Identification, identifiant, identité… individu

La Fulbi (Fédération des utilisateurs de logiciels pour bibliothèque, documentation et information) organisait le 13 janvier dernier à Paris sa journée d’étude annuelle sur l’identification et l’identité numérique en bibliothèque. À partir de quel moment la récolte d’informations pour offrir des services et garantir la sécurité devient-elle indiscrétion ? Quels processus conduisent à la constitution d’une identité numérique et quel contrôle peut-on en avoir ? Quelle place les médiateurs, et en particulier les bibliothèques, occupent-ils dans ces processus et dans un dispositif d’information et de formation des individus à l’usage de leur identité numérique ?

Quelle maîtrise de l’identité numérique ?

Les interventions de la matinée reviennent sur des définitions et sur les grandes questions que pose, à l’heure du web 2.0, l’identité.

Stéphane Bortzmeyer de l’Afnic (Association française pour le nommage internet en coopération) explique ce qu’est un service d’identité, institution qui a pour fonction d’attribuer un identificateur à une personne ou à une ressource, d’en conserver la trace dans un registre, d’authentifier la personne ou la ressource qui prétend être désignée par cet identificateur et de lui délivrer des autorisations. Un service d’identité permet souvent d’accéder à des données sur l’utilisateur. La sécurité de ces données dépend des pratiques humaines qui les régissent et non prioritairement de la technique. Il est donc important que l’identité soit maîtrisée par l’utilisateur lui-même.

L’identité numérique pose des problèmes à la fois pratiques (multiples identifiants et mots de passe) et juridico-politiques (traçage des individus, protection des données personnelles, etc.). Le droit à l’anonymat et le droit à la multiplicité des identités ne vont pas de soi sur internet. Ne devraient-ils pas pourtant faire partie des droits fondamentaux des utilisateurs des réseaux ?

Pour Olivier Iteanu, avocat, plusieurs symptômes sont révélateurs d’une identité numérique mal maîtrisée. Les individus sont souvent trop peu attentifs à ce qu’ils révèlent sur eux-mêmes, aux informations détenues sur eux par d’autres entités, à ce que leurs « voisins » révèlent dans le cadre des réseaux sociaux, et aux traces qu’ils laissent. L’usurpation d’identité ou l’atteinte à l’intimité de la vie privée ne sont par rares sur internet. Le fait que le droit à l’anonymat ne soit pas garanti par défaut est problématique.

L’identité numérique peut être protégée de différentes manières dans le cadre de la loi sur la propriété intellectuelle : le pseudonyme peut être protégé à titre de marque, tout comme le nom de domaine qui peut, de plus, être considéré comme une enseigne ou encore comme un titre protégé par le droit d’auteur. Actuellement, le droit est très favorable aux marques, dans 85 % des cas, quand il y a litige sur un nom de domaine, il est retransféré vers la marque, parfois au détriment d’individus. La solution consisterait à faire de l’identité numérique un droit de la personnalité, qui, à l’instar du nom de famille, prévaudrait sur le nom de marque ou de domaine.

Évelyne Broudoux, maître de conférences en sciences de l’information et de la communication (université de Versailles – Saint-Quentin-en-Yvelines), attire l’attention sur les phénomènes de marchandisation de l’identité sur internet. Des techniques sont développées par de nouveaux acteurs commerciaux pour récupérer et analyser les données délivrées par les individus sur le web et suivre les internautes à la trace. Il s’agit la plupart du temps de données quantitatives sur le trafic, mais aussi de données personnelles. Le web participatif a entraîné une identification massive des internautes par l’adresse e-mail et de nouveaux services sont apparus qui, comme OpenID, centralisent les identifiants et les informations qui leur sont liées. L’échange de données personnelles constitue un nouveau marché, et une guerre commerciale se fait jour pour l’adoption d’un nouveau standard de gestion des identifiants, des relations, de la réputation. Cinq grands acteurs se partagent la plupart des services du web (Yahoo, Google, IAC, AOL, Microsoft). Ils maîtrisent à la fois la gestion des profils et des traces. Les évolutions actuelles tendent vers l’adoption d’une identification unique pour les administrations, les entreprises, les employeurs et les banques. Il devient donc crucial de mieux encadrer la protection des données et de conserver le droit à des identités -multiples.

