UXDE dot Net Wordpress Themes

Compte rendu conférence « To Trust Or Not To Be : l’ internet peut-il exister sans confiance? »

dans Non classé / Réagissez à cet article!


Conférence organisée le 6 décembre 2012 par le Master 2 Droit du Multimédia et de l’Informatique et le Master 2 Droit de la communication de l’Université Paris II Panthéon-Assas, animée par M. Adrien Basdevant (étudiant du M2 DMI), et en présence de :

 

  • M. Olivier Itéanu : Avocat au barreau de Paris, Cabinet Itéanu & Associés, Enseignant à l’Université Paris XI Jean Monet
  • M. Fabrice Rochelandet : Professeur à l’Université Paris III Sorbonne Nouvelle
  • M. François-Xavier Rousselot : Président de Scan & Trust
  • M. Eric Caprioli : Avocat au barreau de Paris, Docteur en droit, Cabinet Caprioli & Associés, Enseignant à l’Université Paris II Panthéon-Assas

 

Construction de l’identité et de la réputation : quelles sont les conséquences sur la vie privée ?

 

 

  • Les concepts clés

 

M. Itéanu a entamé cette conférence en présentant les notions clés du sujet : la confiance, la vie privée, l’identité.

 

Qu’est-ce que  la confiance ?

Il faut distinguer la confiance de la sécurité, la confiance est un sentiment de sécurité mais ce n’est pas la sécurité. En outre la confiance n’est pas non plus la garantie d’une absence de risque. Alors qu’est ce que la confiance ? Il s’agit d’un sentiment, un concept irrationnel, lié au temps. La confiance se construit avec le temps, elle ne s’atteint pas mais on tend vers elle.

 

 Qu’est-ce que la vie privée ?

La vie privée est classiquement entendue comme un concept protégeant les personnes publiques, les « VIP » via l’article 9 du Code civil.

La loi informatique et liberté de 1978 ne concerne pas la vie privée. Elle ne s’intéresse qu’aux données de la vie privée.

 

Qu’est-ce que l’identité ?

Il faut comprendre l’identité (numérique et physique) comme un système qui comprend des identifiants tels que les pseudos par exemple, un registre d’identité tel que l’état civil, un tiers qui nous permette de prouver notre identité etc…

 

  • Identité sur internet et conséquences sur la vie privée

Le système d’identité n’a pas été normé, il a été ignoré par internet. Par conséquent des problèmes de vie privée se posent contrairement aux problèmes relatifs aux données de vie privée qui, eux, sont traités par la CNIL.

La vie privée des citoyens n’est pas protégée face « aux marchands d’identité » tels que Facebook ou Google. Le système de class action pourrait permettre de lever certaines difficultés.

En outre, le droit à l’image prend une place centrale avec internet. A tel point que l’image devient une question autonome par rapport à la vie privée. L’image est une notion au cœur de différents modèles : on parle de patrimonialisation de l’image, mais elle peut aussi devenir une donnée à caractère personnel.

 

 

 

Propriété des données à caractère personnel : reste t-on propriétaire de nos informations ?

 

M. Rochelandet poursuit la conférence sur le thème de la propriété des données et donne un éclairage économique.

 

 

  • L’exploitation des données personnelles

 

La propriété des données personnelles a fait l’objet de débats importants dans de nombreux pays. La question est née aux Etats-Unis dans les années soixante-dix.

 

Les économistes identifient trois externalités négatives possibles résultant de l’exploitation des données personnelles :

1      atteinte à la vie privée pour les individus, cela peut réduire leur bien être.

2      préjudice possible pour les entreprises qui ont été les premières victimes du spamming.

3      préjudice possible pour la société dans son ensemble en ce que l’autonomie individuelle des individus qui la composent peut être remise en cause.

