Résumés

Journée d’étude du CREIS

10 juin Paris Jussieu

"Données personnelles, entre droit et marché"

 

LEDUN Marin

Ingénieur de Recherche en Prospective de Services et Sociologie des Usages
Docteur en Sciences de l'Information et de la Communication
France Télécom Recherche & Développement

 

Vote électronique et protection des données personnelles.

Entre logiques techniques et électorales de sécurisation et logiques industrielles et marketing

 

 

            L'enjeu de cette communication est de s'intéresser aux aspects de sécurisation des expérimentations de vote électronique menées en France depuis la fin des années soixante et de souligner leurs similitudes et leurs différences avec les procédures traditionnelles de vote. Les projets soutenus par le ministère français de l'intérieur depuis 1969 ou par la Commission européenne depuis 1999 sont la trace d'une volonté d'encadrement des expérimentations nationales, d'homogénéisation des solutions techniques et de normalisation des procédures électorales nationales à l'échelle européenne. Par l'intermédiaire du ministère de l'Intérieur et de la CNIL, et malgré quelques rares concessions, l'État se réserve une fonction de contrôle des expérimentations en cours. Cependant, alors que les champs universitaires, législatifs, administratifs et politiques, mais aussi industriels (instituts de sondage, spécialistes en communication politique, etc.) sont traditionnellement les principaux lieux de discours sur le vote, de nouveaux acteurs privés, a priori inexpérimentés et illégitimes à parler du citoyen, investissent peu à peu les espaces et les temporalités de production de discours légitimes sur l'acte électoral : entreprises de télécommunications, professionnels du multimédia, de l'Internet, des techniques de cryptographie, etc.

 

Premièrement, dans les cas des sociétés spécialisées dans les techniques de cryptographie des systèmes numériques de vote, comme dans celui des projets expérimentaux de vote électronique, en réseau ou non, consacrant une part de leur budget à mettre en place des outils de sécurisation techniques ou symboliques des données circulant par le biais des TIC (données administratives personnelles, inscription sur les listes électorales, identification du votant, choix de vote et transmission du vote via le réseau), la question de la sécurité des systèmes est omniprésente. Qu'il s'agisse de garantir la confidentialité d'un bulletin de vote numérisé ou l'inviolabilité d'une téléprocédure d'inscription en ligne sur les listes électorales, les aspects techniques et symboliques sont intimement liés dans tous les projets analysés, renvoyant tour à tour à des démonstrations d'« experts » techniques et à des valeurs éthiques universelles (notamment : le respect de la vie privée) ou propres aux procédures électorales (par exemple, dans le cas du vote électronique : programmes ou dispositifs informatiques censés empêcher le recoupement identité du votant / choix de vote). La question de la sécurité des systèmes est donc un argument commercial en même temps qu'un principe de légitimation éthique.

Dans le cas du vote électronique, les avancées de la cryptographie et de la sécurisation des systèmes, même si elles sont importantes, sont encore insuffisantes pour assurer la sécurisation totale du système de vote. Par nécessité structurelle, les contraintes industrielles privées (commerciales, logiques marketing et publicitaires, aspects ergonomiques des interfaces de vote électronique, design de la machine à voter, etc.) viennent ainsi s'ajouter aux contraintes juridiques.

Par exemple, à l'occasion des essais en situation électorale du système E-Poll, le système de lecture des empreintes digitales des votants, censé assurer le secret et l'inviolabilité du choix effectué, n'a que partiellement fonctionné. Cette technique biométrique, mise au point par Siemens, ne pouvait alors pas prendre en compte le vote des personnes dont les empreintes digitales n'étaient pas suffisamment nettes et étaient en partie effacées, abîmées ou inexistantes (estropiés). Ainsi, des personnes âgées ont dû répéter la manœuvre à plusieurs reprises. De même, des personnes effectuant des activités manuelles (maçons, carreleurs, etc.), en contact avec des produits corrosifs (ciment, acides, etc.) ou des personnes de couleur n'ont pas pu voter. Le caractère universel du vote n'est pas pris en compte et le dispositif sociotechnique participe d'une logique d'exclusion de populations marginales. Dans le cas de E-Poll, le système biométrique n'a néanmoins pas été abandonné, dans la mesure où cela impliquait le départ d'un partenaire important du projet.

