Acn gt1 – Identité Numérique





télécharger 420.16 Kb.
titreAcn gt1 – Identité Numérique
page2/9
date de publication24.10.2017
taille420.16 Kb.
typeDocumentos
e.20-bal.com > loi > Documentos
1   2   3   4   5   6   7   8   9

I - CONSIDERATIONS PRELIMINAIRES PROPRES A L’IDENTITE NUMERIQUE




Pour l’ACN, « La confiance numérique, c’est le choix libre du citoyen, consommateur, internaute d’utiliser des produits et services en ligne, ou de communiquer avec un tiers, dans un environnement numérique où il est un acteur informé de ses droits, conscient des options de protection en fonction du niveau des engagements, et confiant dans ses actions ».

Avec cette définition, l’ACN promeut une véritable information, voire éducation du citoyen, pour qu’il puisse utiliser les services du numérique en toute liberté, mais en situation d’identifier et de gérer ses risques éventuels :

  • Usurpation d’identités,

  • Escroquerie,

  • Collecte abusive d’informations et usages de celles-ci aux fins de nuisance (harcèlement commercial ou non, atteinte à la réputation, atteinte aux droits des enfants,) ou de divulgation non autorisée par le citoyen.


Ces risques identifiés sont relatifs aux « données à caractère personnel1 (DCP) », notion qui concerne notamment toute donnée propre au citoyen, notamment celle déduite de sa localisation, ou de sa navigation sur internet.
La directive 95/46/CE DU PARLEMENT EUROPEEN ET DU CONSEIL, du 24 octobre 1995 traite de la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive a été transposée en France par la « Loi Informatique et Libertés » (LOI n° 2004-801 du 6 août 2004).
Pour l’ACN, l’identité numérique est une réponse au besoin de protection du citoyen envers les risques exposés, en conformité avec la loi.

L’identité numérique est indispensable dès lors qu’il y a le besoin de créer la confiance numérique. Sous cette notion, on entend l’identification, établie au moyen de données personnelles, plus ou moins nombreuses, ou plus ou moins identifiantes, mais aussi l’authentification permettant de confirmer les données d’authentification. L’identité numérique est un développement dont l’enjeu est majeur pour l’économie du XXIème siècle.

Pour une portion croissante de pays dans le monde, l’identité numérique constitue le socle indispensable au développement du numérique, car elle améliore l’efficience des relations entre les acteurs sociétaux et augmente la confiance dans les transactions en ligne. Elle permet ainsi d’améliorer la qualité des services des utilisateurs, de fortifier la compétitivité des entreprises et renforce la qualité des missions de services publics comme, l’éducation ou la santé publique, tout en en réduisant les coûts.

Si au cours des précédentes décennies, on a eu tendance à considérer l’identité numérique comme un reflet à l’identique dans l’espace numérique des formes d’identité existantes dans le monde physique, il est admis aujourd’hui qu’elle est le support de l’efficacité, de la confiance pour les relations dans un monde dont les dimensions numériques et physiques sont de plus en plus intégrées.

Parce que l’identité numérique est au cœur des écosystèmes numériques structurés, son approche est cruciale pour les administrations, les entreprises et les citoyens. C’est un facteur de compétitivité non seulement pour chacune des typologies d’acteur, mais aussi dans le cadre d’une évolution mondiale globale et rapide en la matière, un enjeu d’ouverture, de rayonnement et de souveraineté pour les Etats.

Les identités numériques offrent des fonctions diverses et peuvent fonctionner sur des niveaux de confiance (sécurité) plus ou moins forts. Les niveaux de sécurité plus élevés, sont plus exigeants en termes d’investissement et de déploiement, mais offrent en contrepartie des avantages quant à la valeur légale des échanges, l’efficacité dans la lutte contre la fraude, et enfin donnent la possibilité à l’utilisateur de mieux contrôler les accès2 à ses données personnelles.

A.Rappel des fonctions contributives au bénéfice de la société


Contrairement à une croyance répandue, les fonctions de l’identité numérique, sont bien plus nombreuses que celles de la seule « identification ».

