Allophysique

Les donnees personnelles

Données à caractère personnel

Une donnée à caractère personnel est une information sur une personne.

Parmi les données suivantes, certaines peuvent être classées comme relevant de:

  • l'identité numérique
  • identité administrative
  • indirectement nominative (qui donne l’identite de la personne, une fois effectué un recoupement d’informations)

Ce sont:

  • Le nom, le prenom, l’adresse
  • un pseudo, un mot de passe
  • une adresse IP
  • des lieux visités et géolocalisés
  • un panier d’achat
  • des clés de recherche su internet
  • numero de carte bancaire
  • numero NIR (securité sociale)
  • données associées à son compte de reseau social (publications, like)
  • Données exposée par d’autres mais nous identifiant dans un reseau social
  • ordonance médicale, clichés radiographiques, …
  • L’enregistrement de la voix de clients ou salariés par un dispositif informatique
  • images de personnes physiques captées par un système de vidéosurveillance
  • les conversations (par le microphone)
  • le patrimoine d’un propriétaire

Même des données supposées anonymes peuvent nous identifier car il existe souvent une clé de correspondance qui peut nous identifier.

Identité numérique

L’identité est construite à partir de données à caractère personnel.

  • L’exercice du droit d’une personne passe par la justification de l'identité administrative de la personne (nom, prenom, date de naissance, etc…).
Infographie du RGPD - site de la CNIL

Infographie du RGPD - site de la CNIL

  • Identité sur le net: Sur internet, la majorité des utilisateurs ne communiquent pas leur identité administrative. Ils donnent un pseudo, un mot de passe, un email. Le site associe souvent leur adresse IP à ces données. Ce qui constitue aussi une identité numérique.

Comment sont collectées nos données personnelles

(voir activité p 16 du livre SNT)

  • directement: à partir d’un formulaire à remplir
  • indirectement: dans les metadonnées des photos de ma galerie, à partir du gps de mon tel, de mon activité sur le net, de mes amis sur le net, de mon profil social sur les reseaux, …

Par recoupement de plusieurs informations (publications, enregistrement par des dispositifs matériels, camera ou autre…), un algorithme peut déduire quelles sont mes préférences en terme de:

  • religion
  • sexualité
  • politique

Lorsque l’on installe une application, un logiciel, un driver pour un objet connecté, on est souvent obligé d’accepter le contrat sur les Conditions Générales d’Utilisation (CGU).

De même, pour accéder à la plupart des sites d’information, on est obligé d’accepter en grande partie les cookies du site, qui vont enregistrer et partager certaines de nos données.

Traitement des données

Definition

il s’agit de toute opération effectuée de manière automatisée appliqué à des données à caractère personnel.

Enjeux pour l’usager

Aujourd’hui, l’aspiration des individus, en termes de protection de leur vie privée est de pouvoir utiliser les services technologiques d’internet, de s’exposer personnellement (reseaux sociaux), tout en cédant une partie acceptable de leurs données personnelles. Cette part cédée doit rester raisonnable et être négociée par contrat avec les opérateurs économiques.

Le RGPD (Réglement Général pour la Protection de Données)

Définition

C’est un document qui donne un cadre légal à l’utilisation des données dans l’UE et contraint les organismes publics ou privés à certaines obligations.

Ce texte vise à définir des équilibres: protection des individus d’une part, utilisation des données à des fins commerciales ou pour des missions d’intérêt public, d’autre part.

Le RGPD n’interdit PAS l’utilisation commerciale des données.

Mais il fournit un cadre, auquel les entreprises privées, comme les administrations publiques doivent se conformer.

Obligations de conformité vis à vis du RGPD

Pour les entreprises et administrations, susceptible de TRAITER des données à caractère personnel:

  • devoir de tenir un registre des activités de traitement (finalités, délai de conservation et de suppression automatique, réalisation d’atude d’impact…)
  • obligation d’assurer une collecte lisible et transparente des données
  • protéger les données. Assure leur sécurité et leur confidentialité
  • définir un paramètre: Rester minimal dans la quantité de données et le type de données collectées
  • interdiction de collecter certaines catégories particulières de données (origines raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale)
  • interdiction de collecter le numero NIR (securité sociale) car celui-ci contient un certain nombre de caractéristiques qui aident au chainage des données
  • interdiction de collecter des données génétiques, biométriques, concerant la santé, la vie et l’orientation sexuelle.

Droit des personnes vis à vis du RGPD

Tout individu doit:

  • pouvoir être questionné pour demander son consentement préalable à la collecte et l’utilisation de ses données.
  • être informé sur la finalité du traitement qui sera effectué
  • dans le cas d’une collecte indirecte: être informé de la source de cette collecte, et droit de recours auprès de la CNIL
  • avoir droit d’accès, de rectification et de portabilité des données (c’est à dire, droit à obtenir ses données collectées dans un format structuré, lisible)
  • avoir droit d’effacement
  • avoir droit d’opposition au traitement des données à visée commerciale et de profilage
  • avoir des droits concernant les cookies, exploitant ses traces de navigation. Côté client, ces cookies sont stokées dans le navigateur web. L’individu doit donner son consentement sur leur utilisation, à partir d’une information claire et complète
  • avoir droit au deferencement: demander la suppression de liens vers des informations portant atteinte à la vie privée.

