19 Mai 2021 – Rapport du 117e congrès – Commission 1 – Chapitre I – Les éléments d’identification
PARTIE II – Les attributs numériques de la personne
Titre 1 – L’identité numérique
Sous-titre 1 – Les composantes de l’identité numérique
Chapitre I – Les éléments d’identification
1120 – Deux catégories d’éléments d’identification. – Dès l’apparition des systèmes d’information, il a fallu identifier les objets traités par ces derniers et, en cas de traitement de données personnelles, l’identification des personnes concernées s’est révélée nécessaire. Dès lors que plus d’une personne peut accéder à un système informatique, il convient de mettre en place un processus d’identification de l’utilisateur.
Les éléments d’identification numérique d’une personne se scindent en deux catégories :
ceux qui ouvrent un droit d’accès à un système, tel le login ;
ceux qui permettent d’isoler les données d’une personne de celles des autres et de les regrouper entre elles au sein du système d’information, tels le nom, le pseudonyme ou le numéro d’identification.
Dans de nombreux services en ligne modernes, notamment les webmails, les réseaux sociaux et services de jeu en ligne, l’utilisateur d’un service est lui-même un objet de traitement de ce service. Dans ce cas, les deux catégories d’identification peuvent fusionner, le pseudonyme constituant également le login.
Selon le service utilisé, les éléments d’identification auront été soit imposés par le service en question ou une autorité supérieure dont dépend l’utilisateur dans le cadre de l’usage du service en question, tels l’employeur ou le chef d’équipe357 (Section I), soit librement choisis par l’utilisateur358 (Section II).
Section I – Les éléments d’identification imposés
1121 Certains services numériques ne laissent pas à la personne, utilisateur ou sujet, le choix dans l’identifiant qui la représente. Sans être exhaustif, nous pouvons aborder deux situations : celle où la personne est identifiée par son nom d’état civil (Sous-section I), et celle où elle est identifiée par un numéro attribué d’office (Sous-section II).
Sous-section I – Le nom d’état civil
1122 Le nom d’état civil d’une personne, souvent la conjugaison d’un nom de famille et d’un prénom, est son élément d’identité fondamental. Régi par la loi de la nationalité de la personne et reconnu à travers le monde entier, il a toutes les raisons d’être également un constituant de l’identité numérique. Les usages numériques du nom d’état civil sont nombreux et variés (§ I) et doivent en conséquence faire l’objet d’une certaine protection (§ II).
§ I – Les différents usages numériques du nom d’état civil
1123 – Le statut du nom dans le Code civil. – Selon le Code civil, le nom d’état civil d’un ressortissant français est systématiquement composé d’un ou plusieurs prénoms librement choisis par les parents et d’un nom de famille choisi par les parents parmi leurs propres noms de famille (C. civ., art. 311-21).
En conséquence le nom d’état civil de la personne lui est imposé dès sa naissance à deux niveaux : au niveau familial et au niveau de l’État. Enfin, selon le principe d’immutabilité, et sauf motif légitime, la personne ne peut pas changer son nom d’état civil (C. civ., art. 60 à 61-4).
1124 – Le statut du nom dans des textes internationaux. – L’article 24-2 du Pacte international relatif aux droits civils et politiques adopté à New York le 16 décembre 1966359 par l’Assemblée générale des Nations unies consacre comme droit fondamental de la personne l’inscription de sa naissance sur un registre d’état civil.
L’acte de naissance, sur lequel doit figurer le nom attribué à l’enfant, est donc l’élément fondateur de l’état civil. Selon le rapport du 17 juin 2014 du Haut-Commissariat des Nations unies aux droits de l’homme360, l’enregistrement des naissances établit l’existence de la personnalité juridique d’un individu.
1125 Les États ont d’ailleurs très vite compris que l’usage du nom comme élément d’identification numérique à l’échelle internationale était d’une efficacité redoutable. C’est ainsi que depuis le début des années 2000 (mai 2006 en France)361, les passeports sont munis d’une puce électronique dans laquelle sont gravées les données personnelles caractérisant le titulaire, notamment ses nom et prénoms. En 2017, cent vingt pays délivraient des passeports munis d’une puce électronique.
S’agissant de l’identification d’un citoyen au moyen d’un titre numérique sécurisé, certains États vont plus loin. En Espagne, par exemple, des cartes d’identité numériques (DNIe) sont délivrées aux ressortissants qui en font la demande. Elles sont livrées avec un lecteur de carte à puce et permettent à leurs détenteurs de justifier de leur identité non seulement dans le monde réel par la présentation physique de cette carte, mais également dans le monde virtuel par l’insertion de la carte dans son lecteur. Ces cartes permettent également de procéder à une signature électronique.
