ASK est un fournisseur majeur de toutes les cartes Oyster dont cette édition limitée. Basées sur la puce hautement sécurisée MIFARE™ DESFire EV1 de NXP, ces cartes de transport permettront aux visiteurs et résidents de voyager dans les bus de Londres, les trams, le métro, le DLR, les chemins de fer nationaux et certaines navettes fluviales, durant cet événement public très attendu. L’édition limitée « Mariage » deviendra sans aucun doute une carte de collection et sera conservée comme souvenir par les visiteurs qui participeront à l’événement.

« Nous sommes très fiers d’avoir produit cette édition limitée, déclare M. Christophe Peix, Directeur Commercial chez ASK. Londres est l’une des 25 capitales au monde utilisant la technologie des cartes sans contact ASK. Notre technologie écologique basée sur une antenne argent sérigraphiée s’est avérée d’une grande fiabilité pour les 190 millions de cartes sans contact et tickets déjà livrés dans le monde. »

Lancée en 2003, la carte sans contact Oyster est utilisée pour environ 57 millions de transactions par semaine et 10 millions de transactions par jour. Il s’agit, en Europe, du plus grand réseau utilisant des cartes sans contact.

A propos d’ASK

Avec plus de 190 millions de produits sans contact en circulation dans plus de 50 pays, ASK leader du sans contact propose une large gamme de cartes à puce sans contact, tickets papier sans contact, étiquettes RFID, lecteurs, inlays pour les passeports électroniques, cartes sans contact ou eDocuments. ASK est certifié ISO9001 et détient à ce jour 56 brevets. ASK est une société française possédant une clientèle internationale, et des filiales en Chine, en Inde, au Brésil, au Mexique, en Afrique du Sud et aux Etats-Unis.

La France est en retard ! Est-ce important pour l'économie française et pour la protection de l'identité des citoyens ? Oui répondent les industriels.

Quels sont leurs arguments ?

Petit rappel : l'industrie de la carte à puce et des technologies associées représente plusieurs dizaines de milliers d'emploi de haut niveau. À côté des grands industriels totalement impliqués dans ce secteur totalement comme Gemalto, Oberthur, Ingenico... ou par leur filiale comme SAFRAN avec Morpho, Thales avec sa division Thalès Security ou encore Cassidian, ex-EADS Security... on trouve de nombreuses petites entreprises ; l'ensemble réuni pour la grande majorité d'entre elles dans trois pôles de compétivité : SCS (Région PACE), System@tic (Ile-de-France) et TES (Basse-Normandie).

L'État a pour ambition de moderniser son organisation et de développer fortement l'économie numérique. C'est l'ère de la dématérialisation qui s'accompagne automatiquement d'une dimension sécuritaire afin d'assurer des transactions électroniques sécurisées et établir la nécessaire confiance des usagers. Pour les industriels, la CNIe est d'établir cette confiance aussi bien dans le secteur public que privé.

Dans son rapport " Pour une Europe numérique " remis le 1 octobre 2010 au Premier ministre, Jean-Michel Hubert a insisté sur l'importance du développement de l'économie numérique comme vecteur de croissance. On peut lui reprocher de s'être focalisé sur la sûreté des systèmes— bien que ce soit un élément essentiel pour garantir les bases des transactions électroniques sécurisés— sans avoir défini les bases essentielles pour établir la confiance des utilisateurs en leur assurant la meilleure des sécurités. Le réseau doit être sûr, mais le moyen d'entrer dans le réseau doit l'être tout autant. C'est à ce niveau que la CNIe prend toute sa dimension. Dans " France numérique ", le Gixel rappelle " qu'en France, dans le monde virtuel d’internet, on évalue en 2009 à 400 000 le nombre d’usurpations d’identité. Ce phénomène connaît une croissance inquiétante ".

La construction de l'Europe, ses ambitions dans le domaine du numérique via l'élaboration d'un nouvel " agenda numérique pour l'Europe " pour la période 2010-2015, ne doit pas occulter le fait que les industriels européens sont des concurrents. Et dans le domaine de la CNIe, force est de constater que l'Allemagne a pris une longueur d'avance en lançant son programme national début novembre 2010. Cet avantage se traduit par une plus grande crédibilité à l'international et dans le domaine de l'économie numérique. D'autant que dans le domaine des normes de sécurité, l'Allemagne promeut l'IAS PACE, concurrent du français IAS ECC.

Dans sa note, le Gixel a défini les conséquences probables d'un manque de déploiement de la CNIe pour les industriels du Gixel.