Elles consistent par exemple en:

- la gestion des droits d’accès vis-à-vis de ressources ou de services par l’autorisation

- l’individuation ou l’individualisation3 pour une gestion plus directe ou personnalisée,

- les échanges, les relations et la communication en permettant une sélection d’attributs ou une interopérabilité à partir des rôles professionnels ou civils.

- L’accès à des usages plus diversifiés, les usages de valeur élevée devenant possibles grâce à des niveaux de garantie ou de confiance choisis en adéquation.

  • Un pouvoir d’agir accru pour les personnes morales et physique avec une signature numérique qui devient vraiment effective, pour consentir, engager ou résilier un service ou une proposition, dans un monde devenu immatériel mais bien réel.

A travers toutes ces fonctions on constate que l’identité numérique agit pour sélectionner les attributs proportionnels adaptés à chaque situation et aux exigences règlementaires respectives. Dans certains cas une identification assez exhaustive peut être requise, mais le plus souvent, l’identité numérique consiste à sélectionner les données appropriées et à les transmettre selon une procédure qui protège les droits des parties4 en relation.

Au travers de ces fonctions, c’est l’ensemble de l’organisation de la Société, qui est rendue possible et plus efficace : communications, participation, échanges, engagements réciproques ou formalisation des droits ou des devoirs.

L’identité numérique participe ainsi à l’efficience de l’administration, à la modernisation économique des échanges et au confort des citoyens.

Elle apporte de très nombreux bénéfices à la société :

  • Croissance économique : Son potentiel à la modernisation des services et la croissance du PIB est remarquable5

  • L’environnement : L’identité numérique favorise la dématérialisation complète des échanges, le zéro papier et la réduction des déplacements

  • Efficacité et efficience : l’identité numérique fait gagner du temps aux entreprises, aux administrations et aux particuliers

  • Transparence : l’identité numérique permet d’améliorer la transparence, la conformité et l’auditabilité des échanges, lorsqu’elle est sécurisée et fiable

  • Sécurité et confiance : l’identité numérique participe à la nécessaire sécurité des échanges d’information, prévention des risques et meilleure cyber sécurité.

  • Prévention des fraudes et lutte contre la corruption : l’identité numérique favorise la loyauté et l’intégrité. Elle participe à prévenir les escroqueries et l’usurpation d’identité.

  • Intégration européenne : L’UE reconnait l’interopérabilité des systèmes d’identité numériques (« électroniques ») mis en place et promulgués officiellement par les états membres, en conformité avec le règlement eIDAS, présenté au chapitre suivant.

  • Inclusion sociale : L’identité numérique est reconnue comme facteur d’inclusion sociale, elle participe au droit à l’identité reconnu par l’ONU pour les enfants du monde entier. Elle favorise l’état civil, l’alphabétisation, l’accès à la santé et la protection des personnes dans les pays émergents. Dans le pays de l’OCDE elle favorise le maintien au domicile des personnes âgées qui passe nécessairement par des services en ligne.

Son importance est donc cruciale et sa portée vitale pour l’ensemble des acteurs économiques, à la condition de ne pas participer à la mise en place d’un système de surveillance généralisée. Il est crucial que chaque acteur agisse en tant qu’acteur responsable, en réfléchissant à la mise en œuvre de systèmes de gestion respectueux de la vie privée et des données personnelles.

B.1.2. 2015-2020 Mise en place des identités numériques européennes en conformité avec le règlement eIDAS


Le règlement6 N° 910/2014 du 23 Juillet 2014 sur l’identification électronique et les services de confiance7, aussi connu sous le terme eIDAS consacre officiellement à la fois l’arrivée et l’importance du rôle des identités numériques, à l’échelle transnationale, en Europe.

Ce règlement prévoit un calendrier d’application étalé sur cinq ans, entre septembre 2015 et 2019. Néanmoins il est applicable pour une part essentielle8 dès le 1er Juillet 2016.

Les Etats membres auront dans le cadre du règlement l’obligation de permettre aux citoyens européens utilisant des schémas d’identités notifiés et reconnus valables par l’UE, d’accéder aux services et transactions électroniques compatibles avec le niveau de sécurité ou de confiance légitime, et ceci à commencer par les services publics.

