Communication sur : Administration Electronique & Identité Numérique Présentée par M. Chemseddine Ethani BARNAT Enseignant Faculté des Sciences Economiques et de Gestion de Nabeul chemsnet@yahoo.fr www.urdri.fdspt.rnu.tn Tunis, 14 avril 2009
PROBLEMATIQUE ? Quel est l’impact de l’administration électronique sur l’identité numérique ?
La notion de l’identité numérique L’identité est «l’ensemble des composantes grâce auxquelles il est établi qu’une personne est bien celle qui se dit ou que l’on présume telle (nom, prénoms, nationalité, filiation) » L’identité numérique est l’ensemble des informations traitées par les moyens électroniques, permettant d’identifier une personne.
Deux catégories d’identité numérique Identité numérique « privée » Identité numérique « publique »
Identité numérique privée Déclaratoire Aléatoire Non vérifiable Multiple Non règlementée Libre Reflet de la personnalité subjective
Identité numérique « publique » Règlementée Officielle Vérifiable Toute fausse déclaration est sanctionnée Sécurisée Reflet de la personnalité objective Plus fidèle à l’identité réelle
La notion de l’identité numérique est en rapport avec la notion de données personnelles Les données personnelles: ( art. 4 Loi organique n° 2004-63 du 27 juillet 2004): « Toutes les informations quelle que soit leur origine ou leur forme et qui permettent directement ou indirectement d’identifier une personne physique ou la rendent identifiable, à l’exception des informations liées à la vie publique ou considérées comme telles par la loi ».
De quoi s’agit-il exactement ? Données d’identification directe: Nom et prénom Photo Empreinte digitale, rétinienne…etc. Données d’identification indirecte: Adresse IP, Numéro d’affiliation à une caisse de sécurité sociale…etc.
Y a-t-il un droit à l’anonymat?
Chaque personne a le droit à l’anonymat Mais lorsque cette volonté de rester anonyme interfère avec un intérêt général, la loi intervient pour restreindre cette liberté: Cas du traitement des données par l’administration
Cadre juridique du traitement des données personnelles Article 9 de la constitution « L'inviolabilité du domicile, le secret de la correspondance et la protection des données personnelles sont garantis, sauf dans les cas exceptionnels prévus par la loi ». Loi organique du 27 juillet 2004 relative à la protection des données personnelles.
Parmi les exceptions prévues par la constitution: Le traitement des données personnelles par l’administration (Loi organique du 27 juillet 2004)
Quel est l’impact de l’administration électronique sur l’identité numérique ?
La réalisation de plusieurs programmes d’informatisation de l’administration : Des traitements automatisés de données personnelles d’identification par toutes les administrations
Quelques programmes d’informatisation de l’administration La première génération de l’administration électronique : SINDA (Système d’Information de Dédouanement Automatique) INSAF (Système de Gestion des Affaires Administratives du Personnel de l’Etat) ADEB (Système d’Aide à la Décision Budgétaire) SICAD (Système d’Information et de Communication Administrative)
La deuxième génération de l’administration électronique: Ex.: RAFIC (système de Rationalisation des Actions Fiscales et Comptables) SADEC (Système d’aide à la décision et au contrôle) RAKMIA 1 et 2 E-Tasrih MEDENIA 1 et 2
Quels sont les problèmes qui menacent l’identité numérique ?
Principaux problèmes de la protection de l’identité numérique Problèmes techniques Problèmes de garanties juridiques
Les problèmes techniques
Qu’est ce qu’un réseau sécurisé? Pour qu’un réseau soit sécurisé, il faut qu’il soit: Accessible en permanence (accessibilité) Les données traitées soient fiables (intégrité) Les données ne peuvent être portées qu’à la connaissance des personnes habilitées à le faire (confidentialité)
Quels sont les risques techniques ? Accès plus facile à un grand nombre d’informations personnelles Risque de manipulation des informations (modification ou suppression) Risque de recel d’informations surtout avec le développement des supports numériques et des réseaux de communication Risque d’attaque pirate (déni de service, usurpation d’identité, cyber espionnage…etc.)
Témoignage Le Conseil de l’Europe (2004) «il est devenu et il deviendra de plus en plus possible et de moins en moins cher d´enregistrer la vie de tous les individus de la planète (la nôtre et celle des autres …»
Quelques évènements marquants Zdnet (2005): Entre 2003-2004: vingt pirates présumés chinois aurait attaqué et piraté des sites d’information américains sensibles, notamment des centres militaires et la NASA (pas de détails côté gouvernement) . Avril 2007: Cyber-attaque sans précédent par des pirates russes contres les sites gouvernementaux estoniens. Résultat: paralysie totale des sites gouvernementaux et administratifs pour déni de service.
Le Monde (sept.2007) Le Figaro: Juin 2007: l’armée chinoise attaque le Pentagone provoquant une perturbation totale de son système d’information et de communication. Der Spiegel: 2007: Le gouvernement allemand a été aussi victime d’un cyber espionnage à cause des chevaux de Troie chinois. Le Monde (sept.2007) Attaque contre des sites de l’administration française par des virus (dommages importants selon des sources non officielles)
DONC Tant qu’il y a contact avec l’extérieur, il y a risque d’attaques Il y a dans le monde près de 10.000 pirates doués qui travaillent jours et nuits pour provoquer tout genre de dommages aux systèmes informatiques du monde Certains pirates travaillent comme des mercenaires et sont capables de tout faire
Il existe sur le marché mondial des kits de piratage très performants pour 700$ au plus. L’identité numérique est menacée au même titre que les systèmes informatiques dans lesquels elle gite.