Tout d'abord, le groupement craint une " perte de compétitivité à l'international ", notamment parce que les allemands font une forte promotion de leur technologie se basant sur leur décision. On a plus de chance de convaincre les autres pays lorsqu'on a appliqué à soi-même ce que l'on préconise aux autres.

Ensuite, on risque d'assister à une " accélération de la délocalisation de l'emploi ". Ce n'est pas une menace, mais l'expression d'une réalité : les gouvernements qui choisissent le produit français cherchent en contrepartie à faire installer dans leur pays la plus grande valeur ajoutée possible. Sans réalisation française, difficile de s'opposer à cette demande.

Enfin, les industriels subissent une " perte d'influence sur la normalisation ". Difficile d'imposer la norme IAS ECC, malgré ses avantages en matière de solidité, d'ouverture et d'interopérabilité, supérieurs au système allemand lorsqu'on ne l'applique que pour quelques milliers de " carte agent ".

Les conséquences pour l'industrie se répercutent sur l'économie nationale. Clairement, la France se verra imposer un système de gestion de l'identité par l'Europe sous influence de l'Allemagne ou sous la domination des grands acteurs nord américains qui règnent déjà dans le monde de l'Internet.

L'économie numérique, source de promesses en termes de création d'entreprises et donc d'emplois ne pourra se développer sans un sésame fort pour apporter la confiance chez les usagers et garantir la sûreté des services développés ou en devenir.

En conclusion, le Gixel considère que " les États qui auront su créer cette confiance dans leurs services internet se développeront beaucoup plus vite que les autres dans l'économie numérique ".

L'État a cédé la parole au Parlement qui a désormais la lourde responsabilité de comprendre l'importance de leurs décisions sur les décennies à venir.

Le Gixel a rappelé que la CNIe est développé dans une cinquantaine de pays dans le monde, dont 12 pays de l'Union Européenne. Et de rappeler que l'Allemagne a démarré au tout début novembre 2010. La France, pays qui a connu l'invention de la carte à puce est en panne.

Les industriels ont consenti des efforts pour faire avancer le dossier et, notamment, la mise au point de la spécification IAS ECC* qui permet la mise en place d'un véritable écosystème. Et de rappeler qu'elle est conforme à la normalisation européenne ECC (European Citizen Card) et à la norme européenne de signature électronique. Cette spécification est déjà utilisée dans un cadre régalien par l'émission de "carte agent" dont sont dotés quelque 10 000 gendarmes, et bientôt les policiers et tout agent de l'État. IAS ECC a été validé par l'ANTS qui l'a retenue pour tous les titres sécurisés.

Cette même spécification peut être utilisée dans l'espace numérique. En effet, elle porte dans son acronyme la dimension de son action :
- le " I " d'identification numérique de l'usager ;
- le " A " d'authentification de l'identité présenté par l'usager, par des moyens cryptographiques et après le consentement de l'usager ;
- le " S " de signature électronique, permettant de signer des contrats en mode électronique, en conformité avec la législation française et européenne.

La route est tracée pour établir la confiance dans le monde numérique. Prudents, les industriels du Gixel font remarquer que la spécification n'est pas basée sur les techniques biométriques. Ce qui ne signifie pas qu'ils s'en désintéressent. La biométrie sera utilisée si l'État le décide. Pourquoi l'État prendrait-il cette décision ? Le Gixel avance plusieur avantages :
- La CNIe pourrait ainsi être utilisée comme titre de voyage en utilisant la technique biométriques comme pour le passeport ;
- La biométrie permettrait de garantir l'unicité du titre : une identité, un titre ;
- La CNIe ne pourra être remis qu'au véritable titulaire, en vérifiant ses empreintes lors de la remise du titre sécurisé ;
- Le possibilité pour une victime dont l'identité a été usurpée de prouver qu'elle est bien ce qu'elle déclare être.

On peut rajouter comme avantage de la biométrie, l'identification des victimes d'une catastrophe aérienne ou de risques naturels, industriels, technologiques, de conflit. Les évènements récents d'Haïti ou du Japon sont de sinistres témoignages de cette réalité.
Enfin, il serait plus simple pour une organisation publique ou privée d'utiliser la biométrie pour identifier sérieusement un signataire lors d'une relation contractuelle, comme l'ouverture d'un compte bancaire, de téléphonie mobile... Ce qui, notamment, mettait fin aux innombrables photocopies des documents d'identité, ainsi qu'à l'obligation de fournir plusieurs documents prouvant son identité.

Enfin, le Gixel rappelle que la CNIe permet " la mise en place d'un socle de confiance numérique ". Il ne reste plus qu'à creuser le sillon de l'économie numérique.