Par ailleurs, il est prévu que des Etats pourront officiellement dans le cadre législatif européen, rendre interopérables leurs systèmes d’identités numériques dès 2017. Dans la pratique, certains pays9 ont déjà commencé.

L’émergence d’écosystèmes nationaux d’identités numériques, faisant une large part aux fournisseurs d’identité du secteur privé, comme par exemple au Royaume Uni, fait entrevoir une possibilité que, les pays puissent notifier non pas un mais plusieurs schémas d’identité numériques reconnus officiellement.

D’autre part, les initiatives similaires, soutenues par une stratégie fédérale aux Etats Unis, et dans d’autres zones mondiales d’importance économique significative comme en Asie, font entrevoir l’importance d’accompagner dans une préparation de qualité, ces nouveaux développements aux enjeux de rayonnement économique et culturel considérable.

C.Pourquoi un cadre d’évaluation « Privacy Impact Assessment » sur l’identité numérique ?



Les impacts de l’identité numérique demandent à être mieux appréhendés tant par les administrations et les entreprises que par les citoyens. Cela est particulièrement vrai en ce qui concerne le respect de la vie privée et la protection des données personnelles. L’identité numérique sera un moyen de protection très fort, si l’écosystème est bien pensé dans ses usages, ses niveaux de confiance, ses technologies de sécurité et son évolution.
L’objet de ce document, est donc de dresser un cadre des grands paramètres à prendre en compte pour faire un PIA, qui sera adapté, au cas par cas, à la fois à l’identité numérique et aussi au contexte, au domaine considéré, à la dimension voulue de l’écosystème, aux utilisateurs et plus précisément à une situation donnée.
Une étude d’impact sur la vie privée –EIVP- (ou Privacy Impact Assessment –PIA- en anglais) n’est ni un contrôle de conformité, ni un audit, mais une étude préalable permettant d’identifier des risques, des menaces, ainsi que des solutions mises ou à mettre en place pour les prévenir.
Dans le cadre de l’identité numérique, il y a :

  • Une utilisation de données à caractère personnel :

  • Traitement de données à caractère personnel (données d’identification et attributs attachés),

  • Utilisation de supports (logiciels ou matériels) pouvant contenir des données à caractère personnel. Ces supports matériels d’identité numérique sont des objets personnels portables. Ils peuvent mettre en œuvre la technologie RFID,

  • Dans certains cas un besoin d’identification sans ambiguïté, sans possibilité d’utilisation de pseudonymes ou d’anonymisation,

  • Une multiplicité des acteurs :

  • Utilisation de mêmes moyens et solutions tant pour des services publics que privés, avec des cas d’usage très variés concernant tout aussi bien l’administration, les secteurs finances, santé, éducation, marchand, paiement, …

  • Des risques sur les données à caractère personnel :

  • Risques de détournement de finalité : publicité, CRM, profilage, … et sécurité / confidentialité,

  • Des mesures/techniques permettant de protéger les données à caractère personnel :

  • Usage éventuel de techniques biométriques,

  • Utilisation de pseudonymes ou d’anonymisation

Les solutions d’identité numérique proposées par la Feuille de Route Nationale de l’Identité Numérique impliquent l’Etat dans la définition d’un cadre de référence et d’une labellisation. La réalisation d’une étude d’impact est nécessaire. Il ne peut s’agir que d’une étude « en profondeur », vérifiant la conformité par rapport aux textes en vigueur :

  • Loi Informatique & Libertés, si l’étude est effectuée dans le seul cadre national,

  • Les décisions de la CNIL,

  • Le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS),

  • La directive 95/46/CE Protection des données qui devrait être remplacée par le futur règlement européen sur la protection des données personnelles,

  • La future loi française sur les droits et libertés numériques qui pourraient fixer de nouvelles règles.

Le droit au respect de la vie privée est reconnu par l’article 8 de la Convention européenne de sauvegarde des Droits de l'Homme et des Libertés fondamentales adoptée en 1950. La notion de vie privée couvre notamment les aspects suivants :

  • Vie privée physique : garantie de l’intégrité du corps de chaque individu

  • Vie privée des communications personnelles : liberté d’utiliser tous les outils de communications sans prendre de risque d’être surveillé

  • Vie privée spatiale : garantie du respect d’un espace personnel dans lequel la personne peut nouer les relations qu’elle souhaite.