Suite à ces trois interventions, le public s’interroge sur la capacité de résistance que les individus qui ont accès aux traces peuvent avoir face aux instances qui leur demanderaient de livrer les informations ainsi obtenues. Olivier Iteanu répond que la limite se situe dans la légalité : il y a des demandes légales et d’autres non. Stéphane Bortzmeyer rappelle que ce n’est pas si simple : les intermédiaires techniques sont tenus de conserver les traces et de délivrer aux autorités les informations qu’ils détiennent sur réquisition judiciaire. En France, les données détenues par les fournisseurs d’accès sont utilisées par la police. L’équilibre n’est pas facile à trouver. Les fournisseurs d’identité sont une nouvelle incarnation de l’intermédiation, comme les banques ont été en leur temps un nouvel intermédiaire entre l’employeur et l’employé. Le fournisseur d’identité suit tout ce que fait l’utilisateur. Pour gérer leur identité numérique, les internautes ont souvent des dizaines de pseudonymes. C’est à la fois trop et pas assez. L’idéal serait d’avoir peu d’identificateurs, mais très séparés. Il faut former les utilisateurs aux outils, mais aussi aux usages.

Expériences concrètes

L’après-midi est l’occasion de présenter plusieurs expériences concrètes. Georges-Étienne Faure (Université numérique Paris-Île-de-France) présente le projet de carte à puce qui vise à transformer la carte d’étudiant en carte multi-service intégrant un porte-monnaie et des informations spécifiques pour des services intra- et extra-universitaires dans le contexte d’un nomadisme étudiant au sein de la région. À court terme (2010), ces cartes devraient évoluer vers la technologie sans contact (RFID) qui permettra, entre autres, d’y intégrer l’abonnement aux transports. En bibliothèque, cette carte permet d’accéder à différents services (impressions, automates de prêt, etc.), l’objectif étant de parvenir à terme à une carte de lecteur unique pour toutes les bibliothèques universitaires d’Île-de-France. Cela implique de mettre en place un système de transfert des données entre établissements. Un certain nombre de difficultés sont cependant encore à résoudre : outre la difficulté à faire évoluer les SIGB (systèmes intégrés de gestion des bibliothèques) et à faire fonctionner un réseau vaste et complexe, la question du partage d’information est également cruciale : actuellement, chaque université ou bibliothèque universitaire a obtenu de la Cnil (Commission nationale de l’informatique et des libertés) le droit de stocker des informations. Qu’en est-il d’un regroupement d’universités ?

Carine Garcia et Claire Leblond, de l’École supérieure de commerce de Lille présentent ensuite leur expérience de formation des étudiants à la maîtrise de leur identité numérique. Une enquête réalisée à l’ESCL a montré que 80 % des étudiants sont inscrits sur Facebook, mais que la grande majorité méconnaît les outils professionnels du web 2.0 (Viadeo, LinkedIn, etc.). L’enquête fait également ressortir une très grande diversité des usages entre ceux qui n’ont pas envie d’être présents sur le net, et ceux qui, au contraire, dévoilent leur vie privée en totale impudeur.

La manière dont les entreprises abordent la gestion des ressources humaines est en train de changer. Elles se mettent à utiliser largement le web 2.0 (plateforme de recrutement en ligne, etc.) et à rechercher sur internet des informations sur les candidats. Former les étudiants à la création d’une identité numérique qui les rende visibles et leur permette d’optimiser leur image dans le cadre d’une recherche d’emploi apparaît donc nécessaire. Un programme a été mis en place par les documentalistes de l’école, en trois axes : sensibiliser les étudiants au fait que les informations personnelles mises en ligne dans un but précis peuvent être utilisées par d’autres avec des objectifs complètement différents, leur apprendre à se créer un profil cohérent et maîtrisé et à faire un choix logique parmi les outils professionnels du web 2.0, et les inciter à développer leurs réseaux et à mettre en valeur leurs domaines d’expertise sur internet.

Dominique Lahary (bibliothèque départementale du Val-d’Oise) présente enfin les éléments protecteurs des données personnelles de la recommandation Idrabib (Identification par radiofréquence en bibliothèque), validée en 2006 et modifiée en 2008 dans le sens d’une plus grande protection de la confidentialité dans le cas des puces d’usagers. Deux principes ont été posés, l’économie et la non-redondance : la puce ne doit contenir aucune donnée personnelle ou sur les usages de son propriétaire. Le code qu’elle contient ne doit être compréhensible que pour le SIGB. Toutes ces informations sont considérées et traitées comme des données personnelles, même s’il s’agit de données concernant des objets.

La réflexion sur la protection des données personnelles se poursuit avec un projet de charte sur les transferts de données en cas de réinformatisation ou dans le cadre de réseaux hétérogènes. Ces travaux montrent que les associations professionnelles peuvent participer activement à la défense des libertés individuelles.