Le rapport sur la proposition de loi.

Le 19 juillet 2011, François Pillet, sénateur du Cher (Centre), rattaché au groupe UMP, est nommé rapporteur de la proposition de loi relative à la protection de l'identité. Le sénateur a remis son rapport qui est passé en discussion à la commission des lois le 13 avril 2011.

En introduction du rapport , la commission des lois précise qu'elle a adopté plusieurs amendements tendant à :
- limiter l’usage du fichier biométrique à la seule lutte contre la fraude à l’identité, en doublant les garanties juridiques de garanties matérielles, afin d’en interdire l’utilisation dans le cadre de recherches criminelles (article 5) ;
- prévoir que les vérifications d’identité par les empreintes digitales ne puissent être effectuées que par des agents habilités et à partir des données enregistrées sur la puce électronique du titre d’identité (article 5 bis) ;
- renforcer les autres instruments de lutte contre la fraude documentaire en créant un fichier portant sur la validité des titres, sur le modèle de celui existant pour les chèques irréguliers (article 5 ter) ;
- donner au titulaire de la carte d’identité la pleine maîtrise de la fonctionnalité d’identification électronique, en lui permettant de décider quelles informations il communique, et interdire que ceux qui refusent cette fonctionnalité soient évincés de certains services ou transactions en ligne (article 3).

Les chiffres de l'usurpation d'identité

Le rapporteur considère les chiffres fournis à la presse par le Credoc " n'ont pas été scientifiquement établis ". Et d'ajouter que " le résultat est d'une fiabilité douteuse ". Il est vrai que l'étude avait été commandée par Fellowes, un fournisseur américain de toute une gamme de fournitures de bureau, dont des broyeurs de papier dont il préconise l'usage pour détruire les documents contenant des données personnelles. Le rapporteur privilégie les chiffres fournis par l'Observatoire national de la délinquance et de la réponse pénale qui se base sur l'état 4001 fourni par les gendarmeries et les commissariats suite aux plaintes des victimes. L'évaluation fait apparaître pour 13 900 faits de fraude documentaire ou d'identité pour l'année 2009, Quant à la Direction des affaires criminelles et des grâces, elle précise que le nombre de condamnations pour ces mêmes faits atteint 11 627 décisions.
Faut-il rappeler que toutes les victimes ne portent pas plainte. Par ailleurs, lorsqu'un personne est condamné pour un fait, on peut émettre l'hypothèse qu'elle a commis le même fait à dix, voire cent reprises. C'est la notion du " chiffre noir ". Après la notion du " pas vu, pas pris ", celle de "pas pris, pas comptabilisé".
Petite observation ; lors de l'émission sur A2 " Toute une histoire " sur le thème " on a usurpé mon identité ", l'avocat "expert" a déclaré que " les dernières statistiques que nous avons remontent à 2009 et on a —pour ceux qui déposent plainte— 200 000 victimes par an ". Nous conseillons à Maître Franck Zeitoun, avocat au barreau de Versailles, de revoir ces dossiers avant de proférer de telles contrevérités.
Autre point à relever : celui portant sur la notion d'usurpation d'identité. Cyril Rizk, responsable des statistiques à l’observatoire national de la délinquance et des réponses pénales (ONDRP), ainsi que Pierre Piazza, maître de conférences en science politique à l’université de Cergy-Pontoise, considèrent que l'usage frauduleux de moyens de paiement (65 000 par cartes bancaires et 50 000 par chèques volés) ne " correspondent pas directement à une usurpation d'identité ". On en déduit que pour ces deux experts, l'usurpation d'identité ne porterait que sur l'identité civile. Ils excluent donc du champ d'application l'ensemble des identités sectorielles (numéro de carte bancaire, de sécurité sociale...). On parle dans ce cas d'escroquerie économique et financière.

Vérification de l'identité

L'article 5 a été particulièrement enrichi.
Un article 5 bis (nouveau) précise que l'identité du possesseur de la CNI ou du passeport se fait à partir des donnée inscrites sur le document lui-même ou sur le composant électronique sécurisé. Ce dernier contient notamment :
a) Le nom de famille, le ou les prénoms, le sexe, la date et le lieu de naissance du demandeur ;
b) Le nom dont l’usage est autorisé par la loi, si l’intéressé en a fait la demande ;
c) Son domicile ;
d) Sa taille et la couleur de ses yeux ;
e) Ses empreintes digitales ;
f) Sa photographie.