 

Deuxièmement, si l'argument de la « modernisation » de la vie politique et du « renouvellement » des procédures traditionnelles par les TIC semble fédérer, en aval de celui-ci, se déploie un argumentaire plus pragmatique qui, bien qu'émanant principalement de marketeurs et concepteurs des produits, ne recueille pas moins l'adhésion d'une large partie des décideurs politiques ou publics. Reposant sur le diptyque rentabilité-fiabilité, cet argumentaire invite à considérer  les bénéfices supposés immédiats de ces systèmes, évacuant toute réflexion sur le sens que peut revêtir la normalisation par la technique d'une procédure fortement normée au sein de laquelle chaque élément a une fonction pratique en même temps que symbolique.

En outre, les expérimentations françaises concrétiseraient moins une volonté de lutte contre l'abstentionnisme électoral ou de relance de la participation politique, que de réduction à terme de la durée et des coûts, notamment de recueil, de gestion et de traitement des données administratives et électorales. A cet égard, les positions du ministère de l'Intérieur français sont très nettes. En donnant son accord (et non son agrément) à certaines expérimentations de vote électronique (solutions E-Poll et Elections.com, notamment), il entend soutenir avant tout les projets permettant une réduction des coûts des élections, tant dans l'organisation, la maintenance du matériel que dans le traitement des résultats, n'abordant quasiment pas la question de l'abstention et restant très prudent sur celle de la fraude électorale.

 

Enfin, s'il est également un processus qu'accompagne la technique, parallèlement à ses propensions prescriptives, c’est l'individualisation, renforcée par l'interaction homme-machine, de procédures, comme le vote, déjà particulièrement individualisantes. Les attributions mêmes des ergonomes impliquent qu'ils pensent cette interaction en focalisant toute leur attention sur les comportements d’individus en situation d'« utilisation » ou de « consommation » d'un service. Comme le rappelle le politologue Olivier Ihl, c’est le sens du protocole technique qui encadre l’acte de vote : urne et bulletin, isoloir et enveloppe. L’élection dépend des procédures matérielles grâce auxquelles s’énonce et s’annonce une décision collective, mais c’est le sens de l’expérience nouée à partir des structures formelles de l’objet qui commande sa signification, non ses seules caractéristiques matérielles.

Dans le cas des solutions de vote électronique, le processus d'individualisation est particulièrement porté par les discours et les techniques de sécurisation des systèmes. Les projets étudiés mettent notamment l'accent sur la cryptographie, sur le système et le fonctionnement technique, sur la simplicité des règles d'utilisation, etc. De même, ils insistent sur la visibilité des règles de fonctionnement, sur la transparence, sur la participation du citoyen / consommateur de TIC à l'élaboration du produit, sur les schémas explicatifs et sur la visibilité du système technique et du dispositif humain (ingénieurs, ergonomes, etc.). Par exemple, le groupe de « conseil en e-démocratie » Libre-entreprise, composé de six sociétés spécialisées dans le développement et l'intégration de services informatiques à base de logiciels libres propose en 2003 un logiciel libre de vote électronique, symboliquement baptisé Glasnost, en référence à la politique d'ouverture du Parti Communiste et de restructuration de la bureaucratie de l'Union soviétique engagée dans le cadre de la Perestroïka (1983).

 

            Dans cette optique, après un bref aperçu historique des techniques d'électronisation ou d'informatisation du vote en France, depuis 1969, nous analyserons ces expérimentations autour de deux caractéristiques principales :

- Les contraintes techniques de sécurisation des procédures de vote électronique confortent et poursuivent les processus de rationalisation des pratiques électorales, de matérialisation et d'individualisation de l'expérience collective déjà présents dans les procédures traditionnelles de vote.

- Ces expérimentations et les acteurs privés ou publics qui les portent introduisent dans la sphère électorale des logiques commerciales et des enjeux stratégiques jusqu'ici propres au marché des TIC. A la différence du système traditionnel de vote où de nombreux types de fraudes ont été observés, son équivalent électronique pose la question de la circulation des données personnelles et de leur (éventuelle) exploitation à des fins gestionnaires, publiques ou privées.

