[actus_l] Informatique et libertés 2.0 (1) : de nouveaux paradigmes se dessinent

http://www.identitesactives.net/?q=informatique-et-libertes-20-1	

Informatique et libertés 2.0 (1) : de nouveaux paradigmes se dessinent
ven, 05/30/2008 - 14:06 — RenaudFrancou

Première réunion du groupe "Informatique et libertés 2.0", animée par Daniel
Kaplan, le 22 avril dernier. L'idée était de dresser collectivement un premier
panorama de pratiques fortes propres à servir de levier à une potentielle
évolution de la loi. Déjà, quelques tendances se dégagent ...

"La question posée au groupe est donc la suivante : si l'on met à part les
évolutions (normales en 30 ans) interne au champ "Informatique & libertés"
défini depuis 30 ans, ou encore les difficultés d'application – y a-t-il des
éléments qui changent radicalement le contexte par rapport à 1978 : des
pratiques (individuelles, collectives, d'entreprises ou d'administrations)
très neuves et irréductibles à celles que nous connaissions ? Des techniques
qui transforment le paysage ? Des échelles si différentes de celles de 1978
qu'elles changent la nature des phénomènes concernés ?..."

Google et sa responsabilité d'"infrastructure"
En mettant à disposition (et en conservant en cache) des données à caractère
personnel, sans gérer de possibilité d'effacement, sans (par construction) se
préoccuper de savoir si les pages référencées contiennent des informations
licitement publiées sur les personnes, Google , comme les autres moteurs de
recherche, se trouve sans doute en territoire juridique fragile. Autre
exemple, des rapprochements hasardeux tels que ceux de propos racistes avec le
nom d'un journaliste qui les cite (mais on ne comprend qu'il n'en est pas
l'auteur que lorsqu'on suit le lien). Mais dans le même temps, c'est
précisément le fait de tout indexer (y compris d'une manière assez brute) qui
lui confère une telle valeur en en font désormais une infrastructure critique
de l'internet. Faut-il alors imaginer un statut particulier d' "infrastructure
informationnelle", avec des droits, des garanties, des responsabilités et des
devoirs particuliers ? Et l'hégémonie de Google doit-elle conduire à d'autres
mesures ?

Revisiter le "droit à l'oubli"
L'accessibilité sans limite de temps d'informations à caractère personnelle
anciennes (frasques de jeunesse, propos tenus…) pose également un problème.
Celui-ci peut aller loin : alors que depuis des siècles la justice règle très
finement les conditions de publicité de ses décisions, afin par exemple de
favoriser la réinsertion des personnes condamnées, rien de cela ne s'applique
plus en ligne. Il y a là une tension : le web démocratise le droit d'accès aux
archives, ce qui est une bonne chose, mais ce faisant, il conduit à remettre
en question ce droit lui-même… Si le droit à l'oubli classique devient
difficile à appliquer, faut-il alors imaginer d'autres droits ? Tels que :

    * Le droit à l'anonymat, au pseudonymat, à avoir plusieurs noms
("polynymat" ?), à changer de nom, à adopter un nom très commun pour qu'on ne
puisse pas nous distinguer des homonymes ("droit à l'homonymat" ?)
    * Le droit au mensonge ou à l'obfuscation (enfouir les informations vraies
sous un grand nombre d'informations fausses)...

Le dévoilement et la publicité de soi
A l'inverse, on constate que beaucoup des pratiques numériques du "Web
2.0" (et certaines plus anciennes) s'organisent autour d'une volonté de se
dévoiler, d'apparaître, de se présenter sous un certain jour, d'étendre et
d'organiser son réseau de relations… jusqu'à pouvoir imaginer de considérer un
individu comme un média, ou une marque. De même, on constate que quelles que
soient les valeurs ou les inquiétudes publiques qu'ils professent (le fameux
privacy paradox), les individus sont assez enclins à fournir beaucoup
d'informations sur eux-mêmes, surtout s'ils estiment que la contrepartie en
vaut la peine. Ils ne sont pas pour autant inconscients des risques, mais ils
les gèrent, ils arbitrent. On passerait alors peut-être d'un droit centré sur
la protection des individus (les données à caractère personnel ne pouvant être
exploitées que par de grandes structures, il fallait en protéger les
personnes) à un droit centré sur la maîtrise par les individus de leurs
données, de leurs manifestations, de leur image etc. Maîtrise qui peut
signifier une forme de masquage, ou au contraire la volonté de négocier ou de
publiciser efficacement ces données. D'autant que tout le monde n'est pas sur
Google, tout le monde n'apparaît pas (encore ?) en ligne. Peut-être certains
de ceux qui n'y sont visibles pas considèreront-ils les inquiétudes de ceux
qui le sont comme des "problèmes de riches" – eux aimeraient bien qu'on en
sache plus sur eux…

La surveillance réciproque
Il y a une demande forte de sécurité, au point d'accepter de sacrifier des
pans de vie privée ou de liberté (ou alors de celles des autres), comme le
démontre récemment le cas des "boîtiers anti-jeunes" émetteurs d'ultrasons. Il
ne s'agit plus seulement de protéger les individus contre les institutions ou
les entreprises, mais contre leurs voisins… Les "technologies de protection de
la vie privée" (PETs) Les Privacy Enhancing Technologies (PETs) regroupent
tous les dispositifs technologiques destinés à protéger la vie privée.
Certaines d'entre elles sont très avancées. On sait par exemple produire des
cartes biométriques anonymes, grâce auxquels l'émetteur (clairement identifié
et très honorablement connu) certifie sous sa responsabilité que le porteur
(anonyme) possède telles caractéristiques ou tels privilèges. On pense à une
carte de nationalité sans nom du porteur à des cartes de fidélité anonymes,
etc. Mais si les technologies sont disponibles, comment expliquer leur
non-adoption ? Est-ce une simple question d'information ou de
sensibilisation ? Un problème plus profond de motivation des individus ? Un
blocage plutôt lié aux entreprises et institutions peu pressées de voir les
individus disposer de tels outils ?...

Qu'en déduire ?
Une première série d'enseignements ( que le groupe complètera !) :

    * Des aspirations...

      Anonymat, surveillance réciproque, personnalisation des services,
commodité extrême (ex : accès facilité aux archives publiques), visibilité &
réputation en ligne, dévoilement, extension, exploitation de son réseau
social, préservation dans la durée de son patrimoine numérique personnel,etc.
    * Des risques et dangers...

      Inorganisation et éparpillement du paysage de l'identité numérique,
méconnaissance des risques, traces & captures subreptices, absence d'anonymat,
permanence de l'information, puissance des moteurs de recherche (croisements,
collecte), être jugé à tort sans en avoir conscience (homonymie), inadéquation
du droit à l’image avec la généralisation des photos et vidéos en ligne, etc.
    * Des mesures...

      De la protection à la maîtrise ; "défenses mobiles", anonymat -
pseudonymat - polynymat - homonymat ("droit à la banalité"), identités
multiples & changeantes, PETs, statut des services de fédération d'identité, &
outils tels que Cardspace, authentification, personnalisation sans
identification, obfuscation, effacements obligatoires / aléatoires,
eatomatisation du droit d'accès et de rectification, etc.
    * Des droits...

      Sanctuarisation des PETs (interdiction de fournir les moyens de les
casser, cf. loi DADVSI et directives européennes sur les DRM), droit à être
prévenu quand des données sont compromises / utilisées, "Class actions" liées
aux données personnelles, droit à l'oubli revisité, statut d'"infrastructure
informationnelle" pour les moteurs de recherche, reconnaissance d’un droit à
l’anonymat par défaut, etc.

_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l