcroît que toute exportation de ces données hors de l'Union soit assujettie à une taxe : la « dataxe »[36],[34].

Vol de données personnelles[modifier | modifier le code]

Types de vols de données[modifier | modifier le code]

  • Logiciel malveillant (ou malware en anglais) : ce sont des logiciels qui sont utilisés pour perturber le fonctionnement normal d’un ordinateur, et ainsi collecter des informations privées, et voler les données des utilisateurs. Ils peuvent aussi permettre de les espionner, contre leur gré. L’exemple le plus connu est celui du cheval de troies. Afin que les personnes téléchargent ce genre de logiciels, ils sont souvent “cachés” derrière des fichiers non malveillants. Certains fraudeurs intègrent des logiciels malveillants dans des sites légitimes, cela est appelé une attaque mixte. On parle aussi d’attaques ciblées, lorsque les fraudeurs souhaitent voler des données à une entité ou une personne précise. Grâce aux nombreuses manières qu’il existe de contourner ce genre de logiciels, les voleurs préfèrent les attaques ciblées aux attaques de masse, car ils ont moins de chance de se faire détecter par des outils de sécurité.
  • L'hameçonnage (ou phishing en anglais) : dans ce cas, les fraudeurs se font passer pour un organisme financier, de grandes entreprises connues de tous… afin de voler les données personnelles des utilisateurs. Cela sert surtout à voler l’identité bancaire des victimes, pour les utiliser à des fins financières. Cela passe souvent via des mails que les fraudeurs envoient aux utilisateurs, en se faisant passer pour un organisme familier. Un autre cas d’hameçonnage est celui où des personnes se font passer pour des gens dans le besoin, afin de soutirer de l’argent aux utilisateurs. Dans ce cas, ils demandent souvent des transferts d’argent dans leurs pays. Mais les personnes sont de plus en plus méfiantes quant à ce genre de pratiques. L’Anti-Phishing Working Group tente d’éliminer cette pratique.
  • Le pharming : cela est un peu un mix entre le logiciel malveillant et l’hameçonnage. Cette technique vise à envoyer un mail aux victimes, qui les renvoie vers un site frauduleux qui reprend l’apparence du site original (comme ceux des banques par exemple).
  • L’attaque de “l’homme au milieu” : les fraudeurs interceptent les données que les utilisateurs entrent sur un site qui est, à la base, légitime.
  • Le Smishing : il concerne un vol de données via les téléphones portables des gens. En effet, ces derniers reçoivent un SMS de type : vous avez souscrit à telle offre, et vous allez être facturé de tant si vous n’annulez pas votre commande via tel site internet. Le site internet en question est frauduleux, et récupère les données des victimes.
  • Le vishing : c’est également une technique de vol via les téléphones portables. Les utilisateurs reçoivent un message de “leur” banque ou d’un organisme connu, leur demandant d'appeler tel numéro pour telles et telles raisons. Lorsqu’ils se voient appeler ce numéro, ils tombent sur un répondeur qui leur demandent des informations personnelles telles que le numéro de compte etc, soit disant pour une vérification de sécurité. Il arrive que les fraudeurs appellent directement leurs victimes pour leur soutirer des informations personnelles.
  • Ingénierie sociale : c'est une manipulation afin d'escroquer des gens. Les fraudeurs vont trouver des faiblesses psychologiques chez leurs victimes afin d'obtenir des informations sur leur vie privée.
  • Le juice jacking : encore peu connue en Europe, cette technique de vol de données consiste à utiliser le courant électrique (bornes publiques de rechargement de batteries de smartphones, tablettes etc.) afin d'obtenir des informations privées sur les personnes.
  • Le spam : il est utilisé dans des cas de vols massifs. Le spam est souvent caché dans des emails, soit via du texte ou des images.[37]

L’utilisation des données personnelles volées[modifier | modifier le code]

Les données personnelles volées sont utilisées de diverses façons. Trois grandes catégories d’utilisation de ses données se sont distinguées : l’ouverture de nouveaux comptes, particulièrement bancaire où l’on peut retrouver des demandes de cartes de crédits, des emprunts bancaires, etc. ; l’utilisation des comptes bancaires (sans cartes de crédits) et enfin l’utilisation illicite de comptes bancaires par le biais d’une carte de crédit. Les vols des comptes et cartes bancaires existants vont alors servir à ouvrir des comptes chèques ou des comptes épargnes, des comptes de paiements sur Internet ou encore des comptes d’assurance médicales, etc.