En France, le ministère de l’Intérieur travaille sur un projet similaire qui devrait aboutir à l’émission de cartes d’identité numérique dans les prochaines années362.
1126 – Le nom d’état civil comme identifiant obligatoire de l’utilisateur. – Dans certaines situations, un utilisateur de système d’information doit impérativement être identifié par son nom d’état civil. Cette obligation ne porte pas forcément sur les éléments de connexion (login), mais sur l’identité inscrite au cœur du système et rattachée aux utilisateurs. Cette situation courante se retrouve dans la plupart des accès à un service officiel ou professionnel.
C’est ainsi, par exemple, qu’un notaire qui se connecte à un service professionnel accessible par la plateforme d’identification ID.NOT Authenticator366 est reconnu par le service en question par son titre et ses nom et prénom.
De la même manière, un contribuable qui se connecte sur le site impots.gouv.fr est reconnu par les services fiscaux en ligne sous ses nom et prénom.
Il s’agit du moyen le plus fiable pour établir un lien direct entre la personne réelle qui a utilisé le service et les données d’utilisation enregistrées par le système utilisé. Un lien évident entre le réel et le virtuel est ainsi créé.
Un danger découle néanmoins de cette absence d’anonymat : celui de l’usurpation d’identité. Il sera par exemple toujours plus facile pour celui qui veut se faire passer pour Albert Dupont d’y parvenir s’il est répertorié sous ce nom par le service convoité plutôt que s’il est répertorié avec un numéro attribué aléatoirement tel AX2598FR547 : dans la seconde hypothèse, l’usurpateur doit en plus découvrir l’élément d’identification. Il est alors nécessaire d’employer des méthodes d’authentification sécurisées qui associent les exigences de la réglementation aux progrès technologiques.
1127 – Le nom d’état civil comme identifiant de données traitées. – La plupart des systèmes d’information traitent et stockent des données personnelles qui, pour des raisons de simplicité ou de cohérence, sont rassemblées sous le nom d’état civil de la personne.
1128 – Les raisons de l’usage numérique du nom d’état civil. – L’attribution d’un nom, de manière systématique, à chaque personne est un argument en faveur de l’utilisation du nom d’état civil comme élément d’identification en matière d’identité numérique. En effet, l’usage d’un critère international facilite l’échange de données et l’adaptation des systèmes d’un pays à un autre. Il permet également la fusion des données entre différents pays et la proposition de services identiques à chaque client potentiel.
Le nom suit la personne toute sa vie et permet de l’identifier avec fiabilité. Il va pouvoir en conséquence être utilisé tant comme identifiant obligatoire d’un utilisateur que comme identifiant d’une donnée traitée.
§ II – La protection du nom d’état civil
1129 – Le RGPD et le nom patronymique. – Face au risque d’atteinte aux libertés individuelles que peut constituer la collecte massive de données personnelles inscrites au nom de la personne, un besoin de régulation était nécessaire. Cette régulation a été initiée le 6 janvier 1978 par le vote de la loi no 78-17 relative à l’informatique, aux fichiers et aux libertés, dite « loi informatique et libertés »367, qui a notamment créé la Commission nationale de l’informatique et des libertés (Cnil), organisme indépendant en charge de la surveillance du traitement des données personnelles. Puis, le 27 avril 2016, l’Union européenne a adopté le règlement général sur la protection des données (RGPD)368 qui a permis, à l’échelle européenne, une uniformisation de la réglementation et, à l’échelle nationale, un durcissement des mesures de sécurité encadrant la protection des données personnelles369.
Par l’effet de ces textes, les organismes collecteurs de données personnelles ne peuvent pas en disposer librement, et les contraintes sont accentuées lorsque le nom de la personne sert à les identifier370.
1130 – Pseudonymat ou anonymat. – Aussi, et selon les cas d’usage, l’exploitation ou le partage des données personnelles doit passer par une étape de pseudonymisation ou d’anonymisation.
La pseudonymisation consiste à substituer un alias au nom des personnes tout en conservant une technique de concordance. Les données personnelles peuvent ainsi être partagées sans que les noms apparaissent, tout en permettant aux destinataires autorisés de les identifier grâce à des données tierces. Il s’agit donc d’une technique réversible.
À l’inverse l’anonymisation est un procédé permettant la suppression définitive et irréversible de toute référence au nom de la personne. Cette technique est notamment imposée aux administrations qui alimentent des bases en open data (CRPA, art. L. 312-1-2 et D. 312-1-3), obligation totale ou partielle selon la nature des données concernées. Les offres de service permettant de procéder à l’anonymisation de données personnelles étant variées et de qualités diverses, le Groupe de travail « Article 29 » sur la protection des données371 a adopté le 10 avril 2014 l’« avis 05/2014 sur les techniques d’anonymisation »372. Cet avis donne en conclusion des recommandations techniques, dresse une liste de bonnes pratiques et propose un tableau donnant un aperçu des forces et des faiblesses des différentes techniques.
