Attention fragile !
« L’identité, identitus en latin signifie le même. Au plan juridique, elle représente l’ensemble des attributs qui composent l’unicité d’un individu », d’après Claire Levallois-Barth, Institut Mines-Telecom, CNRS-LTCI, Chaire Valeurs et politiques des informations personnelles). L’identité peut varier en fonction du contexte externe dans lequel une personne évolue, faisant référence aux identités fragmentées (sphère privée, professionnelle, administrative). Cette identité peut ainsi revêtir un caractère opposable, formel, pseudonyme ou anonyme en fonction des intérêts ou des obligations de l’individu.
L’identité numérique affecte la réputation (ce qu’on dit sur moi), l’expression (ce que je dis), le réseau (ceux avec qui je communique), la certification (la preuve de mon identité), l’opinion (ce que je pense), l’avatar (comment je me montre). Avec la dissémination des usages numériques est né un nouveau sport international à but bien peu humaniste et moral, l’usurpation d’identité. Autant dire le vol de soi avec de préoccupantes ou dramatiques conséquences. D’après le Bureau of Justice Statistics américain son coût estimé est de 30 milliards de dollars par an (2015) soit près de deux fois le montant des vols de biens. Hors les épisodes Madoff et consorts s’entend. En France, l’incidence de l’usurpation porte sur près d’un million de personnes pour un coût au-delà de 4 milliards € par an majoritairement dans secteur médico-social.
Une loi peu dissuasive et des services* sans guère de moyens
D’après Betty Sfez, avocate à la Cour, l’usurpation d’identité est constituée quand elle porte sur l’identité même de la victime (nom, prénom, surnom, pseudonyme, identifiants électroniques) ou sur toute autre donnée de nature à l’identifier. Cette dernière expression permet de s’affranchir de la notion de données à caractère personnel, au sens de la loi Informatique et Libertés, et de rechercher tout autre élément permettant une identification. Il est donc possible d’y inclure les adresses IP, les URL, les mots de passe, ainsi que des logos, images, voire même un avatar, tous ces éléments permettant de pointer vers une personne physique. Les juges seront amenés à interpréter et affiner cette notion, son périmètre et son objet. On notera également que l’usurpation d’identité “numérique??, telle que prévue à l’article 226-4-1 al. 2 du code pénal, est commise sur un réseau de communication au public en ligne, ce qui comprend notamment les courriers électroniques, les sites web, les messages publiés en ligne et les profils en ligne sur les réseaux sociaux (Facebook, Twitter). Ce délit est puni de 15 000 à 75 000 euros en fonction de l’origine de l’usurpateur mais un récent jugement a établi à une condamnation d’à peine 3 000 euros.
Mieux vaut prévenir que guérir
A la différence de la culture anglo-saxonne et sans doute faute de moyens, la France préfère certifier sans contrôler que de faire confiance et de sanctionner après un contrôle sans faiblesse. C’est le « I trust but I check » de célèbre mémoire. Tout est dans le « check ». Ainsi, l’UPMC, University of Pittsburgh Medical Center a reçu une amende de plusieurs millions de dollars pour manquement à la sécurité selon les règles HIPAA. On ne peut imaginer ceci au pays de Voltaire dans un grand établissement. Pour avancer sur le chemin de la protection, quelques règles devraient être vérifiées :
•Etablir une cartographie des risques et des menaces prioritaires
•Y-a-t-il une politique de sécurité et une charte adossée au contrat de travail dans l’établissement ?
•La DRH est-elle bien l’entité responsable des droits d’accès ?
•La DRH s’assure t-elle bien d’énoncer les devoirs de tout nouvel employé ou sous-traitant et clôt-elle les droits des personnels sortant du champ de l’établissement ?
•Les droits administrateurs sont-ils contrôlés et leurs login/mot de passe changés régulièrement (y compris la direction générale, les médecins et la DSI) ?
•Existe-t-il une formation de responsabilisation des personnels ?
•Existe-t-il un contrôle des usages du réseau dans l’établissement (par exemple l’usage personnel d’Internet) ?
•Existe-t-il une traçabilité des usages (par exemple par authentification forte) ? Car on rappellera que le directeur général est pénalement et personnellement responsable sans possibilité de délégation des moyens et ressources dédiés à la sécurité des systèmes d’information s’agissant de la vie privée des patients.
•L’analyse porte-t-elle également sur les appareils mobiles (Smartphone, tablettes, BYOD, accès en SAAS sur le Cloud Computing) ?
•Existe-t-il un outil de gouvernance des postes de travail et de leurs usages ?
•L’architecture de contrôle est-elle adaptive et évolutive ?
On pourrait également demander que le RSSI soit rattaché au directeur général et non plus dépendant du DSI ou du DAF pour des raisons financières et de priorités. Edward Snowden, le célèbre lanceur d’alerte a récemment écrit que « nos enfants n’auront aucune conception de la vie privée » tant le numérique aura envahi nos vies et nos actions seront tracées. Pour ne pas nous faire voler nos vies et celles des patients pour d’obscures raisons mercantiles et autres escroqueries, autant devenir des « netizen » responsables. Le chantier s’annonce difficile hélas.
Dr Joëlle Belaïsch-Allart : « S’il faut respecter le non-désir d’enfant, le renoncement à la parentalité doit interpeller »
Visite médicale d’aptitude à la conduite : le permis à vie de nouveau sur la sellette
Le dispositif Mon soutien psy peine à convaincre, la Cnam relance l’offensive com’
Ouverture du procès d’un ancien psychiatre de l’AP-HM jugé pour viols et agressions sexuelles sur quatre patientes