Claire Levallois-Barth, enseignant-chercheur en droit à Télécom Paris, revient sur le sujet clé de la définition des identités numériques dans le droit, avec cet extrait de l’ouvrage « L’identité numérique : quelle définition pour quelle protection ? »
Cette tribune reprend les arguments développés dans l’article publié dans l’ouvrage « L’identité numérique : quelle définition pour quelle protection ? » (éditions Larcier) dont Claire Levallois-Barth est l’auteur. Le texte intégral avec les références est disponible sur le site de la Chaire Valeurs et Politiques des Informations Personnelles
Les identités – qu’elles soient qualifiées de civile, réelle, personnelle, biologique, professionnelle, régalienne, subies ou souhaitées – témoignent de l’importance d’établir qu’une personne est bien celle qu’elle prétend être ou que nous présumons être. Elles nous confrontent à l’écriture d’une nouvelle structure sociale portée dans les textes juridiques. On pense notamment aux textes européens définissant les modalités d’identification électronique et des personnes aux frontières, ainsi que ceux relatifs à la sécurisation des cartes d’identité électroniques. Au niveau français, les institutions impliquées dans le débat (mission interministérielle portant sur les solutions d’identité numérique sécurisée, Conseil national du numérique ou Assemblée nationale), confirme l’importance des enjeux.
A lire aussi : IN Groupe : le défi de l’identité numérique à l’ère des écosystèmes
Une manière d’aborder cette question consiste à distinguer l’identité numérique subjective (tel que la personne se perçoit et souhaite qu’on la reconnaisse) et l’identité objective (tel que la société, l’Etat la perçoit). Ainsi, pour les juristes, l’identité entendue comme un regard extérieur, peut être définie comme « ce qui fait qu’une personne est elle-même et non une autre ; par extension, ce qui permet de la reconnaître et de la distinguer des autres ; … l’ensemble des caractères qui permettent de l’identifier ».
Face à ces multiples identités, une même question se pose : dans quel cas et comment l’individu – utilisateur – doit-il ou peut-il contrôler ses identités numériques ?
Pour un droit à des identités multiples
L’identité numérique ne correspond pas en effet à une transposition de l’identité civile dans le cyberespace. L’accroissement exponentiel des types d’attributs permis par la dématérialisation fait ainsi ressortir la nécessité de parler non pas d’une identité numérique mais des identités numériques. Si nos identités sont construites et attribuées par les acteurs publics et privés, il ne faut pas perdre de vue la nécessité d’établir les conditions permettant à la personne d’agir de façon autonome pour qu’elle puisse déterminer elle-même la façon dont elle entend se présenter aux autres. La prise en compte de ces deux aspects, identité objective et identité subjective, est essentielle. Elle doit se traduire selon nous par la reconnaissance d’un droit à des identités multiples. Parmi ces identités, on distingue les identités numériques régaliennes.
Les identités numériques régaliennes
Pour l’Etat, l’identité correspond à l’état civil avec des caractéristiques stables (nom, filiation, lieu et date de naissance, …) pour identifier sans équivoque une personne dans la continuité. Il s’agit d’asseoir l’emprise de l’Etat-nation sur la personne envisagée abstraitement. Cependant, le changement possible de certaines caractéristiques traditionnelles (sexe, nom de famille) conduit à retenir de nouveaux attributs comme un numéro (« numéro de sécurité sociale », identifiant unique persistant) ou des éléments fournis par le corps (ADN, iris, main, voix, réseau veineux). Dans cette logique, une photographie faciale et deux empreintes digitales offrant une identification supposée infaillible, renforcent la sécurité des cartes d’identité, des passeports biométriques ainsi que la quasi-totalité des systèmes d’informations à grande échelle dans le cadre de gestion des frontières et de l’ordre public de l’Union européenne.
L’élargissement des caractéristiques permettant d’individualiser une personne
On observe ainsi, un élargissement des attributs pris en compte pour caractériser un individu afin de mieux l’identifier. Cette extension permet non seulement d’augmenter la sécurité et d’établir un climat de confiance lors de l’utilisation des services publics et privés en ligne mais aussi d’individualiser davantage une personne à partir d’éléments extrêmement variables. Autour d’un noyau dur d’attributs considérés comme les plus stables, l’identité numérique peut alors être perçue comme la conjonction de nombreuses données personnelles, disséminées dans le monde virtuel ou réel. Nul besoin de s’enquérir du nom de la personne. La technologie permet désormais de lui attribuer certaines décisions sans révéler son identité au sens étroit du terme puisque c’est l’ordinateur qui traite le contact. Il importe donc de considérer l’impact de l’usage d’une agrégation d’informations sur la personne susceptible de tracer, de distinguer (et donc de traiter différemment) une personne parmi d’autres.
Vers une identité algorithmique
Le choix de ces d’éléments peut être décidé volontairement par la personne, dans ce qu’elle perçoit comme la caractérisant. A côté de cette identité numérique personnelle, l’individualisation peut être initiée par les acteurs privés non pas via quelques profils types mais, à l’heure de l’intelligence artificielle, d’une modélisation des comportements humains à partir de données individuellement a-signifiantes. Apparaît une nouvelle sorte d’identité, l’identité numérique algorithmique. Cette identité calculée se situe dans un mouvement général de réification de l’individu et propose une vision nécessairement partielle, déformée de celui-ci. Elle se distingue de l’identité numérique régalienne, définie comme l’adaptation de l’état civil à l’ère numérique.