Sous-section II – Les numéros d’identification
§ I – Les numéros attribués par l’État
1132 – Le numéro d’inscription au répertoire des personnes physiques (NIRPP ou NIR). – Depuis 1946373, prioritairement pour les besoins de la Sécurité sociale, l’État attribue à chaque Français, dès sa naissance, un numéro d’inscription au répertoire des personnes physiques (NIRPP ou NIR), numéro communément appelé « numéro de sécurité sociale ». Le NIR est géré par l’Insee374. Par son exhaustivité et sa simplicité, ce numéro répertoriant tous les citoyens attire les convoitises de l’ensemble des services de l’État.
En 1972, les ministères de l’Intérieur et de la Justice préparent le projet de système automatisé pour les fichiers administratifs et le répertoire des individus, dit « projet Safari ». Ce projet consiste à utiliser le NIR dans l’ensemble des fichiers informatiques actuels et futurs des différentes administrations et à interconnecter le tout375. Ce projet Safari sera toutefois vite abandonné face à la polémique soulevée par la publication d’un article de Philippe Boucher dans le journal Le Monde, intitulé Safari ou la chasse aux Français376, visant à dénoncer les conséquences d’un tel fichage des individus. C’est dans ce contexte qu’est créée la Commission nationale de l’informatique et des libertés (Cnil), par l’adoption de la loi informatique et libertés du 6 janvier 1978377. La Cnil a notamment le pouvoir d’autoriser ou non l’usage du NIR par les autorités pour chaque fichier créé. Les projets d’échanges d’informations entre les administrations sont fréquents et la réglementation évolue perpétuellement. La disposition légale la plus récente des cas d’usage du NIR date du décret du 19 avril 2019, dit « décret cadre-NIR »378. Comme pour tout traitement de données à caractère personnel, la Cnil dispose également d’un pouvoir de contrôle de l’usage du NIR par les pouvoirs publics ou les organismes privés et peut poursuivre en justice379.
1133 – Le service FranceConnect. – Notre millefeuille administratif a toutefois rapidement conduit l’État à multiplier le nombre de numéros d’identification par citoyen, chaque fichier administratif répondant aux exigences de son propre numéro d’identification… Si le citoyen pouvait être rassuré sur le respect de l’exercice de ses libertés individuelles grâce au contrôle de la Cnil, la multiplication de ces numéros conjuguée à un besoin d’utilisation de plus en plus fréquent rendait les accès aux systèmes administratifs dématérialisés totalement abscons.
Ce constat a amené l’État à créer en 2005 le service FranceConnect380.
À partir d’une identification complète sur un site reconnu par FranceConnect, site de première importance comme impots.gouv.fri ou ameli.fr(Sécurité sociale), l’usager peut accéder à des services publics en ligne (Agence nationale des titres sécurisés, Toulouse Métropole, consultation du livret scolaire en ligne…). Le partage d’informations se fait au niveau des identifiants d’accès et non au niveau du classement des données collectées : ainsi chaque site internet ou service numérique conserve la maîtrise et le traitement des données dont il a la charge, seul le moyen d’accès est partagé. Il s’agit des prémices d’une identité numérique attribuée par l’État.
Depuis 2018381, les entreprises privées peuvent également utiliser le service FranceConnect pour l’identification de leurs clients dans les cas suivants :
elles proposent des services en ligne liés à la démarche de changement d’adresse et uniquement pour ces services ;
elles proposent des services en ligne dont l’usage nécessite, conformément à un texte réglementaire, la vérification de l’identité de leurs utilisateurs.
Enfin, un arrêté du 11 mai 2020382 a lancé une expérimentation limitée à cent personnes morales dont la finalité est de déterminer les nouveaux secteurs d’activité qui trouveraient un bénéfice à utiliser FranceConnect afin d’améliorer les services rendus à leurs utilisateurs. Selon le 6ode l’article 2 dudit arrêté : « Les modalités de participation à l’expérimentation sont disponibles sur le site https://franceconnect.gouv.fr/partenaires ».
1134 – Le système Alicem (« Authentification en ligne certifiée sur mobile »). – Le système Alicem créé par décret du 13 mai 2019383 permet par ailleurs aux usagers de FranceConnect de s’identifier par reconnaissance faciale : l’usager télécharge l’application Alicem sur un smartphone compatible, crée un compte en indiquant ses éléments d’état civil de base, son adresse e-mail et un numéro de portable. Il reçoit enfin un SMS de confirmation et filme ensuite son visage sous plusieurs angles. Il est désormais identifiable par les services compatibles avec FranceConnect à la seule vue de son visage !