D’autres fraudes peuvent être également soulignées. En effet, les victimes de vol d’identités déclarent que le voleur a utilisé leurs informations pour ouvrir au moins un compte nouveau. Les comptes nouveaux les plus fréquemment ouvert à l’aide des informations personnelles sont : services téléphoniques, compte de carte de crédit, prêts, comptes chèque/épargnes, compte de paiement sur Internet, assurances. Les plateforme où les vols sont le plus comptabilisées :

Si les données personnelles volées peuvent être diverses, les plateformes où les vols de données personnelles sont comptabilisées aussi. En effet, depuis 2013 nombreux sont les sites où des comptes ont été compromis [38]:

  • Dropbox : site permettant de stocker ses fichiers et documents en ligne a vu 68 millions de mots de passe et d'identifiants utilisateurs volés en 2016. C’était en 2012 où la faille de sécurité avait été remonté mais c’est uniquement 4 ans plus tard que la fuite des données est apparu.
  • Myspace : la même année, plusieurs centaines de millions de comptes dont 427 millions de mots de passe ont été mis en vente sur un site spécialisé dans le recel de données volées.
  • LinkedIn : plus de cent millions d’identifiants et mots de passe sont mis en vente en ligne en 2016. Ces données auraient été volées en 2012.
  • Ebay : en 2014, La société explique que l’une de ses bases de données a été forcée entre la fin de février et le début de mars, et que des informations non financières de la clientèle ont été volées. Dans la foulée, elle a demandé à 145 millions d’utilisateurs de changer de mot de passe.
  • Orange : l’opérateur téléphonique français reconnaît, mardi 6 mai 2014, un nouveau vol de données personnelles de 1,3 million de clients et de prospects, trois mois après une intrusion qui avait touché près de 800 000 d’entre eux. Une intrusion détectée le 18 avril a permis de dérober les noms, prénoms, et, quand ils étaient renseignés, l’adresse e-mail, les numéros de téléphone mobile et fixe et la date de naissance des utilisateurs. L’opérateur s’est engagé par la suite à prévenir les utilisateurs concernés pour limiter les risques de « hameçonnage », l’envoi d’e-mails frauduleux à escroquer ou à voler les données de leurs destinataires.

Si les identifiants et mot de passe sont les données principalement volées sur ces plateformes ne sont pas d'ordre personnelles, c’est plutôt les conséquences de ces vols qui sont inquiétante. En effet, c’est avec ce type de données que les techniques d'hameçonnage vont être utilisées.

Pour cela, les informations personnelles le plus couramment volées sont le nom et des informations d’identification de la personne. Cela permet également au voleur d’obtenir un passeport, des numéros de sécurité social, etc.

Mais si ces données peuvent être utilisées directement par le voleur, un autre phénomène est apparue d’autant plus grave. Il s’agit d’un marché économique de revente de données personnelles. En effet, les données personnelles sont devenues l’or noir du XXIe siècle. Il est aujourd’hui possible d’acheter des données personnelles, soit des identités, sur ce qu’on appelle le “Dark Web”.  Après une longue étude, réalisée par des spécialistes de la sécurité informatique aux États Unis en 2015, les experts ont conclu que les données personnelles étaient revendues en moyenne 19 . Il s’agit en fait de lot de plusieurs données personnelles contenant : adresse, mail, numéro de téléphone, numéro de sécurité social ou de carte bancaire, etc. Ce lot est appelé communément sur le Dark Web un Fullz. Ils sont alors classés par prix allant de 1 à 450 dollars, soit 410 . Puis le montant de ce lot est alors convertit en bitcoins (monnaie virtuelle utilisée sur le Dark Web) et revendus en moyenne 19 .  Ces tarifs, selon les chercheurs, sont fonction de leur rentabilité et de leur qualité. Par exemple, un Fullz comprenant des données de cartes bancaires avec un plafond permettant encore d’effectuer des opérations sont incluses, alors le prix sera élevé[39].

Les adresses mails sont aussi très prisées sur le Dark Web. En effet, il faut compter 75 $ pour un million d’adresses mail valides et 20 $ pour 40 000 adresses mails avec identifiant (login et mot de passe). Un compte bancaire ou Paypal sont vendus 50 $, une pièce d’identité ou un passeport d’un pays européen peuvent être vendus 1 000 .