Pour la lecture des empreintes digitales, le nouvel article stipule que : " Sont seuls habilités à procéder à cette vérification à partir des données mentionnées au e de l’article 2, les agents habilités à cet effet dans des conditions définies par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés ".

Par ailleurs " s'il existe " un doute sérieux sur l'identité de la personne, ou lorsque le titre présenté est défectueux ou paraît endommagé ou altéré, la vérification d’identité peut être effectuée en consultant les données conservées dans le traitement prévu à l’article 5. " Il s'agit du traitement de données à caractère personnel mis en œuvre par le ministère de l'intérieur pour permettre la vérification des titres.

Qui pourra avoir accès à des informations ?

Pour le définir, il faudra un décret en Conseil d'État, après avis de la CNIL, qui " définit les conditions dans lesquelles le traitement peut être consulté par les administrations publiques et certains opérateurs économiques spécialement habilités à cet effet, pour s'assurer de la validité de la CNI ou du passeport français présentés par son titulaire pour justifier de son identité ". Il semble donc que toute organisation impliquée dans une relation contractuelle avec un citoyen pourra pour vérifier son identité cette cette base de données.

Les sénateurs se sont inspirés du FNCI (Fichier National des Chèques Irréguliers) www.banque-france.fr/fr/instit/protection_consommateur/fichier_national_des_cheques_irreguliers.htm. Créé par la Banque de France en 1991, il a pour objet " d'informer toute personne sur la régularité de l'émission des chèques qu'elle est susceptible d'accepter pour le paiement d'un bien ou d'un service ". 135 820 165 de chèques ont été consultés en 2010. La baisse a été constante depuis 2006. Le FNCI ne donne aucune garantie, contrairement au service offert par des entreprises privées. Il fournit une indication sur une information détenue par le fichier national :
- un voyant vert indique qu'il n'y a aucune inscription ;
- blanc : lecture du chèque impossible ;
- rouge : chèque irrégulier ;
- orange : compte faisant l'objet d'une opposition pour perte ou vol ou d'une déclaration au CNACPV (Centre national d'appel des chèques perdus ou volés).

Dans les commerces, on a vu apparaître des lecteurs de chèque reliés au FNCI, avec une deuxième fonction très utile, la rédaction du montant du chèque et la date d'émission. Cette deuxième fonction a été un élément fort pour inciter les commerçant à s'équiper de ces dispositifs.

De même, pour la carte bancaire à puce, l'intérêt et la sécurité du système repose sur la puce et le dispositif de lecture. La carte bancaire à puce a fini son développement national à la fin de l'année 1992. Les banques ont alors demandé aux commerçants d'équiper leur terminal de paiement d'un dispositif de lecture de carte à puce, sous peine de se voir privé d'un avantage fondamental : la garantie de paiement.

Le Sénat devrait s'inspirer de cette organisation de la monétique française —qui a séduit de nombreux pays— pour l'appliquer au système national d'identité par carte à puce à toute organisation impliquée dans une relation contractuelle avec un citoyen, comme les établissements bancaires et financiers, les opérateurs de télécommunications, La Poste... Il suffirait donc de considérer que toute organisation impliquée dans une relation contractuelle doit s'équiper de dispositif de lecture pour s'assurer de l'identité du contractant. Ce qui éviterait, notamment la procédure obligeant le citoyen a fournir une photocopie de son document d'identité qui restera dans le dossier du prestataire (banque, opérateur de télécommunication, assurances, location...). Que sont devenus les millions de photocopies exigées et conserver dans des dossiers sans grande surveillance ?

La biométrie

Ce qui préoccupe avant tout les penseurs de ce siècle est la biométrie et le danger qu'elle est censée représenter. Et, principalement, l'empreinte digitale. Pourquoi ? Parce que cette dernière laisse des traces. En quelques années, les progrès de la biométrie ont connu une très forte évolution. Le coût d'un lecteur a fortement baissé et les techniques, notamment de la reconnaissance de l'empreinte digitale, se sont associés. La multi biométrie, comme l'association de l'empreinte digitale et du réseau capillaire du doigt, diminue fortement le taux d'erreur et le problème de duplication.

En revanche, ce qui n'a pas du tout évoluer est la réserve vis-à-vis des techniques biométriques et, notamment, des empreintes digitales. Cela dit, la CNIL est plus ouverte aux évolutions de la technologie puisqu'elle comme considère comme " légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique dès lors que les données biométriques sont conservées sur un support dont la personne a l'usage exclusif ", rappelle le rapporteur. Tout en précisant que la CNIL est plus réservée à la constitution de base de données. La CNIL craint l'utilisation de fausses empreintes créées à partir des traces que nous laissons sur tous les objets que nous manipulons. C'est la notion de "traces" qui dépasse largement celui le cadre de la biométrie pour s'étendre aux transactions électroniques sur l'Internet, dans les distributeurs de billets, les terminaux de paiement...