On trouvera en annexe A un rappel du contexte législatif français, européen et international , mais nous rappelons ici que le droit au respect de la a vie privée est protégé au niveau international par l’article 12 de la déclaration universelle des droits de l’homme et que le droit à la vie privée est garanti par l’article 8 de la convention européenne des droits de l’homme10, et par l’article 9 du code civil français. Pour sa part, le droit à la protection des données à caractère personnel est protégé par l’article 8 de la Charte des droits fondamentaux de l’Union européenne. Le texte de référence est la directive 95/46/CE transposée en droit français par la loi Informatique et Libertés.

Généralement, le respect de vie privée protège l'opacité de l'individu par des mesures défensives, l’atteinte devant avoir eu lieu pour bénéficier de la protection. Il s’agit du droit de ne pas voir révéler des informations liées à sa sphère intime, qu’elle soit physique ou l’expression d’une relation avec autrui, pour permettre à la personne de s’épanouir.

Le droit à la protection des données à caractère personnel entend protéger l’individu de façon préventive par rapport à un risque précis, celui lié à l’usage des technologies de l’information. Se faisant, il protège la vie privée mais aussi d’autres libertés (libertés d’expression, de communication, etc.) et la non discrimination. Cet objectif est atteint en limitant les activités de traitement et en permettant à la personne de maîtriser la circulation de son image informationnelle.

Dans le cadre de l’identité numérique, la protection des données personnelles consiste notamment à prévenir la traçabilité des actions (comportement), l’interception des communications personnelles, la captation, le stockage et l’utilisation non consentie et abusive des données personnelles, en particulier la fraude et l’usurpation d’identité.

Au vu des déploiements qui se multiplient et s’accélèrent dans le monde entier. Il est devenu nécessaire d’accompagner l’émergence des « programmes»11 d’identité numérique avec le développement de méthodologies, de ressources et d’outils permettant :

  • De veiller à la bonne qualité des « programmes »

  • D’assurer une bonne information des usagers

  • D’assurer une bonne compréhension de l’ensemble

  • D’offrir un cadre de préparation et d’élaboration des «programmes »

  • De prévenir et savoir gérer les risques portant sur la sécurité, les données personnelles ou la vie privée

  • De favoriser une intégration harmonieuse dans les domaines concernés

  • D’offrir des repères et des recours sur le plan du droit, des règles et du cadre de supervision

  • De montrer comment l’identité numérique permet de renforcer la protection des données

Ce document fait partie de cet « accompagnement » en ciblant ici les aspects de la vie privée et de la protection des données plus particulièrement.

La démarche PIA vise à la protection contre des menaces identifiées (prenant en compte le niveau de risques, la probabilité de leur survenance, …), et donc la protection des :

  • Processus qui traitent des données personnelles, en conformité avec la Loi (notamment au regard des droits des personnes : information, consentement, droits d’accès, rectification, opposition, suppression);

  • Données à caractère personnel (DCP) : celles directement concernées par le traitement.

Le suivi de ce document cadre doit permettre d’éviter les situations suivantes:

  • Indisponibilité des données pour les processus légaux: ils n’existent ou ne fonctionnent pas ou plus ;

  • Modification du traitement : détournement

  • de la finalité, collecte excessive ou déloyale au regard du cadre légal ;

  • Accès non autorisés aux DCP

  • Modification non désirée des DCP : elles ne sont plus intègres ou sont changées ;

  • Disparition des DCP : elles ne sont pas ou plus disponibles.

De plus, un PIA correctement élaboré selon les recommandations de ce document, et préalablement à la réalisation d’un produit ou d’un service, offre de nombreux avantages. Il permet de :

  • Planifier une protection des données adéquate

    • Privacy by design

    • Responsabilité clarifiées (contrôleurs de données,..)