Les mesures de protection Un cadre législatif et règlementaire imposant des mesures de sécurité technique: Loi 2004-5 du 03 février 2004, relative à la sécurité informatique (elle a instauré l’audit obligatoire de tous les organismes publics, sauf les ministères de la défense et de l’intérieur, une fois au moins tous les douze mois)
Décret n° 2004-1250 du 25/05/2004, fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit. Circulaire n° 19-2007, relative au renforcement des mesures de sécurité informatique dans les établissements publics.
Des garanties pénales: La loi n° 99-89 du 2 août 1999 modifiant et complétant certaines dispositions du code pénal (notamment les articles 172 et 199 bis): Le législateur a prévu des sanctions à l’égard de celui qui : Altère ou détruit le fonctionnement de données existantes dans un système de traitement automatisé de données. Introduit une modification de quelque nature qu’elle soit sur le contenu des documents informatisés ou électroniques… ».
Mais… Les garanties pénales ne sont pas dissuasives à l’égard des auditeurs: L’article 9 de la loi du 03 février 2004, prévoit l’application de l’article 254 du code pénal en cas de divulgation d’un secret par les agent effectuant l’audit obligatoire (sanction: six mois d’emprisonnement et 120 dinars d’amende) (En France: art. 226-13 du Code pénal: un an d’emprisonnement et 15000 € d’amende) Il y a donc risque de social engineering
Les problèmes juridiques
Il s’agit des problèmes relatifs aux garanties juridiques mises en places afin d’assurer une protection de l’identité numérique dans le cadre de l’administration électronique
L’apport de la loi de 2004 - L’établissement d’une Instance nationale de protection des données personnelles - Deux régimes de protection des données personnelles: Un régime général Un régime spécial
Le régime général Article 1er à 52 Applicable aux organismes privés de traitement de données personnelles Établit des garanties pour assurer la protection des données personnelles.
Les garanties établies par le régime général L’interdiction de traitement de certains types de données (ex. : art.13) ; Soumission de principe des opérations de traitement de données à une déclaration préalable (ex. : art 7) ; Soumission exceptionnelle de certains types de traitement à une autorisation préalable (ex. : articles 15, 24, 28, 46, 47, 49, 52…etc.) ; Exigence du consentement de la personne concernée lors du traitement des données (art. 27) ; Droit d’accès, d’information, d’opposition et de rectification aux personnes concernées par le traitement des données (art. 32…)…etc.
Le régime spécial Article 53 et suivants Applicable aux organismes publics: Les autorités publiques, Les collectivités locales, Les établissements publics à caractère administratif, « dans le cadre de la sécurité publique ou de la défense nationale ou pour procéder aux poursuites pénales, ou lorsque ledit traitement s'avère nécessaire a l'exécution de leurs missions conformément aux lois en vigueur ».
Le deuxième paragraphe a ajouté deux autres catégories de personnes : Les établissements publics de santé, Les établissements publics « dans le cadre des missions qu'ils assurent en disposant des prérogatives de la puissance publique ».
Dans quel cadre ? Sécurité publique Défense nationale Poursuite pénale Lorsque le traitement est nécessaire pour l’exécution de leur mission
Mais… L’article 54 exonère l’administration de toutes les contraintes relatives aux garanties de traitement des données personnelles.
Il est donc possible pour l’administration de: Traiter les données interdites par les articles 13 et 14, Traiter les données personnelles sans l’autorisation de l’Instance nationale de protection des données personnelles (ANPDP) et sans déclaration préalable, Traiter tout genre de données sans le consentement de la personne concernée et sans droit d’opposition Traiter des informations concernant des enfants sans avoir besoin de l’autorisation du juge de la famille
Possibilité de dépasser la durée de traitement nécessaire pour la réalisation du but du traitement, Utiliser la vidéosurveillance sans le consentement de la personne concernée et sans autorisation préalable de l’Instance, dans tout endroit, sans informer le public, avec la possibilité de communiquer les enregistrement sans restriction et sans être obligée de les détruire.
Donc Il s’agit d’une franchise totale en faveur de l’administration qui risque de porter atteinte à l’identité numérique
Or, les garanties juridiques ne sont pas toujours suffisantes Risques de bavures Ex. La CNIL a rapporté en 2003 qu’un requérant s’est vu refuser un stage dans une juridiction parce qu’il était signalé dans le STIC (Système de Traitement des Infractions Constatées) comme « mis en cause » dans une affaire de vol de cyclomoteur. Alors qu’on aurait dû supprimer ces informations du système.
D’où la question sur le droit à l’oubli
Conclusion @ L’identité numérique dépend étroitement de son environnement technologique @ il est impératif de revoir le cadre juridique relatif au traitement des données personnelles par l’administration électronique
Merci pour votre attention
Communication sur : Administration Electronique & Identité Numérique Présentée par M. Chemseddine Ethani BARNAT Enseignant Faculté des Sciences Economiques et de Gestion de Nabeul chemsnet@yahoo.fr www.urdri.fdspt.rnu.tn 474747Tunis, 14 avril 2009