TIERS DE CONFIANCE ET PROTECTION DES DONNEES PERSONNELLES

 

 Article mis en ligne le 19 juillet 2010

Au cours de sa première décennie d’activité, la profession des tiers de confiance a abordé la dimension juridique de ses métiers en se focalisant pour l’essentiel sur le droit de la preuve. Relégué initialement au second plan, le droit de la protection des données à caractère personnel devrait désormais prendre une place essentielle chez les professionnels de la confiance.

***

L’émergence du secteur économique des tiers de confiance est facile à situer. Elle se situe dans la continuité de la directive européenne du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques puis de la loi nationale du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique.

Par nature, les métiers des tiers de confiance reposent sur une forte imbrication entre les aspects techniques issus de l’univers de la cryptographie d’une part et sur la prise en compte des concepts juridiques d’autre part. C’est donc tout naturellement que, au cours de sa première décennie d’activité, la jeune profession des tiers de confiance a abordé la dimension juridique de ses métiers en se focalisant pour l’essentiel sur le droit de la preuve et plus particulièrement sur les dispositions du Code civil.

 Sarbanes-Oxley avant la loi informatique et libertés ?

Du fait de cette priorité accordée au droit de la preuve, la profession des tiers de confiance, en général, n’a pas mis particulièrement l’accent sur le droit de la protection des données à caractère personnel. Une analyse superficielle (et erronée) pouvait même nourrir le sentiment que leurs prestations contribuaient à l’érosion de la vie privée dans la société de l’information. L’archivage électronique pouvait être interprété comme une remise en cause du droit à l’oubli, l’authentification forte par certificat électronique comme une atteinte à l’anonymat, sans même parler de la traçabilité souvent assimilé à de la cybersurveillance.

Dans l’univers des tiers de confiance, lorsqu’il s’agissait d’aborder les questions de conformité (ou de compliance), il était rarement question de la loi informatique et libertés. Cette dernière pouvait même être largement devancée dans les discours marketing par la loi américaine Sarbanes-Oxley qui n’avait pourtant pas vocation à s’appliquer en France. Une exception mérite cependant d’être signalée avec les prestataires de vote électronique pour qui les recommandations de la Cnil, et plus particulièrement celle du 1er juillet 2003, représentent un incontournable référentiel des bonnes pratiques influençant fortement la conception de leurs solutions.

 La dématérialisation des bulletins de salaire change la donne

Depuis la loidu 12 mai 2009 qui consacre pour les employeurs la possibilité de remettre les bulletins de paie sous forme électronique, une inflexion est en train de se produire. Avec ce nouveau champ d’action ouvert à la dématérialisation, les impacts en termes de données personnelles sont bien plus importants qu’ils ne l’étaient, par exemple, pour la dématérialisation fiscale des factures ou encore pour les réponses en ligne des marchés publics. Plusieurs facteurs vont désormais conduire la profession des tiers de confiance à prendre de plus en plus en compte la conformité informatique et libertés.

 Des technologies de confiance au Privacy Enhancing Technologies

Les dispositifs d’archivage électronique qui se doivent de gérer des durées de conservation aux termes desquelles les données sont détruites contribuent au respect du droit à l’oubli. Le chiffrement des contenus se développe particulièrement lorsqu’il s’agit de données sensibles telles que les données de santé. A cet égard, on peut considérer que les hébergeurs de données de santé à caractère personnel agréés par le ministère de la Santé selon les dispositions du décret du 4 janvier 2006 représentent un nouveau type de tiers de confiance. La loi informatique et libertés constitue, avec le droit de la santé, le cadre légal dans lequel s’exerce leur activité.

Il apparaît progressivement que la traçabilité est aussi une technologie de protection des données personnelles qui permet de mettre en œuvre un contrôle effectif des accès aux données. A titre d’illustration, dans une communication du 7 juin 2010 à propos de l’affaire Ali Soumaré, la Cnil a eu l’occasion de déplorer l’absence de traçabilité des consultations pour la Nouvelle Chaîne Pénale (NCP) du ministère de la justice.

D’un point de vue plus prospectif, en matière d’authentification, des réflexions innovantes resteraient à mener par la profession par exemple sur la conception et le déploiement de certificats de pseudonymat.

Avec l’évolution probable de la règlementation informatique et libertés au niveau européen faisant du « Privacy By Design » (prise en compte du respect de la vie privée dès la conception) un nouveau principe de droit s’imposant aux concepteurs de solutions informatique, les tiers de confiance disposent d’indéniables atouts. Ils sont idéalement placés pour favoriser la convergence entre les technologies de confiance issues de la signature électronique et les technologies de protections des données personnelles (PETs ou Privacy Enhancing Technologies).

Se dessine ainsi une évolution où la confiance dans l’univers du numérique ne se limitera pas à la nécessaire fiabilité des preuves électroniques mais intégrera également pleinement la protection des données.

Arnaud Belleil

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *