Au printemps 2009, la ministre de l'intérieure Michèle Alliot-Marie faisait renaitre de ses cendres un projet de loi élaboré deux ans plus tôt et visant à sanctionner plus durement l'usurpation d'identité sur Internet. Avec ce texte, qui devrait être soumis au parlement d'ici juin 2010, l'usurpation d'identité numérique ne serait plus une simple circonstance aggravante d'un autre délit mais une nouvelle infraction : utilisation frauduleuse de données à caractère personnel de tiers sur un réseau de télécommunication. Si cet intitulé "à large spectre" souligne plus qu'il ne résout le flou juridique qui subsiste autour de la notion d'identité numérique, tout son intérêt est d'introduire pour la première fois une notion de propriété des données personnelles.

Les identités numériques, une autre réalité

Pour la première fois, un texte de loi prend en compte les différences fondamentales qui existent entre l'identité officielle d'un individu et ses identités numériques. Là où l'identité officielle est attribuée, de façon unique et sans pouvoir être changée, par une autorité publique, l'identité numérique relève du mode déclaratif. L'internaute est seul responsable de l'identité numérique sous laquelle il choisit d'apparaître, que celle-ci corresponde ou non à une réalité. Il peut en outre déclarer autant d'identités numériques qu'il le souhaite sans que celles-ci aient un lien les unes par rapport aux autres. Limité dans la vie réelle à quelques situations particulières, l'usage d'un pseudonyme est non seulement une habitude mais aussi une nécessité dans le monde numérique.

C'est par ce moyen que l'espace Internet reproduit l'un des fondements de nos modes de vie contemporains, la possibilité d'aller et venir en tout anonymat. Dans la vie réelle, et à de rares exceptions, nous pouvons en effet choisir quand et à qui nous la déclinons, et pour quel motif.

L'internaute est créateur de valeur

Lorsque nous entrons dans un magasin par exemple, le vendeur ne demande pas une pièce d'identité avant d'accéder aux rayons. Il le fera, éventuellement, au moment du règlement de l'achat et sous certaines conditions seulement. La comparaison avec le monde numérique met en évidence la deuxième différence essentielle entre l'identité officielle et les identités numériques. Là où la première est avant tout un acte administratif sans autre finalité que de vous identifier, la formation d'une identité numérique auprès d'un fournisseur de services s'effectue toujours dans l'objectif d'accéder à un service en ligne fourni par un tiers.

La création d'une identité numérique est donc créatrice de valeur pour celui qui la créé et celui qui l'exploite. Ou plus exactement, l'acte par lequel l'internaute fournit une identité permettant au fournisseur d'un service en ligne d'établir avec lui une relation personnalisée est créateur de valeur.

Les écrits restent

Dans le magasin, le vendeur vous demande immanquablement dès votre entrée si vous cherchez quelque chose en particulier. Son but, vous orienter vers le ou les produits que vous seriez le plus susceptible d'acheter effectivement. Si vous le décidez, les informations personnelles que vous allez lui fournir, par exemple, que vous cherchez un pull pour votre fils de 10 ans avant de partir au ski, seront utilisées par ce vendeur pour réaliser son objectif. Cet échange d'information créé un contrat tacite entre vous et le vendeur, aux termes duquel les informations personnelles que vous fournirez seront utilisées dans un objectif commercial. En ligne, l'objectif n'est pas différent, même lorsque le service est en libre accès. Les informations personnelles fournies seront, directement ou indirectement, génératrices de valeur économique. La différence majeure réside dans le fait que ces informations sont transmises non pas au cours d'une brève conversation mais par écrit.

L'effet de loupe des traitements informatisés

Stockée sous la forme permanente de l'écrit, l'information personnelle prend automatiquement de la valeur parce qu'elle est facilement réutilisable et surtout cessible. Pour reprendre notre exemple dans la vie réelle, ce que vous aurez confié au vendeur du magasin lui servira peut-être, la prochaine fois, à vous proposer des articles mieux adaptés à vos goûts. La connaissance de ses clients est essentielle pour que ce vendeur puisse atteindre ses objectifs, mais elle lui est propre.

Ce que vous lui avez confié restera à peu près entre vous et lui. En ligne en revanche, les informations personnelles sous forme écrite sont instantanément réutilisables en dehors de votre contrôle par un simple traitement informatique. Ce que vous avez confié est accessible à toute personne ayant accès au système d'information du fournisseur de service en ligne. Par comparaison, c'est un peu comme si le vendeur, après vous avoir vu, rédigeait une note de service à l'attention de tout le magasin expliquant que Mr Dupont a un fils de 10 ans et qu'il va partir au ski à la fin du mois. Derrière son apparente absurdité, cet exemple montre bien l'effet de loupe que les technologies informatiques autorisent en matière de manipulation des données personnelles.

Redéfinir les limites de propriété

Il ne s'agit évidemment pas de condamner le commerçant en ligne parce qu'il fait précisément bien son métier, réaliser la meilleure vente possible en apprenant à connaître son client. Et cela d'autant plus qu'en France, l'usage des données personnelles est bien encadré par la loi Informatique et Libertés, que la CNIL a su faire évoluer au fil des avancées technologiques. En revanche, l'apparition dans le code pénal d'une infraction d'usurpation frauduleuse d'identité constitue une opportunité, aussi bien pour les internautes que pour les fournisseurs de services, de réfléchir plus avant sur les limites de propriété des données à caractère personnel et leurs règles d'utilisation.

Cela est d'autant plus important dans un contexte d'interactions commerciales croissantes, offrant toujours plus de possibilité de croisement des données personnelles confiées indépendamment aux uns et aux autres par un même internaute. D'un point de vue réglementaire, la CNIL en France, et ses homologues en Europe ont déjà anticipé ce danger pour l'internaute et tentent d'harmoniser, à l'échelle européenne, les règles d'utilisation des données personnelles.

L'internaute et son patrimoine numérique

Mais l'initiative, dans ce domaine, ne doit pas forcément venir du législateur.

Internautes et fournisseurs de service ont tout intérêt à prendre conscience par eux-mêmes de la valeur patrimoniale des informations personnelles qu'ils mettent à disposition ou manipulent, s'ils veulent conserver pour les uns, leur liberté et leur anonymat en ligne, et pour les autres, de réelles possibilités d'exploiter le patrimoine de leur fichier de clients.

L'internaute, dès lors qu'il sort de l'anonymat, représente une valeur économique quantifiable. Une étude* récente réalisée aux Etats Unis évalue à 5.000 euros en moyenne les actifs disponibles sur les comptes en ligne d'un internaute français.

De nouvelles réponses technologiques

Les technologies permettent aujourd'hui de franchir le pas et d'aller au delà d'une vision simplement sécuritaire de la protection du patrimoine numérique de l'internaute. Grâce aux avancées en matière de chiffrement et de calcul distribué, il est aujourd'hui possible de restituer à l'internaute la liberté de décider du lieu, du moment et de l'interlocuteur auquel il confie ses données personnelles.

Avec ces techniques, l'internaute peut adopter sur chaque site une ou plusieurs identités numériques entièrement étanches les unes par rapport aux autres et constituées d'informations inexploitables hors de leur contexte parce que morcelées en divers endroits. Le risque de phishing est totalement éliminé, de même que la possibilité d'une utilisation hors contrôle des informations fournies.

Face à la tentation de l'identité unique et infalsifiable qui ferait perdre à Internet une part notable de son attrait sans renforcer la protection de son patrimoine numérique, la technologie fournit aujourd'hui aux internautes une opportunité à saisir : reprendre le contrôle sur leurs informations personnelles et devenir pleinement acteur de la gestion de leur patrimoine numérique.

* Enquête YouGov publiée le 5 mars 2008 par la société Verisign