    • Transparence des flux

    • Possibilité de visualiser ou contrôler l’usage des données par l’utilisateur

    • Auditabilité et recours

  • Donner des garanties de confiance (sécurité, confidentialité, proportionnalité, etc.) et de transparence (lisibilité) aux utilisateurs

  • Visualiser les points critiques en termes de données (données sensibles, données identifiantes) ou de processus et de flux (niveaux de sécurité requis)

  • Prévenir et minimiser les risques d’intrusion dans la vie privée ou d’exploitation non autorisée des données.

    • Par les acteurs de l’écosystème

    • Par une tierce partie



D.Comment utiliser ce document cadre d’étude d’impact sur la vie privée


La CNIL ayant publié sa méthodologie, ce document s’y est conformé, même s’il se aussi base sur d’autres textes fondateurs, comme ceux du Centre National de référence du RFID (CNRFID), ainsi que sur les normes élaborées dans le cadre du CEN TC225 (EN 16571 :2014) et de l’ISO/IEC JTC1/SC27 (ISO 29134) à l’état de Working Draft (WD).

Conformément à la méthodologie CNIL, il convient de :



1. délimiter et décrire le contexte du(des)

traitement(s) considéré(s) et ses enjeux ;

2. identifier les mesures existantes ou

prévues (pour respecter les exigences légales

et traiter les risques sur la vie privée de

manière proportionnée) ;

3. apprécier les risques sur la vie privée pour

vérifier qu’ils sont convenablement traités ;

4. prendre la décision de valider la manière dont

il est prévu de respecter les principes de

protection de la vie privée et de traiter les

risques, ou bien réviser les étapes précédentes.

Il s’agit d’un processus d’amélioration continue. Il requiert donc parfois plusieurs itérations pour parvenir à un dispositif de protection de la vie privée acceptable. Il requiert en outre une surveillance des évolutions dans le temps (du contexte, des mesures, des risques…), par exemple tous les ans, et des mises à jour dès qu’une évolution significative a lieu.
1   2   3   4   5   6   7   8   9

similaire:

Acn gt1 – Identité Numérique iconSémiotique et visualisation de l’identité numérique : une étude comparée de Facebook et Myspace

Acn gt1 – Identité Numérique iconPrésence numérique : les médiations de l’identité
...

Acn gt1 – Identité Numérique iconLes enjeux juridiques liés à l’identité et à la sécurité dans le numérique
«entité», terme désignant une personne morale, disposera des droits sur le site, le logiciel ou la technologie. En revanche, IL n’existe...

Acn gt1 – Identité Numérique iconÉducation Morale et Civique Niveau seconde
«Qu'est-ce qu'un média ?, «Qu'est-ce qu'un média social?» (voir doc. 1) et «Les multiples facettes de l'identité numérique» (doc....

Acn gt1 – Identité Numérique iconPratiques numériques, lieux innovants et médias de jeunes
«fracture numérique», entendue principalement comme un enjeu d'équipement, cède progressivement la place à la problématique de «l'inclusion...

Acn gt1 – Identité Numérique icon1. Introduction Pourquoi une Stratégie de cohérence régionale d'aménagement numérique en 2009 ?
«Renforcer la dynamique d’action publique et accompagner la structuration de maîtrises d’ouvrage locales en matière d’aménagement...

Acn gt1 – Identité Numérique iconNotes sur la transcription X
«ajustements» ciblés sur l’identité et le processus d’identification. Jusqu’à une période récente, toutefois, l’interdépendance unissant...

Acn gt1 – Identité Numérique icon1. Zoom sur «Apprendre avec le jeu numérique»
«Apprendre avec le jeu numérique» a été lancé via Eduscol en mars 2016, afin d’aider les enseignants dans de nouvelles pratiques...

Acn gt1 – Identité Numérique iconChapitre 3 Aménagement Numérique, Attractivité des Territoires et Développement Durable
«Nouvelle Economie», mort-née avec l’éclatement de la «bulle Internet», à l’apparition de la «fracture numérique» puis à sa résorption...

Acn gt1 – Identité Numérique iconEconomie sociale et solidaire : approche sectorielle dans le numérique
«Le numérique comme levier d’insertion : quelle perspective sur nos territoires ?»






Tous droits réservés. Copyright © 2016
contacts
e.20-bal.com