Cependant, cette conception des identités numériques qui tend à transformer l’être humain en un objet statique, nous interroge. Doit-on laisser aux seuls acteurs privés et à l’Etat le soin de la déterminer ? Qu’en est-il de nos individualités, de la possibilité de nous construire de notre propre initiative et enfin d’échapper au confinement algorithmique ?
L’autonomie de la personne dans la détermination de ses identités numériques
L’identité numérique doit aussi être entendue comme la possibilité pour une personne de se « projeter » dans la société en choisissant les éléments qu’elle souhaite voir représentés et reconnus. La reconnaissance du droit pour chacun d’établir les éléments de son identité se fonde sur une interprétation du droit au respect de la vie privée reconnu par la Convention européenne des droits de l’Homme. Ainsi, la Cour européenne des droits de l’Homme va au-delà de la protection de l’intimité de la personne à l’abri du regard des tiers, pour les juges ce droit doit aussi permettre d’« entretenir des rapports avec d’autres êtres humains » et, plus largement, comme le droit à l’autonomie personnelle.
Construire son identité personnelle
La construction de l’identité par la personne qui en recherche les composantes s’explique par la revendication de les mettre en adéquation avec l’identité vécue ou ressentie. Elle constitue une condition de développement de nos personnalités, du respect de nos dignités « étant entendu que la dignité s’étend au sens kantien, c’est-à-dire comme exigence vis-à-vis de son action de considérer autrui comme but, et non comme moyen ».
Il appartient donc à notre société démocratique d’assurer la possibilité de nous permettre d’agir sur la construction de notre identité future mais aussi de faire disparaître certains aspects du passé. L’enjeu porte sur le respect du libre arbitre informationnel, chacun devant pouvoir choisir les attributs de son identité numérique. Il ne s’agit pas d’un cas d’école comme en témoigne la politique du « nom réel » pratiquée par Facebook. Jusqu’en 2015, le réseau social refusait d’autoriser l’utilisation d’un « faux nom » ou d’un pseudonyme. Cette politique l’a conduit à rétablir le nom légal ou à supprimer des comptes de transgenres, homosexuels, dissidents politiques ou de personnes harcelées.
Garantir une forme de contrôle
Toute la difficulté consiste à maintenir une forme de contrôle dans un environnement numérique où l’individu en dispose de moins en moins. Assurer à la personne une certaine maîtrise sur ses identités implique de s’intéresser aux contextes dans lesquels elle exprime sa personnalité. Nous ne partageons pas les mêmes informations, nous ne construisons pas notre relation de la même manière dans un milieu familial, professionnel, amical ou ludique. Cette assertion a d’ailleurs été confirmée par le sondage réalisée par la Chaire Valeurs et Politiques des Informations Personnelles en mai 2019.
De nombreux acteurs semblent cependant aller à l’encontre de cette exigence d’identités en contexte. La même identité « privée » est utilisée pour effectuer des achats en ligne, participer à un forum politique ou dans un contexte professionnel. L’identité Google, quasi-indispensable pour se connecter à des milliers de services tiers, Facebook Connect, Apple ID ou Azure AD participent également à ce mouvement d’enfermement de la personne dans leurs écosystèmes respectifs. Une seconde tendance concerne l’unification des identités numériques régaliennes et privées. En Estonie, depuis 2002, la carte d’identité électronique sert à la fois de carte nationale d’identité et de moyens d’identification en ligne auprès de services publics et privés. Cette propension lourde à la fusion de contextes a priori étrangers les uns des autres est accentuée par l’amélioration du niveau de sécurité des identités « privées », proposées pour l’instant par peu d’acteurs.
Renforcer l’effectivité du droit au respect de la vie privée
De tels choix ne peuvent être opérés à l’abri du contrôle démocratique. Afin de ne pas subir les effets d’une identification univoque généralisée par quel qu’acteur que ce soit, nous proposons de renforcer l’effectivité au droit au respect de la vie privée en reconnaissant un nouveau droit, le droit à des identités numériques multiples, afin de garantir le développement personnel. Ce droit comprendrait la possibilité de ne pas dévoiler sa véritable identité et de ne pas subir de représentation forcée lorsque cela n’est pas strictement nécessaire.
Comme tout droit, il s’agit de rechercher un équilibre entre le besoin de toute individu de se présenter comme il l’entend, la protection de l’intérêt des tiers (notamment quand nous concluons un contrat en ligne avec une entreprise) et de l’intérêt général (par le recours obligatoire à l’identité régalienne dans des cas précis).
Claire Levallois-Barth, Coordinatrice de la Chaire Valeurs et Politiques des Informations Personnelles de l’IMT.
Claire Levallois-Barth est enseignant-chercheur en droit à Télécom Paris, grande école composante de l’Institut Mines-Télécom (IMT) et de l’Institut Polytechnique de Paris (IP Paris). Elle est chercheur de l’Institut Interdisciplinaire de l’Innovation (I3), unité mixte du CNRS.
Claire Levallois-Barth est par ailleurs Coordinatrice de la Chaire Valeurs et Politiques des Informations Personnelles de l’IMT.
Elle est responsable de l’axe 5 « Protection des données personnelles impliquées dans le véhicule connecté » de la Chaire « Connected Cars & Cyber Security » (C3S) de Télécom Paris.
Claire Levallois-Barth est membre du Comité pilote d’éthique du numérique, éditeur associé des Annals of Telecommunications, membre du comité scientifique du Forum International de la Cybersécurité (FIC) et membre du Data Privacy Expert Panel d’AXA.