Les données personnelles sont alors revendues telles de vrais marchandises. C’est devenu un vrai échange économique compétitif que l’on peut assimiler à une théorie de Georg Simmel : “L’échange économique est compétitif car il se joue entre trois personnes”. En effet, le vendeurs d’un Fullz peut très bien refuser de vendre à une personne X sous prétexte d’une demande de tarif trop bas puisqu’il sait pertinemment que le Fullz en question sera vendu quoi qu’il en soit à une autre personne. Il s’agit alors d’une compétition non pas pour les vendeurs mais plutôt pour les acheteurs.

La lutte contre le vol des données personnelles[modifier | modifier le code]

Un véritable outil de partage et de communication, l’internet conduit parfois aussi à la violation des droits fondamentaux notamment le droit à la vie privée et aux données personnelles. À cet effet, la difficulté sur la protection des données personnelles est de trouver un équilibre entre sécurité et confidentialité. La sécurité des données s'avère ainsi être un enjeu de taille. Il faut donc garder à l'esprit qu'aucune mesure de sécurité et qu'aucun logiciel ne peut stopper définitivement ces vols de données, la prévention reste le seul moyen.

Quelles seront ses préventions?

Plusieurs logiciels permettent d’avoir une surveillance de ses données personnelles tout en prévenant les risques d’utilisation malintentionnée. Grâce à cette surveillance, les trafics illégaux sur son web ou sur ses réseaux sociaux peuvent être repérés.

D’autres préventions peuvent être aussi soulignées afin d’anticiper les actions des malveillants. Pour s’en prémunir, chaque internaute devrait :

  • Prendre soin des informations personnelles et de son identité numérique à divulguer sur internet : en effet, les prédateurs récoltent les informations personnelles dans le but d’usurper l’identité des victimes. La prudence est vivement recommandée surtout vis-à-vis des formulaires à remplir en ligne, et de ne jamais autoriser le partage ou la conservation des données.
  • Être vigilant sur les paiements en ligne : lors des achats en ligne, les coordonnées bancaires risquent d’être aperçu par les attaquants, il est donc très nécessaire de vérifier le contenu du site internet. Cette vérification se portera notamment sur la présence du cadenas sur la barre d’adresse, s’assurer que l’Url commence par la mention « https// : », et de préférer l’implication d’envoi d’un code de confirmation par SMS.
  • Entretenir régulièrement les appareils numériques : il existe des vulnérabilités dans chaque système d’exploitation (Windows, Android, Linux, ) mais une fois découverte, elles seront corrigées par les éditeurs proposant des mises à jour de sécurité. Cependant pour les utilisateurs ne procédant pas à ces mises à jour, ils risquent de se faire exploiter par les usurpateurs.  Il est donc nécessaire de faire de temps en temps des mises à jour de logiciel.
  • Choisir avec soin ses mots de passe : privilégier un mot de passe de 12 caractères avec des majuscules, minuscules et des chiffres. Donc un mot de passe difficile à déceler contre les intrusions frauduleuses.
  • Utiliser différentes adresses pour les activités sur internet : avoir d’une part une adresse électronique dédiée pour les activités professionnelles (les banques, recherche d’emploi, …) et d’autre part une autre adresse pour tous les services extra-professionnels (pour les concours en ligne par exemple).

Notes et références[modifier | modifier le code]