Ce décret du 13 mai 2019 donnant naissance à Alicem a fait l’objet d’un recours pour excès de pouvoir devant le Conseil d’État par l’association « La Quadrature du net » déposé en juillet 2019 au motif qu’il n’y a pas d’alternative à l’usage de la reconnaissance faciale dans le système Alicem. Par un arrêt du 4 novembre 2020, les dixième et neuvième chambres réunies du Conseil d’État ont toutefois rejeté ce recours384.
Ce rejet a été essentiellement motivé, d’une part, par l’inexistence pour la création d’identifiants électroniques d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale et, d’autre part, par le fait que le consentement à Alicem est librement donné dans la mesure où les services auxquels cette identification donne accès sont tous également accessibles via la plateforme FranceConnect.
§ II – Les numéros attribués par des acteurs privés
1135 – Encadrement par la Cnil et le RGPD. – Afin de faciliter la tenue de leurs fichiers en évitant les erreurs et les homonymies, et ne pouvant pas utiliser le NIR, la quasi-totalité des acteurs privés répertoriant des personnes (clients, salariés, fournisseurs, sujets d’étude…) attribuent des numéros d’identification. Cette pratique, qui est une composante de la constitution d’un fichier contenant des données à caractère personnel, est régulée par le RGPD385 sous le contrôle de la Cnil.
L’attribution d’un numéro d’identification à une personne par une entreprise selon des critères qui lui sont propres ne présente pas de réelle difficulté. Les précautions à prendre sont celles de toute constitution de fichier contenant des données à caractère personnel. Ainsi, jusqu’à l’entrée en vigueur du RGPD, les entreprises devaient constituer et déclarer leurs fichiers clients à la Cnil selon la norme simplifiée NS-048386. Actuellement, la Cnil donne sur la page internet relative à la norme NS-048 l’information suivante : « Suite à l’entrée en application du RGPD, les normes simplifiées adoptées par la Cnil n’ont plus de valeur juridique à compter du 25 mai 2018. Dans l’attente de la production de référentiels RGPD, la Cnil a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité ». Cette norme simplifiée traite à la fois des problématiques de constitution et de déclaration des fichiers clients.
1136 – Usages. – Les numéros attribués par les acteurs privés sont de véritables composantes de l’identité numérique des personnes attributaires. En plus de faciliter leur inscription dans les registres de l’entreprise émettrice, ce numéro permet aux personnes de s’identifier rapidement et de manière fiable. Ainsi les cartes à code-barres, QR Code ou autres puces RFID387 ne sont que des supports sur lesquels est gravé le numéro d’identification. Lorsque le code est lu, il est rapproché du registre informatique et permet l’identification du porteur.
§ III – L’adresse IP
1137 – Attribution de l’adresse IP. – En se connectant au réseau internet, un appareil se voit attribuer, de manière directe ou indirecte, un numéro d’identification dit « adresse IP » (Internet Protocol). Cette attribution est faite par le fournisseur d’accès à internet par le biais duquel l’appareil se connecte au réseau internet. Selon l’abonnement, elle peut être statique (fixe) ou dynamique (une nouvelle adresse est attribuée à chaque connexion). Dans les deux cas de figure, le fournisseur d’accès à internet est techniquement en mesure d’identifier l’abonné à qui a été attribuée telle adresse IP à telle date.
Si l’identité de l’abonné à qui est attribuée l’adresse IP est certaine, ce n’est pas le cas de l’identité de l’utilisateur effectif (prêt de matériel par l’abonné à un tiers, usurpation d’adresse IP…). Il est donc légitime de se demander si l’adresse IP constitue une composante de l’identité numérique d’un usager d’internet.
1138 – Valeur juridique de l’adresse IP. – Sans se prononcer directement sur l’identité numérique, la première chambre civile de la Cour de cassation a tranché le 3 novembre 2016388 une question assez proche, qui était de savoir si l’adresse IP pouvait être assimilée à des données personnelles dont la collecte devait en conséquence faire l’objet d’une déclaration préalable auprès de la Cnil. La Haute juridiction a répondu par l’affirmative, en visant l’article 2 de la loi informatique et libertés du 6 janvier 1978 qui définit alors la donnée personnelle comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres »389.
Cet arrêt est conforme à la position prise par la Cnil dans sa délibération du 21 décembre 2006390.
Section II – Les éléments d’identification choisis
1139 La plupart des services numériques « grand public » tels que les messageries en ligne, les forums de discussion, les plateformes de jeux vidéo on-line, les réseaux sociaux… laissent à la personne le choix de son identifiant. Il s’agit avant tout de répondre à un prérequis à l’origine du web visant à garantir à chacun la possibilité de garder son anonymat, voire de se construire une identité virtuelle. De plus, la plupart des services numériques sont ludiques et l’usage de pseudonymes favorise cette approche.