Nous laissons de plus en plus de traces physiques et numériques. Les photocopies de documents d'identité disséminés dans la nature sont des traces beaucoup plus facilement exploitables. Pour la biométrie, la réponse actuelle est d'associer plusieurs techniques et, notamment, celle de l'empreinte digitale et de la configuration capillaire du même doigt. On peut penser qu'il soit possible de reproduire le dessin d'une empreinte, en revanche il est beaucoup plus difficile de lier les deux biométries. Quant à la base de données, on parle aujourd'hui d'établir des " liens faibles ". C'est l'idée forte de Bernard Didier de Morpho qui a déposé un brevet sur cette technique. Dans ce système, un très grand nombrevd'identité sont reliés aux biométries correspondantes, sans que soit établi un lien univoque.

En matière de biométrie, la solution est avant tout politique et pédagogique. Le politique doit s'affranchir de la pression des apôtres de l'apocalypse et collectionneurs d'antiphonaires prompts à vouloir libérer le peuple malgré lui. On oublie trop souvent que la biométrie permet de redonner une identité aux victimes de catastrophes provoqués par une inondation, un tremblement de terre, un crash d'avion... Et de permettre aux victimes d'usurpateurs de recouvrer leur identité. Pédagogique, parce que la biométrie doit être comprise dans ses vertus et ses imperfections.

L'État civil

Le système actuel ne permet pas de rayer des mentions portées sur le registre d'état civil par l'action d'un usurpateur. Le cas le plus courant est celui d'une femme qui, lorsqu'elle demande un extrait d'état civil pour se marier constate qu'elle a déjà été mariée. C'est un cas classique d'usurpation d'identité. Bien que l'usurpation ait été reconnue par le magistrat, il est impossible d'effacer la mention du mariage des registres d'état civil. On porte alors la mention "annulation". Pour un tiers, on peut supposer que l'annulation est consécutif d'un divorce. Pour remédier à cette situation, l'amendement à l'article 7 de la loi propose que soit énoncée la raison de l'annulation. Sur ce point deux sénateurs l'un de l'UMP Jean-René LECERF, l'autre du Parti socialiste, Bernard FRIMAT, tout deux du Nord, ont déposé des amendements identiques.

Si le consensus a été trouvé sur ce point, il est probable que la discussion qui débute au Sénat le 27 avril 2011 sera plus mouvementée.

" Pas de gestation pour autrui " : c'est la position de la France interdisant la pratique consistant à faire porter par une autre femme un embryon conçu artificiellement.

Selon le responsable d'Interpol " à une époque où la migration mondiale atteint des niveaux record, il ya une nécessité pour les gouvernements de mettre en place des systèmes au niveau national qui permettrait l'identité des migrants et de leurs documents pour être vérifiées au niveau international par l'intermédiaire d'INTERPOL ", a-t-il déclaré. Et d'ajouter : " La grande majorité des migrants sont des citoyens respectueux des lois qui voudraient que leur identité soit vérifiée dans plus d'un pays à l'aide de la même pièce d'identité. Si les pays délivrent un permis de travail et de séjour dans un format e-ID qui ont satisfait aux normes communes au niveau international , les travailleurs migrants et les pays eux-mêmes bénéficierait des avantages apportées par une amélioration de la sécurité tout en réduisant la corruption "... La délivrance aux travailleurs migrants de cartes d'identité électroniques dans un format vérifiable au niveau mondial permettra également de réduire la corruption et de permettre aux titulaires d'utiliser des systèmes de paiement électronique ".

"Nous avons décidé d'octroyer des permis de séjour temporaires de protection humanitaire qui permettront [aux migrants] de voyager dans les pays de l'espace Schengen", a déclaré le ministre
italien de l’intérieur, Roberto Maroni, au cours d’une allocution devant la chambre des députés, cité
par l'AFP, le 7 avril.

Depuis le début des révoltes arabes, l’Italie est confronté à un afflux massif de migrants. Les débarquements, essentiellement depuis la Tunisie, sont estimés à 22 000 personnes.

Roberto Maroni a également rappelé que " l’écrasante majorité des immigrés déclarent vouloir rejoindre amis et proches en France ou dans d'autres pays européens ".

Le ministre italien a précisé que les titres temporaires ne concernaient que les migrants déjà arrivés sur le sol italien. Selon l'accord conclu avec Tunis le 5 avril, les nouveaux arrivants seront directement rapatriés en Tunisie.