 

  • La régulation des données personnelles

 

L’économiste cherche à concevoir une réglementation optimale des données personnelles, c’est-à-dire une régulation qui respecterait certains critères : la préservation de l’innovation, et des libertés économiques. L’objectif est d’avoir une réglementation qui vienne minimiser les externalités négatives identifiées.

 

4 types de régulation possibles

■      avant dommage : ex ante

■      après dommage : droit à l’oubli numérique

■      à la charge des individus

■      à la charge des exploitants = self-regulation

 

Qu’est-ce qu’une régulation optimale ?

■      une régulation suivie par les individus, qui crée une incitation suffisante

■      une régulation qui minimise les coûts de transaction, qui n’est pas trop coûteuse socialement

■      une régulation qui ait fait l’objet de certains compromis, un équilibre entre capacité d’innovation et respect de la vie privée

  • La propriété des données personnelles

 

La définition du droit de propriété pour l’économiste diffère de celle du juriste. Le premier conçoit le droit de propriété comme un droit d’usage et de contrôle, le second le conçoit comme un droit de possession.

 

 Propriété des données personnelles au sens économique : ça existe déjà !

■      les exploitants formatent les données, les traitent, les utilisent, constituent des bases de données qui sont protégées par la propriété intellectuelle.

■      les individus peuvent demander communication de leurs données personnelles, ils ont le droit d’être informés.

 

Trois régimes de propriété possibles 

 

■      Droits inaliénables 

Il s’agit de la solution de l’ « opt-in ». Cela implique de demander le consentement de l’individu avant tout usage des données personnelles : le coût de transaction est alors très important et cela risque d’empêcher l’exploitation des données personnelles et ainsi l’innovation.

■      Droits librement négociables 

Il s’agit d’une piste suivie actuellement. Cette conception part du constat que les données personnelles seraient des ressources sousévaluées et l’idée est donc d’octroyer des droits de propriété pour inciter les individus à trouver des solutions pour valoriser leurs données personnelles. Cela implique que les individus soient aptes à contrôler les différentes utilisations possibles de leurs données personnelles.

■      Absence de droits patrimoniaux

Cette solution existe en France et a beaucoup de défenseurs, pourquoi ?

  • car selon eux, on ne marchandise pas son droit moral, on ne peut pas « marchandiser » des données issues du droit de la personnalité.
  • En outre, et il s’agit cette fois d’un argument de l’école d’économie de Chicago incarnée par Richard Posner : les données personnelles ne sont pas produites par les individus donc on ne peut pas leur donner un droit de propriété. Il faut que les droits  aillent vers ceux qui investissent le plus pour valoriser les données.

 

Focus sur un régime de droits patrimoniaux librement négociables

De nombreuses questions restent en suspend notamment relativement à l’organisation du marché.

■      A qui attribuer les droits ? Aux individus ou aux entreprises ?

■      Quelle est la nature des droits de propriété ainsi octroyés ?

  • un droit de possession ?
  • un droit de propriété intellectuelle ? un tel droit existe pour inciter à la production de connaissances nouvelles or les données personnelles ne sont pas des connaissances nouvelles
  • un droit à compensation ? une forme de licence légale mais dans ce cas on n’est plus vraiment dans le régime de droit de propriété et cela pose le problème du niveau de rémunération.

■      Quelles solutions institutionnelles ?

■      Comment évaluer les droits ? Il y a un risque de sous évaluation car les individus ne savent pas comment sont exploitées leurs données personnelles.

 

 

Transparence et confiance : la réputation sur internet

 

M. Rousselot intervient ensuite pour présenter les enjeux de la e-réputation.

 

Internet a longtemps été présenté comme un « global village ».  Le rêve se serait brisé suite aux différentes arnaques et tromperies apparues sur la toile. On serait passé du « global village » au « global mall ». Aujourd’hui, internet est davantage un immense centre commercial où les marques qui inspirent confiance règnent en maîtres.