Pour autant le monde digital n’a pas l’exclusivité des situations où la personne est en mesure de se choisir un nom. Si les cas déjà connus de choix de noms peuvent avoir un pendant numérique (Sous-section I), de nombreuses situations propres au numérique méritent une attention particulière (Sous-section II).
Sous-section I – Les choix de noms traditionnels
1140 Dans certaines situations de la vie réelle, les personnes sont amenées à choisir la dénomination de leur identité apparente. Ce libre choix d’un nom comme expression du souhait de se construire une identité apparente, déconnectée de sa réelle identité, peut parfaitement se retrouver dans le monde numérique : le hacker du monde numérique peut ainsi faire le choix d’un pseudonyme à l’instar du criminel du monde réel qui se choisit un surnom !
§ I – Le nom d’artiste
1141 – Protection juridique du pseudonyme choisi par un artiste. – Selon l’article 1er de la loi du 6 fructidor an II, qui définit le cadre juridique du nom de famille : « Aucun citoyen ne pourra porter de nom ni de prénom autres que ceux exprimés dans son acte de naissance ». Pour autant, les artistes utilisent fréquemment un, voire plusieurs pseudonymes, et peuvent même le faire inscrire sur leur carte nationale d’identité, en sus de leur nom patronymique. Ils peuvent également le protéger en le déposant comme marque selon le Code de la propriété intellectuelle (CPI, art. L. 711-1).
L’usage des outils numériques par un artiste n’a pas de réelle incidence sur son identité d’artiste : elle est régie par les mêmes règles. Cependant, compte tenu de la nature internationale des services en ligne, l’artiste devra être vigilant sur la loi applicable lors de son inscription en ligne : dans quel pays le service en ligne est-il hébergé, les conditions générales d’utilisation font-elles élection de for ? Il devra être d’autant plus vigilant qu’il pourra être considéré comme agissant en qualité de professionnel.
1142 – Pseudonyme des influenceurs. – Certains artistes naissent en ligne, notamment les influenceurs, plus communément appelés YouTubeurs, Instagrameurs…, selon le nom du réseau social sur lequel ils opèrent. L’Autorité de régulation professionnelle de la publicité (ARPP) définit l’influenceur comme « un individu exprimant un point de vue ou donnant des conseils, dans un domaine spécifique et selon un style ou un traitement qui lui sont propres et que son audience identifie. Un influenceur peut agir dans un cadre purement éditorial ou en collaboration avec une marque pour la publication de contenus (placement de produits, participation à la production d’un contenu, diffusion d’un contenu publicitaire, etc.) »391.
Au moment du choix de leur pseudonyme, les influenceurs doivent s’assurer qu’il n’est pas déjà utilisé. « L’arène mondiale » dans laquelle ils vont exercer leur art et l’absence de législation uniforme en la matière doivent les conduire à la prudence en matière de propriété intellectuelle. Pour une diffusion mondiale, il faut être mondialement diffusable. Ainsi la prudence commande à l’influenceur de s’interdire de choisir un pseudonyme déjà utilisé, même s’il n’est pas déposé, et à l’inverse de déposer le sien dès qu’il aura une activité sur le web.
Si leur popularité est liée au succès du média utilisé, elle est également rattachée à leur pseudonyme, comme tout autre artiste. Bien que leur existence médiatique ne soit que virtuelle, ils n’en sont pas moins des sujets de droit, et derrière leur pseudonyme il y a une personne réelle.
Cette qualification de sujet de droit ne fait l’objet d’aucun débat. En matière commerciale, les influenceurs signent des contrats de partenariat ou de publicité avec des marques et exercent sous le contrôle et les contraintes des autorités de régulation de la publicité392.
§ II – La dénomination de la personne morale
1143 – Nom(s) dans le cadre d’un marché numérique. – Il n’est pas tout à fait exact d’affirmer que la personne morale choisit son nom. En réalité, et si l’on fait abstraction de l’écran de la personnalité morale, ce sont bien les associés qui choisissent le nom de leur société. Qu’il s’agisse de la raison sociale, du sigle, de la dénomination commerciale… le raisonnement est le même.
La rapidité, la facilité et la fluidité apportées par les supports numériques aux échanges commerciaux ont ouvert sur le monde entier le marché de personnes morales qui n’avaient pas initialement vocation à traiter d’affaires internationales. Les entreprises qui se lancent ainsi dans le numérique pour dénationaliser leur activité doivent nécessairement s’adapter et, en premier lieu, adapter leur nom ou a minima s’assurer de sa compatibilité avec les marchés en prospect.
