 |
|
|
|
|
|
33,
rue Raffet |
|
La
confidentialité 28 avril 1999
L'évolution actuelle des technologies et l'accroissement du transfert d'informations nominatives renforcent l'intérêt et les inquiétudes au sujet de la confidentialité des données, en particulier dans le domaine médical. Des solutions techniques apparaissent - en France, déploiement du RSS et des cartes santé, libéralisation du cryptage -, et les enjeux dans le domaine de la confidentialité semblent à présent plutôt sociaux et organisationnels. L’application récente de la Directive européenne relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données apporte un commencement de réponse internationale face à ces enjeux. Cette actualité est l’occasion de faire le point sur les nouveautés techniques et l'évolution des mentalités, ainsi que sur les solutions qui s'annoncent. L'interconnexion de différents systèmes d'information offre une puissance démesurée aux outils de surveillance et d'analyse des comportements des individus. Ainsi, toutes les actions effectués sur le Web génèrent une quantité importante de données personnelles qui sont faciles à colliger, permettant d'établir le profil d'un individu. Certaines sociétés américaines se sont spécialisées dans ces métiers. La maniabilité des informations peut alors donner lieu à toute sorte de dérives, du harcèlement publicitaire personnalisé au trafic de fichiers nominatifs. De même, les constructeurs de matériels et de logiciels mettent en œuvre des systèmes favorisant l'identification de leurs clients, mais ceux-ci peuvent être utilisés par des collecteurs d'informations pour pister les personnes équipées de micro-informatique. La personnalisation des services Web est indispensable à leur rentabilité. Elle doit cependant respecter la confidentialité pour les internautes. Amazon a mis en place un système de personnalisation fondé sur le système des filtres coopératifs, basés sur le principe de l'association d'idées, et ne nécessitant aucune information personnelle sur l'internaute. De même un consortium de constructeurs et d'éditeurs développe actuellement un nouveau standard, l'Open Profiling Standard, basé sur le principe de la dissociation de la personne physique et de son représentant logiciel. L'OPS permet à l'utilisateur de stocker des informations le concernant tout en protégeant leur confidentialité, l'internaute peut donc décider de la part d'informations personnelles qu'il rend publique. Cette architecture est en cours de normalisation au sein du Web consortium sous le nom de P3P, Platform for Privacy Preferences. Par ailleurs les acteurs du Web développent actuellement un standard d'échange de profils d'internautes dénommé Information & Content Exchange, très complémentaire de OPS/P3P, qui permettra la transmission des profils des utilisateurs d'un site Web à l'autre, offrant une personnalisation totale de la navigation. Face à ces avancées technologiques, les mentalités évoluent rapidement. En 1970, un sondage Louis Harris indiquait que 34 % des Américains s’inquiétaient au sujet de la protection de la confidentialité. Ce taux est monté à 80 % en 1995. Certes, le développement de l’informatique explique largement cette préoccupation, mais elle est probablement également à mettre en relation avec la perte de confiance dans les institutions qui caractérise les sociétés occidentales contemporaines. Dans le domaine médical, la confidentialité porte principalement sur les dossiers médicaux et sur la protection du secret médical. En France, la CNIL permet de disposer d'un cadre satisfaisant pour préserver la confidentialité. En novembre 98 l'assemblée nationale a adopté un amendement permettant à l'administration d'utiliser le numéro de sécurité sociale (NIR) pour croiser les fichiers fiscaux et sociaux. Ce rapprochement a accru les risques liés à l'utilisation du NIR, qui ne sera probablement pas autorisé par la CNIL dans le domaine de la santé. Les acteurs de la santé doivent donc rechercher un Identifiant Patient Permanent spécifique. Aux Etats Unis en revanche, faute d'une autorité administrative indépendante chargée de contrôler ces questions, les acteurs américains adoptent des démarches contradictoires, mélant défense de la confidentialité et intrusion dans la vie privée des individus. Ainsi en avril 97 la Sécurité Sociale Américaine (Social Security Administration), avait créé un site permettant aux assurés sociaux de suivre l'ensemble des prestations reçues au cours de leur vie. Ce service comportait des risques d'intrusion importants et il a dû être fermé en raison des protestations des associations de défense des libertés publiques. En revanche la même SSA se donne le droit de suivre les assurés sociaux sur les réseaux informatiques pour détecter des fraudes, sans fournir aucune information sur la technologie ou les principes de pistage utilisés. Sur le plan juridique, une législation adaptée à la réalité technique doit encadrer les traitements nominatifs. L'Union européenne a adopté le 24 octobre 1995 la directive 95/46/CE relative à la protection des données personnelles et à la libre circulation de ces données. Le 25 octobre 1998, la directive est entrée en vigueur dans tous les pays européens, qui ont disposé de trois ans pour adapter leur législation. Grâce à la CNIL, la France disposait déjà d’un arsenal juridique suffisant en la matière, si bien que la transposition s’est faite sans problèmes. Cette directive uniformise les réglementations européennes sur le traitement des données nominatives, mais renforce aussi la protection des informations confidentielles au niveau mondial, y compris dans les pays extérieurs à l'union. Ainsi une société aux Etats-Unis qui souhaiterait exploiter des fichiers nominatifs partiellement alimentés par des données européennes devra respecter les règles de protection de la directive. La directive interdit également d'organiser des transferts d'informations nominatives vers des pays non dotés de législations protégeant les données confidentielles. Ces dispositions devraient avoir un impact sur les métier des data managers, notamment dans le domaine de la santé. Par ailleurs, des solutions techniques émergent rapidement. Le conseil des ministres européens vient de prendre la décision d'accorder une valeur légale à la signature électronique. Par ailleurs en attendant la généralisation des systèmes au standard OPS / P3P, des solutions techniques protégeant la confidentialité des internautes apparaissent : Anonymiser, service Web permettant aux internautes inscrits de naviguer de façon anonyme, Crowd, dont le principe est qu'un internaute peut naviguer en toute confidentialité s'il appartient à un groupe de personnes qui effectuent sur le réseau la même action au même moment, ou The Lucent Personalized Web Assistant, qui gère pour un internaute des relations électroniques confidentialisées avec divers sites Web. A moyen terme, les citoyens devront toutefois apprendre à se protéger contre les risques encourus sur le réseau. Les institutions et les associations de protection de la vie privée s'emploient aujourd'hui à informer les internautes de ces risques. Ainsi, on trouve de nombreuses informations en France sur le site de la CNIL, et aux Etats-Unis sur celui de la Federal Trade Commission. Dans le domaine médical la CNIL a édité un guide à destination des médecins, intitulé Santé, informatique et libertés.
28 avril 1999 |
|
|
|||||||||||||||||||||||||||||||||
| Copyright © Medcost 2005 - Tous droits réservés. | |||||||||||||||||||||||||||||||||||
6
novembre 2002