 

L’évolution des problématiques de sécurité

 

Les premières problématiques de sécurité étaient liées aux virus transmis via les mails. La technologie a réussi à résoudre ces problèmes grâce aux antivirus et firewall. De même, le phishing a été dépassé grâce à la mise en place de filtres.

Aujourd’hui, les individus interagissent de plus en plus sur la toile, et il devient essentiel de faire confiance à la personne avec laquelle on interagit. C’est la raison pour laquelle la réputation devient centrale.

 

Les limites de l’e-réputation

 

Le problème majeur est que la e-réputation n’est pas synonyme de vérité. La vidéo de Rachel Botsman montre à quel point il est impératif d’avoir une image de marque importante pour inspirer la confiance : L’e réputation : be big or big Dead – cf lien TED Rachel Botsman : the currency of the new economy is trust. L’e-réputation est donc souvent « artificielle ».

 

Enfin, il y a un manque de contexte, un manque d’expertise dans l’e-réputation. Une solution serait de démultiplier l’expertise grâce à l’intelligence artificielle. Développer des outils qui  permettraient de jauger un site web.

 

 

 

La proposition de règlement du Parlement Européen et du Conseil sur l’identification et les services de confiance dans les transactions électroniques au sein du marché intérieur

 

Enfin, M. Caprioli est intervenu pour présenter la proposition de règlement sur l’identification et les services de confiance dans les transactions électroniques au sein du marché intérieur.

 

  • Introduction

 

Contexte

–       Nécessité d’adopter des solutions européennes voire transnationales simples à implémenter en vue d’une meilleure sécurité juridique

–       Volonté d’harmonisation des législations nationales en matière de signature électronique, identification/authentification, horodatage

 

La proposition de règlement offre l’opportunité d’adopter un texte juridique unique et directement applicable aux vingt-sept Etats membres de l’Union européenne ce qui permettra d’estomper les divergences d’interprétation entre les Etats membres résultant de l’adoption de directives.

 

Quels sont les services concernés ?

Il s’agit de sécuriser les transactions électroniques. A ce titre le règlement prévoit l’encadrement de système d’identification et d’authentification et des services de confiance comme la signature électronique, le cachet électronique, l’horodatage ou les documents électroniques.

 

Quels sont les organes de contrôles ?

La proposition de règlement prévoit l’obligation pour les Etats membres de mettre en place un organe de contrôle. Celui-ci aura pour objectif d’établir un rapport annuel à destination de la Commission et gérer des listes de confiance des services et des prestataires techniques assurant ces services.

 

Après cette courte introduction, Monsieur Caprioli présente les différents outils juridiques énumérés dans la proposition de règlement.

 

  • La signature électronique

 

En France, la notion est consacrée à l’art 1316-4 alinéa 1er du Code civil qui prévoit que la signature « manifeste le consentement des parties aux obligations qui découlent de cet acte ».

 

Le règlement UE comme le droit français prévoit 3 niveaux de signatures :

–       la signature électronique simple

–       la signature électronique avancée qui doit remplir des conditions spécifiques : être liée uniquement au signataire, permettre d’identifier le signataire, avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et être liée aux données auxquelles elle est associée de telle sorte que toute modification ultérieure des données soit détectable (art 3.7 proposition règlement)

–       la signature électronique qualifiée qui est l’équivalent de la signature électronique sécurisée présumée fiable en France. Cette signature a le même effet juridique que la signature manuscrite.

 

Néanmoins, à la différence du droit français, la proposition de règlement comme la directive 1999/93 ne prévoit pas que la signature électronique garantisse expressément le consentement du signataire au contenu juridique de l’acte signé.

 

  • Authentification et identification numérique

 

L’article 3 de la proposition de règlement définit les notions d’identification et d’authentification.

Au terme de cet article on entend l’identification électronique comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant sans ambiguïté une personne physique ou morale ».

L’authentification  doit être entendue comme un « processus électronique qui permet de valider  l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée électronique ».