S’agissant des marchés numériques, les entreprises de petite taille peuvent travailler avec les plus grandes par le biais des marketplaces393. L’entreprise fait alors le choix d’intégrer une vitrine de grande envergure en mettant son nom et son identité sur un second plan. Outre les rapports financiers, techniques et de responsabilité entre l’hébergeur et l’hébergé, le contrat de places de marché en ligne394 peut déterminer les conditions dans lesquelles la société hébergée communique également sous son nom commercial sur la marketplace395.
À l’opposé, le contrat peut également déterminer les conditions dans lesquelles l’hébergeur peut tirer parti de la notoriété de son partenaire hébergé par la mise en avant de son nom.
Sous-section II – Les choix de noms spécifiques sur internet
1144 La pratique d’internet est intimement liée à la notion de compte. Chaque fois que la personne, usager d’internet, souhaite utiliser un service en ligne, comme se connecter à un réseau social, acheter un bien, créer une adresse électronique puis relever le courrier, elle doit créer un compte personnel et ensuite s’identifier pour utiliser ce compte. Cette identification peut se faire au moyen d’un login, d’un pseudonyme (§ I) ou encore d’un avatar (§ II). Le professionnel qui souhaite exister sur la toile doit par ailleurs créer un site web et choisir un nom de domaine (§ III).
§ I – La différence entre login et pseudonyme
1145 – Définitions du login et du pseudonyme. – Créer un compte nécessite une double étape : celle de la détermination du login et celle du choix du pseudonyme. Bien que proches en apparence, et peut-être en pratique, le login et le pseudonyme sont fondamentalement différents : l’un permet d’être identifié par un service numérique (le login identifie la personne dans les rapports entre la personne utilisatrice et le service), l’autre constitue le nom sous lequel l’utilisateur d’un service numérique se fait connaître des tiers (le pseudonyme identifie la personne dans les rapports entre les différentes personnes utilisatrices d’un service numérique, voire vis-à-vis des tiers).
Alors que dans le langage courant français, et dans la pratique régulièrement constatée, le login correspond au nom d’utilisateur, selon le Linux Information Project396, le login est le couple nom d’utilisateur/mot de passe. Le principe à retenir est le suivant : le login est a minima la donnée lettrée à entrer par l’utilisateur dans l’ordinateur pour être identifié par un service numérique ; et pour avoir une utilité, cette donnée lettrée doit être complétée par un mot de passe. Selon les services utilisés, le login sera ou bien librement choisi par l’utilisateur, ou bien imposé par le service selon un process logique et intelligible (par ex., attribution comme login de l’adresse électronique de l’utilisateur, ou bien encore son prénom et son nom séparés par un point), ou encore attribué de manière aléatoire. Il peut donc dans certains cas être retrouvé par un utilisateur malveillant, et c’est pour cette raison que l’adjonction d’un mot de passe constitue une mesure de sécurité indispensable.
1146 À la différence du login, le pseudonyme constitue le nom sous lequel l’utilisateur d’un service électronique en ligne veut apparaître et être connu des tiers. Le pseudonyme et le login pourront être identiques dans certains services en ligne ; cette solution présente l’avantage de la simplicité pour l’utilisateur, mais l’inconvénient de l’insécurité. Certains sites ne laissent pas le choix.
Au-delà du login et du pseudonyme, se pose également la question d’une notion plus large qu’est l’avatar.
§ II – Le choix de l’avatar
1147 – Définitions de l’avatar. – Originairement un avatar informatique était un personnage représentant un utilisateur d’internet ou d’un service de jeux en ligne397. Il désigne désormais le pseudonyme utilisé sur internet et les réseaux sociaux. En s’inscrivant à un service en ligne, la personne utilisatrice crée elle-même son identité sur ce service. En pratique, à moins qu’il s’agisse d’un service ne laissant pas le choix, l’utilisateur doit en premier lieu choisir de s’inscrire sous sa véritable identité ou sous un pseudonyme à déterminer.
1148 – Opportunité ou non de l’avatar. – En choisissant de s’inscrire sous sa véritable identité, l’utilisateur fait le choix de la transparence vis-à-vis du service sur lequel il s’inscrit. Lorsqu’il s’agit d’un service immatériel dont l’utilisation a pour finalité une conséquence réelle et matérielle (comme un service de vente en ligne, un réseau social professionnel), l’utilisateur a tout intérêt à faire ce choix de la transparence. On peut d’ailleurs observer que le service en ligne a en sa possession tous les éléments pour identifier l’usager (instruments de paiement, adresse de livraison, numéro de téléphone) et qu’une dissimulation d’identité ne pourrait donc pas résister à ce réalisme. Il faut surtout souligner qu’en cas de conflit avec le service en ligne, le choix de la transparence permettra à l’utilisateur d’agir sans avoir à justifier de son identité. À l’inverse lorsqu’il s’agit d’un service ludique, l’utilisateur aura tendance à choisir un pseudonyme.