  1. Recommandation n° R (97) 5 du Comité des ministres aux États membres relative à la protection des données médicales, adoptée par le Comité des ministres le 13 février 1997, lors de la 584e réunion des délégués des ministres.
  2. Serge Abiteboul, Collège de France - sciences des données : de la logique du premier ordre à la toile
  3. ISO9000 - Domaine : Concept
  4. (en) Acquisti, Alessandro, Curtis R. Taylor andLiad Wagman, The Economics of Privacy, SSRN, , 64 p.
  5. Voir papiers sur le site du Groupe de Berlin (en anglais)
  6. CNIL, La conférence internationale de Montreux, à laquelle la CNIL a participé, demande la reconnaissance d’un droit universel à la protection des données, 5 octobre 2005.
  7. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002
  8. CNIL : dispense de déclaration n° 6
  9. La gestion des données personnelles en entreprises et collectivités : résultats de l’enquête Legal Suite et Village de la justice, le 19 juin 2008.
  10. Olivier Robillard : CNIL, beaucoup d'entreprises méconnaissent leurs obligations, le 19 juin 2008
  11. Christophe Guillemin : La gestion des données privées des salariés à revoir dans une majorité d'entreprises, 2 juillet 2008.
  12. Comment les entreprises françaises gèrent les données à caractère personnel ?, le 9 juillet 2008
  13. Loi fédérale sur la protection des données du 19 juin 1992 (page consultée le 2 janvier 2015).
  14. a et b Cesla Amarelle, Droit suisse, Éditions Loisirs et pédagogie, 2008.
  15. Définition de mission sur le propre site du Préposé fédéral à la protection des données et à la transparence (page consultée le 2 janvier 2015).
  16. G29, Avis commun sur la proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers (PNR) à des fins répressives présentée par la Commission le 6 novembre 2007
  17. Un rapport approuve la diffusion de données médicales aux assureurs, Transfert, 20 juin 2003. Rapport Babusiaux.
  18. « L’informatisation des données de santé menace le secret médical » (Docteur X), Transfert, 9 octobre 2003.
  19. http://www.legifrance.gouv.fr/affichCode.do;jsessionid=1F2EA8A96D56CCA0C917751F3D2846D7.tpdjo01v_2?idSectionTA=LEGISCTA000006172512&cidTexte=LEGITEXT000006073189&dateTexte=20140201 Art L161-36-5] de la http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000625158 Loi relative à l'assurance maladie] (13 aout 2004) Version consolidée au 26 février 2010
  20. voir chapitre II de la loi n° 2011-525 du 17 mai 2011 de simplification et d'amélioration de la qualité du droit
  21. Bernard Kouchner du gouvernement Jospin
  22. a, b et c Eric Favereau, « Polémique sur la déclaration obligatoire de la séropositivité », Libération, 31 janvier 1998 [lire en ligne]
  23. Eric Favereau, « Sida: les femmes de plus en plus touchées. La déclaration (obligatoire et anonyme) de la séropositivité est toujours à l'ordre du jour », Libération, 17 novembre 1997 [lire en ligne]
  24. Pour la procédure législative en 1999, voir le 20e rapport de la CNIL (année 1999), chap. V
  25. CNIL, Délibération no 99-042 du 9 septembre 1999.
  26. Murielle Cahen, « LA PROTECTION DES DONNEES MEDICALES », sur www.murielle-cahen.com (consulté le 30 mai 2017)
  27. (en)en:The Transparent Society
  28. (en) "Anonymized" data really isn't—and here's why not
  29. (en) Yves-Alexandre de Montjoye, « Unique in the Crowd: The privacy bounds of human mobility », Nature SRep, no 3,‎ (lire en ligne)
  30. Cour d'Appel de Paris, 27 avril 2007 ; Cour d'Appel de Paris, 15 mai 2007
  31. Communiqué de presse de la CNIL du 7 août 2007
  32. Article 2 de la proposition de loi n° 81 adoptée le 23 mars 2010 par le Sénat et visant à mieux garantir le droit à la vie privée à l'heure du numérique
  33. Voir par exemple : Économie des données personnelles, Fabrice Rochelandet, Ed. La Découverte, Paris, 2010
  34. a et b Pierre Rimbert, « Données personnelles, une affaire politique : Se réapproprier une ressource d’utilité publique », Le Monde diplomatique,‎ (lire en ligne)
  35. Article "L’identité personnelle, carburant de l’économie numérique", humeursnumeriques.wordpress.com
  36. Pierre Bellanger, "Après la crise économique, la crise numérique", huffingtonpost.fr
  37. Brigitte Acoca, « Document exploratoire sur le vol d'identité en ligne », OCDE,‎ , p. 19-25 (lire en ligne)
  38. « Les principaux vols de données personnelles depuis 2013 », Le Monde.fr,‎ (ISSN 1950-6244, lire en ligne)
  39. « Vol d'identité : voilà comment fonctionne la vente de vos données personnelles sur le marché noir du Web et voilà combien elles valent », Atlantico.fr, {{Article}} : paramètre « année » ou « date » manquant (lire en ligne)

Bibliographie[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Liens internes[modifier | modifier le code]

Généralités

Aspects techniques

Aspects légaux

Critiques

Liens externes[modifier | modifier le code]