La section 8 du troisième chapitre de la proposition de règlement prévoit un système d’authentification de sites web (et non de l’internaute). Ce procédé de sécurité supplémentaire permet de vérifier l’authenticité de la personne morale cachée derrière le site internet sur lequel une personne se connecte. Ainsi l’internaute est assuré d’accéder au site de l’entreprise (ex une banque, EDF etc). En revanche, la proposition de règlement ne contient pas de sanction directe d’une usurpation d’identité numérique (délit prévu en droit français à l’article 226-4-1 du Code pénal).

 

  • Le scellement ou sceau électronique

 

Il s’agit de la « signature technique » de la personne morale. Le sceau électronique garantit les fonction d’authentification de la personne et d’intégrité du contenu.

La proposition de règlement prévoit que les sceaux électroniques servent « à prouver qu’un document électronique a été délivré par une personne morale en garantissant l’origine et l’intégrité du document ».

Le sceau peut être simple, avancé ou qualifié. Le cachet qualifié bénéficie de la présomption de fiabilité et fait l’objet de la reconnaissance et de l’acceptation mutuelles.

La reconnaissance de la valeur juridique de la signature d’une personne morale est innovante et utile dans la mesure où elle effectue des actes répétitifs (ex : factures et autres documents).

 

  • L’horodatage  

L’horodatage électronique est défini par la proposition de règlement comme « des données sous forme électronique qui associent d’autres données électroniques à un instant particulier et établissent la preuve que ces données existaient à cet instant » (art 3.25)

 

L’article 32 prévoit les effets juridiques et la valeur probante des horodatages électroniques :

1. L’efficacité juridique et la recevabilité comme preuve en justice ne peuvent être refusées à

un horodatage électronique au seul motif qu’il se présente sous une forme électronique.

2. Un horodatage électronique qualifié bénéficie d’une présomption légale quant à la garantie

de l’instant indiqué et de l’intégrité des données auxquelles se rapporte cet instant.

3. Un horodatage électronique qualifié est reconnu et accepté dans tous les États membres.

Il existe deux niveaux d’horodatage en France et au sein de l’Union Européenne : horodatage  simple ou qualifiée. Un horodatage qualifié doit satisfaire à certaines exigences posées à l’article 33-1 de la proposition de règlement :

 

“Un horodatage électronique qualifié satisfait aux exigences suivantes:

(a) il est lié avec exactitude au temps universel coordonné (TUC) de manière à exclure

toute possibilité de modification indétectable des données;

(b) il est basé sur une horloge exacte;

(c) il est délivré par un prestataire de service de confiance qualifié;

(d) il est signé au moyen d’une signature électronique avancée ou d’un cachet

électronique avancé du prestataire de service de confiance qualifié, ou par une

méthode équivalente.”

  • Les documents électroniques

La proposition de règlement, comme le droit français, ne distingue pas entre l’original électronique et la copie. Il n’existe pas de régime de la copie d’un original électronique.

L’article 34 de la proposition de règlement précise les effets juridiques et l’acceptation des documents électroniques :

–       il est considéré comme équivalent à un document imprimé

–       s’il porte une signature électronique qualifiée ou un cachet électronique qualifié de la personne compétente pour le délivrer, il bénéficie d’une présomption légale quant à son authenticité et à son intégrité

–       les documents imprimés qui sont considérés comme des originaux ou des copies certifiées en vertu du droit national de l’État membre d’origine doivent au moins être acceptés dans les autres États membres sans exigence supplémentaire.

Avec ces nouvelles dispositions, il risque d’y avoir des interférences avec les règles probatoires de chaque Etat membre.

La Commission européenne, comme avec la proposition de règlement relative à la protection des données à caractère personnel, dispose d’un large pouvoir qui lui est conféré au travers des actes déléguées et d’exécution.


[1]* Faire confiance ou ne pas être

By les étudiants du M2 ASSAS DMI|Website|Other Articles

Laissez une réponse

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>