1149 D’un point de vue économique, le choix par l’utilisateur entre nom réel et pseudonyme aura une incidence sur les retombées financières de son inscription revenant à l’éditeur du service en ligne, notamment dans le cadre de services accessibles gratuitement. En effet ces services tirent en partie leurs revenus de la publicité ciblée qui gagne par définition en efficacité avec la précision de l’identification des utilisateurs et de leurs habitudes. Ainsi, par le jeu du regroupement de données et des analyses statistiques, un utilisateur identifié sous sa véritable identité avec des données personnelles réelles fera l’objet d’une publicité bien ciblée et donc plus rémunératrice pour l’hébergeur.
Ces entreprises regroupent également les informations qu’elles ont collectées pour chaque utilisateur, regroupement largement facilité et fiabilisé par l’usage systématique du même avatar.
1150 – Statut de l’avatar. – L’usage récurrent du même avatar, autre que le nom réel, donne de la consistance à ce personnage créé pour internet. Pour autant, et même si l’avatar devient un nom et une personne connue, il ne saurait constituer une seconde personne sujette de droit totalement dissociée de la première398.
§ III – Le nom de domaine
1151 – Statut du nom de domaine. – Le numérique, et plus particulièrement internet, a apporté une nouvelle identité aux entreprises : le nom de domaine399. À mi-chemin entre l’adresse et le nom commercial, le nom de domaine est bien souvent le seul nom connu par le grand public. En cette qualité, il est une composante essentielle de l’identité numérique d’une entreprise.
Concernant sa protection en France, la cour d’appel de Paris a assimilé le régime juridique du nom de domaine à celui du nom commercial ou de l’enseigne en jugeant que « seul est protégeable un nom de domaine distinctif »400.
À l’échelle d’internet, et donc internationale, le nom de domaine bénéficie de statuts juridiques autonomes déterminés par son suffixe (« .fr » ; « .com » ; « .de » ; etc.). Le suffixe est l’élément qui va permettre d’identifier avec précision quel organisme a la charge de sa gestion et de son enregistrement et de quel État il dépend.
L’Internet Corporation for Assigned Names and Numbers (Icann)401 a notamment la charge de l’attribution des noms de domaine dits « de premier niveau ». Elle délivre en effet un droit de délégation sur la vente des noms de domaine aux organisations qui en auront la charge à plus petite échelle. Initialement créé avec le concours du gouvernement des États-Unis d’Amérique et sous contrat avec le Département du commerce américain, l’Icann est un organisme considéré comme indépendant depuis la fin de ce contrat (1er octobre 2016). L’indépendance ou non de cet organisme fait l’objet d’enjeux internationaux complexes repris dans le rapport parlementaire du sénateur Colette Mélot établi en vue d’une proposition de résolution sur la nécessaire réforme de la gouvernance de l’internet402. La situation est à ce jour inchangée.
1152 – Les noms de domaine en « .fr ». – La gestion des noms de domaine en « .fr » est déléguée à l’Association française pour le nommage Internet en coopération (Afnic)403. S’agissant d’une association de droit français, son activité est réglementée par le législateur et les tribunaux français. L’Afnic a fait l’objet de vives critiques pour sa rigidité dans l’attribution des noms de domaine, jusqu’à l’ouverture en 2006 des noms de domaine en « .fr » aux particuliers404.
357) Les éléments d’identification sont notamment imposés lorsque la nature même du service numérique impose que l’usager soit identifié selon son identité réelle, tel le site http://impots.gouv.fr
358) Les éléments d’identification seront généralement choisis par l’usager dans le cadre de son inscription à des services intrinsèquement numériques, notamment tout ce qui concerne les adresses de courrier électronique, le jeu en ligne et les réseaux sociaux.
359) Pacte international relatif aux droits civils et politiques – AG ONU : www.ohchr.org/fr/professionalinterest/pages/ccpr.aspx
361) D. no 2005-1726, 30 déc. 2005, relatif aux passeports électroniques, art. 2.
362) Ce projet de création d’une carte d’identité numérique est notamment porté par le groupe La Poste et par le groupe Thales (www.thalesgroup.com/fr/europe/france/dis/gouvernement/identite/tendance-des-cartes-electroniques-en-2016).
363) V. supra, no 1010.
364) V. infra, no 1133.
366) V. infra, no 1207.
367) L. no 78-17, 6 janv. 1978, relative à l’informatique, aux fichiers et aux libertés.
368) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
369) V. infra, no 1372.
370) V. supra, no 1093.
371) Ce groupe de travail a été institué par l’article 29 de la directive 95/46/CE. Il s’agit d’un organe consultatif européen indépendant sur la protection des données et de la vie privée. Ses missions sont définies à l’article 30 de la directive 95/46/CE et à l’article 15 de la directive 2002/58/CE.