Remarques:

  • Il existe également un tracking côté serveur. Le client n’est alors pas en mesure d’effacer ses traces numériques, qui sont partagées le plus souvent avec des entreprises tierces (revente des données). Dans la chaine de partage des données, tout le monde est alors responsable du traitement qui sera effectué sur ces données.
  • De nombreux exemples montrent des manquements à ces règles sur la protection des données et leurs conséquences: L’affaire Facebook pendant l’élection américaine, qui a vu gagner le président Trump en est un tristement célèbre, même si cela ne concernait pas le territoire d’influence de la CNIL et de son équivalent européen. Au niveau fançais: les affaires Foncia, Acadomia…

La CNIL

Definition

Commission Nationale pour l’informatique et les libertés. La CNIL est la premiere autorité administrative instaurée en France (1978) à la faveur de l’adoption de la loi “informatique et libertés”.

Les actions de la CNIL

La CNIL exerce un pouvoir de contrôle et de sanctions pour la protection des données. Elle est indépendante et ne reçoit d’instruction d’aucune autorité publique.

Tout citoyen peut s’adresser à la CNIL pour la saisir d’une plainte.

La CNIL réalise des:

  • controles d’audit, qui sont programmés, sur des organismes privés comme publics.
  • contrôles de contentieux à partir de plaintes, de dénonciations anonyme ou de tout autre moyen qui lui aurait permi de prendre connaissance d’un manquement au RGPD.

La CNIL fait en sorte que l’usage qui est fait des données personnelles ne porte pas atteinte à la liberté des individus.

Sanctions prises

Lors d’un manquement avéré, la CNIL peut:

  • faire suspendre les flux de données adressés à un destinataire
  • prendre des sanctions pécunières
  • prendre des sanctions d’image: publication sur le site de la CNIL et dans le Journal Officiel. Les répercussions peuvent être importantes (risque réputationnel)

Traces numériques et marketing ciblé

Après 1978, c’est la valeur commerciale des données personnelles qui va commencer à aiguiser l’appetit d’opérateurs économiques: l’émergence d’une économie fondée sur la connaissance du client. Ce qui va intensifier la collecte de données à caractère personnel et amener à un marketing ciblé.

C’est la convergence technologique et la traçabilité qui permet d’intensifier cette collecte indirecte de nos données: des cartes à puces, cartes de fidélité client, videosurveillance, données de connexion aux réseaux numériques, moyens de paiement (cartes bancaires ou autre types de paiement numériques). On est passé d’une problématique de fichier à une problématiques de traces numériques.

Le RGPD (Le règlement général sur la protection des données)

mai 2018

C’est un document qui donne un cadre légal à l’utilisation des données dans l’UE et contraint les organismes publics ou privés à certaines obligations. C’est un texte plus général que celui sur la loi informatique et libertés.

Le RGPD - affiche de la CNIL

Le RGPD - affiche de la CNIL

Il s’agit d’un texte long (plusieurs centaines de pages), fruit de la concertation de 28 états membres de l’Europe. Ce texte est complexe à dechiffrer. Un des rôles de la CNIL est de produire des documents et textes Extraits:

  • La collecte de données doit servir l’objectif prévu. Ne collecter que celles nécessaires.
  • Les personnes doivent être clairement informés de l’utilisation qui sera faite de leurs données. Ce traitement n’est pas forcement informatisé. Mais tout traitement de données rentre dans le cadre du RGPD.
  • permettre aux personnes d’exercer leurs droits sur ces données.
  • Sécuriser ces données.

Violation de données et incidents de sécurité

Malgré toutes les mesures de sécurité mises en oeuvre, les violations et incidents peuvent survenir. En vertu du RGPD, les entreprises et administrations sont tenues d’informer l’autorité de contrôle (CNIL), ainsi que les individus concernés par le vol de données personnelles.

Ainsi, en 2024, les données de santé de 33 millions de français stockées pour le tiers payant (Aimerys) ont été hackées par des malfaiteurs. Elles ont pu être reversées dans le dark web, et contribuer à créer de fausses identités.

Mais, encore plus préoccupant, ce sont les données rendues publiques par les internautes, sur des sites internet, reseaux et applications sur leur smartphone qui sont les plus faciles à dérober.

Les reseaux sociaux et les clouds gratuits exploitent grandement ces données, qu’ils collectent massivement.

paramétrer son smartphone pour éviter la fuite de ses données

paramétrer son smartphone pour éviter la fuite de ses données

Il est essentiel de connaitre les risques et d’adopter une attitude modérée lorsque l’on utilise ces outils.

Vie privée

Conserver des secrets sur sa vie privée est relativement difficile lorsque l’on s’expose sur internet. Il est souhaitable d’avoir un compte privé sur les réseaux sociaux, et de diffuser le moins d’informations possibles. Mais les algorithmes utilisés par les réseaux sociaux vont chercher à déduire des informations à partir d’indices:

Votre activité sur les reseaux sociaux

Les personnes que vous suivez, les pages que vous likez, … sont autant d’informations pour établir votre profil par recoupement d’information.

Données de Géolocalisation

Il s’agit d’un exemple de données personnelles indirectement nominatives. Celles-ci contribuent aussi à fournir une information sur la personne (habitude, travail, consultation de médecin)…

Données personnelles, Google vous suit à la trace - FranceTV info

Données personnelles, Google vous suit à la trace - FranceTV info

Il existe cependant quelques gestes et attitudes qui peuvent limiter nos traces numériques, ainsi que la confidentialité des données que l’on échange.

Compléments et activités

Licence Creative Commons Sciences numeriques de numerix.netlify.com est mis à disposition selon les termes de la licence Creative Commons Attribution 4.0 International