Le ministre français de l'intérieur n'a d'ailleurs pas tardé à réagir. Selon lui, pour circuler " à l'intérieur de l'Espace Schengen, il ne suffit pas d'avoir une autorisation de séjour dans [un des Etats membres], encore faut-il avoir des documents d'identité et, surtout, justifier de ressources ". " Si ces conditions ne sont pas réunies, la France est tout à fait en droit de ramener en Italie " les personnes concernées, a-t-il ajouté.

M. Maroni a déploré de son côté " un comportement hostile " de Paris et répété que " la libre circulation dans la zone Schengen est garantie par des règles qui doivent être respectées ".

Oakbrook Terrace, Illinois, et ZURICH, Suisse, le 4 avril 2011 - VASCO Data Security International, Inc a annoncé l'acquisition de Alfa & Ariss BV (A&A), une société spécialisée dans les produits et services d'authentification. VASCO a acquis la totalité actions au prix de 1 million d'euros (1,4 millions de dollars au taux de change à la date de fermeture). L'acquisition a été financée à partir des soldes de trésorerie existants VASCO et devrait avoir un impact légèrement dilutif sur le résultat de l'exercice 2011. Et ce, à peine trois mois après son acquisition de DigiNotar, un prestataire de service d'architecture PKI, annoncée le 10 janvier 2011.

A&A a été fondée en 1999. Elle fait autorité dans le domaine de la gestion de l'identité et de solutions de de contrôle d'accès avec la plate-forme OpenASelect. Désormais, cette dernière sera connectée à DIGIPASS VASCO comme une plate-forme de service.

Charles Copin : que fait SecuNeo ?

Daniel MARTIN : c'est une jeune pousse originaire de la région PACA. Je les ai rejoint parce que leur solution globale concernant les pertes d'information qui va sans doute représenter le fléau auquel devront faire face les entreprises et particulièrement les PME/PMI, très peu protégées dans ce domaine, m'a vivement intéressée.
SecuNeo a développé le produit Sentinelis, une solution logicielle qui permet de cartographier en temps réel les comportements à risque.

C. C. : Comment peux-t-on définir la perte d'informations ?

D. M. : Un système d'informations comprend des éléments qui ne peuvent pas être accessibles par un tiers non autorisée : un concurrent, un fournisseur, un client... Toute entreprise a sa singularité qu'elle se doit de protéger. Il en va de son image. Nous avons constaté que, sur le marché, aucune solution globale n'était proposée, alors que, dans le même temps, s'est fortement développée la notion de nomadisme avec l'apparition des smartphones, des ordinateurs portables. Cette nouvelle forme d'organisation du travail a démultiplié les risques de pertes et de vol d'informations. Autre constat : les origines de ces fuites proviennent de l'intérieur de l'entreprise. C'est une négligence interne à l'entreprise qui crée l'incident et non l'action d'un pirate qui devient une notion un peu dépassée.

C. C. : on peut parler " d'ennemi intérieur " ?

D. M. : Oui, même si l'acte n'est pas toujours délibéré. Il est courant de voir des cadres circulant avec des clés USB non protégées qu'ils perdent ou en laissant traîner leur ordinateur portable qu'ils se font voler sont des facteurs de risques importants. Aujourd'hui, on ne vole plus un ordinateur pour sa valeur marchande, mais pour les données qu'il contient. En 2008, une étude de Ponemon estimaint que chaque semaine, 3 300 portables professionnels étaient perdus dans les huit principaux aéroports européens, dont 57 % n'étaient jamais réclamés. À London Heathrow était chef de file avec quelque 900 ordinateurs perdus ou volés par semaine, suivi de Amsterdam (750) et de Paris-Charles de Gaulle (733). Enfin, pas moins de 12 000 ordinateurs portables de professionnels étaient perdus chaque semaine.

Il faut verrouiller certaines informations qui doivent rester confidentielle avec un niveau de diffusion limitée et contrôlée.

Nous proposons d'établir une base comportementale sur le traitement des informations qui va permettre d'établir un tableau de bord. À partir de là, le logiciel va signaler tout fait anormal considéré comme tel par comparaison avec la base comportementale précédent établie. Par exemple, le système détecte l'utilisation d'une clé USB non répertoriée sur un ordinateur par un autre utilisateur.