373) Ord. no 45-2454, 19 oct. 1945, fixant le régime des assurances sociales applicables aux assurés des professions non agricoles, art. 6.
374) D. no 47-834, 13 mai 1947, relatif à l’organisation des services centraux et des directions régionales de l’Insee, art. 2.
375) V., sur le site INA.fr, « JT 20h ORTF, 23 juill. 1972 » (https://sites.ina.fr/cnil-40-ans/focus/chapitre/2/medias/CAF97060610).
376) Article complet sur le site de la Cnil (www.cnil.fr/sites/default/files/atoms/files/le_monde_0.pdf).
377) L. no 78-17, 6 janv. 1978, préc.
378) D. no 2019-341, 19 avr. 2019, relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire : JO 21 avr. 2019, no 4.
379) Ord. no 2018-1125, 13 déc. 2018, prise en application de l’article 32 de la loi no 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel, art. 19 : JO 13 déc. 2018, no 5.
380) A. 24 juill. 2015, portant création d’un traitement de données à caractère personnel par la direction interministérielle des systèmes d’information et de communication d’un téléservice dénommé « FranceConnect » : JO 6 août 2015, no 4.
381) A. 8 nov. 2018, relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d’information et de communication de l’État, art. 4 : JO 15 nov. 2018, no 3.
382) A. 11 mai 2020, relatif à l’expérimentation visant à étendre le périmètre des partenaires du téléservice « FranceConnect » : JO 21 mai 2020, no 124.
383) D. no 2019-452, 13 mai 2019, autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile ».
384) CE, 10e et 9e ch., 4 nov. 2020, no 432656.
385) PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, préc.
386) Cnil, délib. no 2016-264, 21 juill. 2016, portant modification d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS-048) : JO 14 sept. 2016, no 52.
387) De l’anglais Radio Frequency Identification : méthode pour mémoriser et récupérer des données à distance en utilisant des marqueurs appelés « radio-étiquettes ».
388) Cass. 1re civ., 3 nov. 2016, no 15-22.595 : JurisData no 2016-022669 ; JCP G 2016, 1310, note R. Perray ; JCP E 2016, act. 888.
389) L’article 2 a été modifié par l’ordonnance no 2018-1125 du 12 décembre 2018 (« Constitue un fichier de données à caractère personnel tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique »).
390) Cnil, délib. no 2006-294, 21 déc. 2006, autorisant la mise en œuvre par l’Association de lutte contre la piraterie audiovisuelle (LPA) d’un traitement de données à caractère personnel ayant pour finalité principale la recherche des auteurs de contrefaçons audiovisuelles.
391) F. Meuris-Guerrero, Qui sont les influenceurs ? : Comm. com. électr. juin 2017, no 6, alerte 44.
392) L. Boulet et L. Frossard, Un an de droit de la publicité : Comm. com. électr. juill. 2017, chron. 9.
393) Places de marché en ligne.
394) Pour aller plus loin dans l’étude du contrat de places de marché en ligne : JCl. Commercial, Fasc. 826.
395) V. infra, nos 3012 et s.
396) Login Definition, Linux Information Project (www.linfo.org/login_def.html [en anglais]).
397) V. supra, no 1101.
398) V. supra, no 1101.
399) De manière générale, toute personne physique ou morale peut acheter un nom de domaine, et cela dans un cadre professionnel, institutionnel, associatif ou strictement personnel, sauf restrictions particulières imposées par l’Icann ou l’un de ses délégués. La notion d’entreprise doit être prise dans sa définition la plus large dans le cadre de ce développement.
400) CA Paris, 14e ch. A, 25 mai 2005, SA OGF c/ SEM des pompes funèbres de la ville de Paris : JurisData no 2005-280879. – I. Meunier-Cœur, Enterrement d’une jurisprudence hérétique ? : Propr. industr. juin 2006, no 6, alerte 51.
401) Site internet de l’Icann en français : www.icann.org/fr
402) Rapp. Sénat no 81, session ordinaire 2014-2015, fait au nom de la commission des Affaires européennes sur la proposition de résolution de C. Morin-Desailly et plusieurs de ses collègues, présentée en application de l’article 73 quinquies du règlement, sur la nécessaire réforme de la gouvernance de l’internet, par C. Mélot, sénateur, enregistré à la Présidence du Sénat le 4 novembre 2014.
403) A. 5 avr. 2017, prorogeant la désignation de l’office d’enregistrement chargé d’attribuer et de gérer les noms de domaine au sein du domaine de premier niveau du système d’adressage par domaines de l’internet correspondant au « .fr » : JO 15 avr. 2017, no 3.
404) M.-A. Ledieu, Ouverture des.fr aux particuliers : Comm. com. électr. juill. 2006, no 7-8, alerte 155.