Les enjeux soulevés par les systèmes de gestion d’identités numériques au regard de la circulation des données personnelles

Image : Pixabay.comQuand nous accédons à des services sur Internet, nous avons besoin de nous identifier et de nous authentifier, à l’aide de notre identité réelle ou d’un pseudonyme. Nous pouvons ainsi accéder à notre espace personnalisé et donc à notre profil, à nos dernières commandes, à nos ouvrages préférés… Cette procédure d’authentification et d’identification est effectuée via un système de gestion d’identités numériques. Dans ce cadre, les fournisseurs d’identités gèrent les identités numériques de leurs clients pendant tout leur cycle de vie (enrôlement, révocation, maintenance), assurent un service d’identification et d’authentification qui correspond à un certain niveau de sécurité et aident, si besoin, les autorités policières et judiciaires à retrouver l’identité d’un internaute.

Autrefois réalisée de façon autonome par les fournisseurs de services, le rôle de fournisseurs d’identités privés a été assuré par les opérateurs de télécommunications, puis par des multinationales comme Facebook et Google. Ces dernières ont en cela saisi l’occasion d’assoir leur position dominante dans le secteur du numérique par la maitrise des identités numériques et des données personnelles associées. Quand on sait que le marché des données personnelles est estimé, pour l’Europe seulement, à 1000 milliards d’euros d’ici 2020 (Boston Consulting Group, 2014), on en comprend mieux les enjeux.

Cependant, certains fournisseurs collectent les données personnelles des utilisateurs dans des contextes autres que celui de la stricte fourniture du service de gestion des identités, comme les sites Internet visités, les mots clés tapés dans un moteur de recherche, la géolocalisation à la minute près... Bien souvent, les modalités de cette activité sont définies via une charte que les clients sont tenus de signer s’ils souhaitent bénéficier d’un bouquet de services. Les données collectées servent à enrichir les profils des utilisateurs du service. A partir de ces profils, les fournisseurs d’identités sont mieux à même de cibler les annonces publicitaires susceptibles de déclencher un acte d’achat ou la visite d’un site tiers. De plus, les profils peuvent faire l’objet de transactions lucratives comprenant leur revente directe ou la vente de listes d’abonnés présentant certaines caractéristiques.

Par ailleurs, un internaute laisse au cours de sa navigation un si grand nombre de traces dans le système d’informations que l’administrateur d’un site est en mesure de détecter qu’il s’agit de la même personne qui revient visiter son site. Sans pour autant connaitre son identité au sens strict du terme, il est donc en mesure de le profiler pour lui proposer des produits, des publicités ciblées… En croisant ce profil incomplet avec d’autres bases de données suffisamment riches et à jour, il lui est même possible de déduire l’identité réelle de la personne. Il importe donc de soutenir des démarches qui pallient au déséquilibre actuel entre, d’une part, des fournisseurs d’identités privés qui « surconsomment » de la donnée et, d’autre part, des Internautes bien souvent résignés devant la « fuite » de leurs données personnelles.

A cet égard, cette Lettre présente dans une perspective pluridisciplinaire plusieurs pistes de réflexion : tout d’abord, le point de vue philosophique qui souligne combien il est essentiel que chaque personne puisse disposer de plusieurs identités pour se présenter aux autres comme elle l’entend ; puis, l’approche technique par les « schémas de preuves » qui garantissent la véracité des attributs sans dévoiler l’identité de la personne ; enfin, l’approche réglementaire en ce qui concerne le renforcement et l’effectivité des droits des personnes, notamment à travers le futur règlement général sur la protection des données personnelles.

Maryline Laurent
Professeur en sciences de l’informatique à Télécom SudParis et Membre fondateur de la Chaire

Commentaires Clos.