Autre élément moteur : l'existence d'obligations légales existantes et à venir sur les déclarations portant sur la perte ou le vol d'informations. C'est l'application de la loi Detraigne-Escoffier* visant à garantir le droit à la vie privée sur internet votée par le Sénat en mars 2010. et la directive e-Privacy de la commission européenne qui est en train de se mettre en place. L'entreprise qui n'aurait pas pris les mesures de précautions de ces informations risquent une amende de 300 000 euros. Quant à lui, l'article 226-17 du code pénal précise que : " Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende ".

C. C. : On est dans le domaine de la gestion des risques. Qu'apportez-vous de nouveau ?

D. M. : Notre solution est simple, de faible coût et transparent pour les utilisateurs.
On procède tout d'abord à la classification des informations avec des curseurs de type : aucun, faible, fort ou maximal.

Ensuite, on peut chiffrer les informations avec un logiciel homologué par l'ANSSI (Agence Nationale pour la Sécurité des Systèmes d'Information) avec trois niveaux de chiffrement des documents sensibles dans les différents états : stockés, en cours d'utilisation ou lors de transfert.

Les curseurs et les trois niveaux de chiffrement sont choisis par l'entreprise, ce qui donne une grande souplesse à l'utilisation de Sentinelis. L'intérêt premier de ce logiciel est qu'il apporte une solution globale et qu'il ne nécessite pas de transformation dans le système d'information de l'entreprise,
Sentinelis s'adapte à l'existant.

Enfin, un prix attractif : au niveau grand public : 30 euros H.T. par poste de travail. Ces prix varient bien sûr en fonction du volume des postes à protéger et aussi des services connexes (garantie GOLD etc..).

* La proposition de loi précise que "« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant " informatique et libertés ", ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le responsable du traitement, avec le concours du correspondant " informatique et libertés ", prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données. Le correspondant " informatique et libertés " en informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes, sauf si ce traitement a été autorisé en application de l’article 26.

Charles Copin : Ou en est-on de l'idenfiant santé ?

Jeanne Bossi : La loi prévoit depuis 2007 que l'on dote chaque bénéficiaire de l'assurance maladie d'un identifiant national de santé (INS). Elle prévoit aussi qu'elle doit faire l'objet d'un décret qui vienne déterminer la nature et les modalités d'exercice de cet identifiant. Aujourd'hui, ce décret n'est pas intervenu. C'est volontairement que l'Asip santé, en particulier à l'occasion du lancement du DMP (Dossier médical personnel) et des travaux que nous avons mené, nous n'avons pas souhaité qu'il ne soit pas tout de suite pris, d'abord parce que nous avons travaillé sur la détermination de cet identifiant et que nous souhaitions tester son application dans la pratique quotidienne avant d'inscrire dans un texte parlementaire des éléments qu'ils seraient très difficile de modifier par la suite. Dans une première phase, nous avons déterminé un INS dit "calculé", que l'assuré doit posséder pour créer un DMP. Cet INS C est calculé à partir du prénom, de la date de naissance et du numéro de sécurité sociale de l'assuré inscrit dans la carte Vitale. L'INS C est avant tout un élément qui permet de garantir l'unicité du DMP, ce qui est absolument essentiel, car, jusqu'à présent, si des expériences avaient pu travailler à partir d'identifiant de santé, ils étaient resté, soit sectorisés par secteur géographique, soit par domaines médicaux. On sait par ailleurs que ces dispositifs n'étaient pas interopérables techniquement, on risquaient les doublons, voire des collisions qui pouvaient s'avérer dommageables pour la prise en charge médicale d'un patient. La mise au point de l'INS est apparu comme le pré-requis absolu pour la mise en œuvre du DMP.

Certes, cet identifiant comporte des imperfections qui ont été affichées d'emblée et assumées par l'Asip santé. Il a été, dès sa conception, présentée et acceptée par la CNIL comme c'est un idenfiant construit à partir des données de la carte Vitale, vous savez que pour le régime général de l'assurance maladie et certains régimes associés, le numéro de sécurité sociale inscrit dans la carte Vitale est celui de l'"ouvrant droit" et non pas celui de l'"ayant droit", en particulier pour les enfants? Ce qui fait que pendant toute une première période, les enfants mineurs qui n'ont pas encore de numéro de sécurité sociale dans la carte ne pourront pas posséder de DMP parce que l'on ne pourra pas leur créer d'INS.

L'Assurance maladie, avec laquelle nous sommes en rapport régulièrement nous a assuré à plusieurs reprises que, au cours de cette année, ces ayant droit pourrait obtenir une carte Vitale avec leur propre numéro de sécurité sociale. Mais, c'est un gros chantier dans la mesure où cette décision concerne quelque quinze millions de personnes, aujourd'hui placées dans la catégorie des ayant droit.

L'INS C est utilisé à titre provisoire. Nous visons la mise en point d'un INS dit "aléatoire", autrement un identifiant qui ne serait pas lié au numéro de sécurité sociale et qui permettrait de doter chaque bénéficiaire de l'assurance maladie de cet identifiant tout au long de sa vie, mais qui ne permettrait pas de remonter à des éléments d'identification par un tiers. L'INS n'est pas secret, mais il est sécurisé et interopérable entre tous les systèmes d'information du secteur de la santé.

Une fois l'INS bien défini, on s'attachera à définir ses éléments dans le cadre d'un décret. Pour l'heure, l'ouverture du DMP se fait à l'aide de l'INS C.

C.C. : Quelle est la procédure de référencement ?

Jean-François. Parguet : L'INS C est obligatoire lors des échanges de données de santé. Dès lors, qu'une donnée est communiquée par un professionnel de santé, cabinet libéral ou établissement hospitalier, l'identifiant est un pré requis.
La spécification de l'INS a été publiée début 2010, nous avons une procédure de officiel de référentiel des logiciels présentés par les industriels et que nous avons sous-traiter au CNDA (Centre National de Dépôt et d'Agrément), une agence de la CNAM. C'est cet organisme qui certifie la compatibilité aux spécifications de l'INS C. À ce jour, une cinquantaine de logiciels ont été agréés, pour le secteur hospitalier, ou la gestion de cabinet... Autrement dit, l'INS couvre des applications qui entre dans un champ plus large que le DMP. Cette variété de logiciels permettra à tout professionnel qui partagera des données d'utiliser l'INS C.

Quelle est la sécurité de l'INS C ?

J.-F. P. : l'INS est un identifiant, tout comme un nom ou une carte qui nous identifie vis-à-vis d'un tiers. À ce titre, il n'est pas sécurisé. Chaque détenteur d'un INS gère sa diffusion. Ce n'est pas un authentifiant. En revanche, nous avons bien vérifié avant la remise d'un identifiant que nous avons à faire à la bonne personne. Nous avons une procédure fiable en nous basant sur un NIR (numéro d'inscription au répertoire) certifié, et un calcul à partir des éléments de la carte Vitale.

J. B. : Du côté des professionnels de santé, ils disposent déjà de système d'identification et d'authentification comme la CPS 3 (Carte de Professionnels de Santé troisième génération) et des certificats numériques qui garantissent que celui qui consulte un DMP est clairement identifié. D'autant qu'auparavant, sa qualité de professionnel de santé a été reconnu par les ordres professionnels ou une autorité d'enregistrement pour certaines catégories de professionnels de santé, ainsi que par son inscription au répertoire partagé des professionnels de santé géré par l'Asip santé certifiant cette identité. De plus, l'accès au DMP par un professionnel est conditionné par une matrice d'habilitation qui définit le type de données auxquelles il a accès en fonction de sa qualité, médecin, infirmier... Ce qui interdit l'accès à certains, comme les médecins de compagnies d'assurance, ou le médecin du travail.
Du côté patient, l'accès à son DMP par l'Internet sera ouvert fin avril. Cet accès sera contrôlé par l'utilisation de données secrètes qui lui seront transmises lors de la création de son DMP. Il s'agit d'un identifiant et un mot de passe à usage unique que le parent devra changer dès la première connexion. Ensuite, à chaque demande de consultation, un OTP (One time password) lui sera communiqué par messagerie électronique ou par SMS selon le choix du patient indiqué lors de sa première connexion à son DMP.

C. C. : Que pourrait apporter la carte nationale d'identité électronique (CNIe) dans le domaine de l'authentification ?

J.-F. P. : la CNIe peut être un outil d'authentification de très haut niveau du patient, à condition d'être équipé d'un dispositif de lecture de la puce. Ce que l'on trouve aujourd'hui pour quelques euros. Deuxième avantage, la carte nationale pourrait aussi être une identité de référence et l'on pourrait dériver un identifiant sectoriel à partir de la CNIe. Tout est imaginable, mais la décision est avant tout politique, à l'instar de ce que les Belges ont réalisé.
On peut réaliser beaucoup d'applications avec la CNIe, c'est aussi un outil de signature très intéressant parce qu'on pourrait donner aux patients la possibilité de signer des documents qu'ils déposeraient dans leur DMP, ou signer des conventions, des contrats... Tout est imaginable. c'est le couteau suisse de l'identité électronique dans la mesure où elle permet l'identification sûre, l'authentification et la signature électronique. Mais est-ce que la CNIe sera lancée ?