 

"Genèses, enjeux et perspectives du projet INES (Identité Nationale Electronique Sécurisée)" 

Pierre PIAZZA Chargé de recherche à l'INHES

 

 Depuis quelques mois, le projet INES (Identité Nationale Électronique Sécurisée) du ministère de l'Intérieur fait l'objet d'une vaste consultation organisée par le Forum des droits sur Internet. Cette intervention se propose de s'intéresser à sa genèse, à son contenu et aux discours produits par les pouvoirs publics en vue d'en légitimer la nécessité. Elle évoquera aussi les polémiques grandissantes actuellement suscitées par cette initiative gouvernementale. Ces différents aspects seront appréciés au regard de l'histoire mouvementée des différentes entreprises étatiques de mise en carte des Français depuis le début du XXe siècle.

 

 

 

 

 

Dossier Médical Personnel et protection des données de santé[1]

 

Arnaud Belleil, Directeur Associé de Cecurity.com, animateur du groupe de travail « Identité Numérique » de la FING, chargé de cours à l’IEP de Rennes, Vice Président de l’ACFDP (Association Française des Correspondant à la protection des Données à caractère Personnel) et auteur de e-Privacy (Dunod 2001).

 

 

Un chantier tel que celui d’un Dossier informatisé du patient en général ou de notre DMP national en particulier recouvre de nombreux aspects : amélioration de la qualité des soins ou plutôt la diminution de la non qualité des soins (interactions médicamenteuses), l’optimisation de la gestion du système de santé, de sa productivité, des conditions de travail des professionnels,sans même parler des nombreuses dimensions proprement techniques : interopérabilité des formats, conservation intègre dans la durée, sécurité de l’hébergement, etc.

 

On peut aussi considérer ce type de chantier comme une réalisation de l’administration électronique, même s’il n’est pas référencé en tant que tel dans le programme ADELE, compte tenu de ses différentes dimensions :

 

• La volonté d’améliorer le service rendu à l’usager/client par la mise en œuvre des nouvelles technologies ;
• La volonté de maîtriser les coûts, d’améliorer la productivité, de moderniser un service public ;
• C’est un système dans lequel une carte émise par la sphère publique - la Carte Vitale - joue un rôle central ;
• C’est enfin, comme pour la CNIe ou mon.service-public.fr, un projet dans lequel les dimensions confiance, identité numérique et protection des données personnelles sont absolument centrales. C’est principalement ce point qui sera développé ici.

 

A partir du moment où il s’agit d’un projet qui porte sur la modernisation du service public par l’usage des TIC, il peut être intéressant de voir dans quelle mesure les réflexions anciennes ou encore en cours sur donnée personnelles et administration électronique s’appliquent ou si au contraire, on se trouve dans un contexte tout à fait différent du fait de la spécificité des questions médicales.

 

Les spécificités des données de santé

 

Sans entrer dans les détails juridiques, on peut d‘abord rappeler que les données de santé sont des données personnelles qui bénéficient d’une protection particulière sur le plan juridique. Au droit de l’informatique et des libertés s’ajoute le secret médical.

 

Trois caractéristiques classiques des données de santé sont à souligner :

 

• Leur très grande valeur en cas d’urgence ;

 

• L’anonymat imparfait, des données anonymes qui « transpirent l’identité »;

 

• Le potentiel d’exclusion, avec le trio classique : emploi, crédit, assurance.

 

Deux éléments supplémentaires moins débattus pourraient être ajoutés :

 

• La question de la « porosité » entre les données personnelles anodines du marketing et les données de santé identifiées comme très sensibles : les habitudes alimentaires captées au travers d’une carte de fidélité, un bouquet de fleurs commandé sur Internet pour être envoyé à une personne à l’adresse d’un service de cancérologie d’un hôpital.

 

• La création potentielle de « castes » avec les progrès de la génétique. Il est désormais possible de connaître pour une personne et pour ses descendants la probabilité de développer une maladie. Des approches probabilistes peuvent être dramatiques au niveau d’un individu, mais elles sont souvent rationnelles et efficaces quand il s’agit de gérer des volumes. Le médecine prédictive est susceptible de donner naissance à une exclusion transmissible de génération en génération (à la différence d’autres données sensibles comme les orientations politiques).

 

Quel système de protection des données personnelles : vers le choc de deux modèles ?

Un haut niveau de protection est nécessaire. C’est devenu une banalité. Personne n’oserait dire le contraire tant d’un point des grands principes car il s’agit de la protection des droits fondamentaux de la personne que d’un point de vue plus utilitariste. En effet, la confiance des patients et des personnels de santé dans le dispositif est une condition nécessaire du succès.

 

Traditionnellement, avec la loi informatique et libertés, le responsable du traitement a des responsabilités, des obligations alors que la personne concernée par les données peut exercer des droits. Une philosophie sans doute différente apparaît avec la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé (dite Loi Kouchner), renforcée par les premiers textes officiels d’information sur le DMP. On semble être en présence d’un dispositif où le patient est le « propriétaire » de son dossier de santé, de ses données médicales. « Le dossier médical appartiendra au patient » est-il indiqué sur le site[2] officiel consacré à la réforme de l'Assurance Maladie. « Le patient (...) déterminera qui, en dehors de lui-même, pourra y accéder (...) ».

 

Dans d’autres domaines, notamment celui du marketing en ligne, la thèse de la reconnaissance aux individus d’un droit de propriété sur les données personnelles qui les concernent correspond à une approche plus anglo-saxonne, éloignée de la tradition française de protection des données personnelles. Ces réflexions, peu débattues en France, s’inscrivent dans une logique de régulation par les seuls mécanismes du marché des questions liées à la protection de la vie privée des consommateurs.

 

On est alors en droit de s’interroger si cette reconnaissance d’un quasi-droit de propriété reconnu au patient sur ses données correspond à un niveau de protection supplémentaire lié à la grande sensibilité des données de santé ou à l’émergence d’un modèle de protection alternatif.

 

On passera rapidement sur les traditionnelles réticences du corps médical qui ne s’explique sans doute pas que pour de mauvaises raisons.

 

Rapidement, il apparaît que des limites devront être fixées si l’on retient une approche de type droit de propriété sur les données. Difficile d'imaginer que la patient puisse prendre l’initiative d’imprimer l'équivalent d'un « certificat de bonne santé » pour un employeur potentiel, qu'il puisse détruire toutes les données, les modifier, les exporter dans un paradis numérique, les vendre, les utiliser pour lancer un « appel d'offres » à plusieurs cliniques, etc.

 

On parlerait alors de façon excessive de propriété alors qu’il s’agit tout au plus de maîtrise, de contrôle avec deux dimensions :

 

• le droit de tout lire, de tout connaître sans le droit de (tout) modifier, de (tout) détruire. On peut également évoqué l’idée défendue par Sylvie Ouziel[3], PDG de InVita (groupe Accenture) : reconnaître au patient un droit au « masquage » des informations avec la possibilité de changer d’avis pour que les données puissent redevenir à tout moment, et à son initiative, consultables et partageables.

 

• le droit d’autoriser (au coup par coût ou une fois pou toute ?) l’accès aux professionnels de santé avec d’une part la question des cas d’urgence et de la procédure du « bris de glace » et d’autre part la question de l’accès différencié (« mon ophtalmo n'a pas besoin de savoir pour ma dépression »).

 

La philosophie de la reconnaissance d’une propriété des données de santé, avec ses limites, fait reposer sur la personne la responsabilité de la gestion de son dossier médical. Ce qui pose la question de ceux qui n’ont pas ou plus la capacité à assumer cette responsabilité. Pour les enfants avant 16 ans, c’est pour l’instant réglé pour le projet DMP. Qui aura la maîtrise du DMP des personnes atteintes d'une maladie mentale ? Des personnes séniles ? Et au-delà de l'ensemble des personnes placées sous tutelle ou sous curatelle ? Les personnes totalement insouciantes comme ces « compulsifs du crédit » bien connues des commissions de surendettement ? Il faudra déterminer des seuils, accorder des délégations ou des mandats à des représentants.

 

Pour le coup le DMP ne pourra pas être « Personnel », il sera par nature « Partagé » ; c’est déjà une certitude.

 

 

Emmanuelle BARBOT

Chef du département informatique de l’IUT de Vélizy

Le correspondant informatique et libertés  : Une nouvelle fonction pour quelles missions ?

 

 

La loi « informatique et libertés » modifiée par la loi du  6 août 2004 permet la nomination d’un correspondant

 informatique et libertés au sein de tout organisme privé ou public, l’exonérant ainsi de certaines obligations

déclaratives. Dans l’attente du décret d’application, le statut, les qualifications requises et les missions attribuées

à ce futur correspondant  font l’objet de nombreuses contributions. En outre, des interrogations peuvent être

 émises sur l’indépendance et les responsabilités  inhérentes à cette fonction. Il s’agit de présenter

cette nouvelle disposition législative  et de proposer des pistes de réflexion sur sa mise en application.