Peut-on être anonyme sur internet et les réseaux sociaux?

Le fait de n’être désigné sur internet et les réseaux sociaux que par un pseudonyme d’utilisateur n’est pas un véritable anonymat. Il convient de distinguer trois notions, essentielles à l’usage d’internet, bien distinctes :

• l’anonymat ;
• l’anonymisation ;
• la pseudonymisation.

L’anonymat est l’état d’une personne dont on ne connaît pas l’identité et que l’on ne peut pas identifier. L’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique garantit un droit à l’anonymat pour les non-professionnels éditant du contenu sur internet ou les réseaux sociaux. Pour autant, hébergeurs comme opérateurs sont tenus de transmettre aux autorités, si elles le demandent, les informations relatives à tout utilisateur.

Étant donné toutes les méthodes de traçage existant sur internet, l’anonymat en ligne ne peut plus guère exister. L’impression d’anonymat, renforcée par l’usage d’un pseudonyme, peut conduire au sentiment d’impunité que l’on retrouve derrière les cas de cyberharcèlement.

L’anonymisation est un traitement via un ensemble de techniques consistant à rendre impossible toute identification d’une personne par quelque moyen que ce soit et de manière irréversible (L’anonymisation de données personnelles). La randomisation (par exemple, permuter les données relatives à la date de naissance d’un individu) et la généralisation (par exemple, dans un fichier, remplacer les dates de naissance par les seules années de naissance) sont les deux méthodes d’anonymisation. Si le règlement général sur la protection des données (RGPD) ne comporte pas d’obligation d’anonymisation, c’est une des solutions permettant l’exploitation des données personnelles dans le respect des droits et des libertés des personnes.

La pseudonymisation consiste à remplacer des données personnelles directement identifiantes (nom, prénom, etc.) par des données indirectement identifiantes (alias, numéro séquentiel, etc.). La pseudonymisation permet de traiter les données d’une personne physique sans pouvoir l’identifier de façon directe. En pratique, le recoupement de données tierces permet très souvent de retrouver l’identité d’un individu. C’est aussi une des mesures recommandées par le RGPD afin de limiter les risques liés au traitement de données personnelles.

Si l’anonymisation ou la pseudonymisation consistent à renforcer la protection de données personnelles, il ne s’agit en aucun cas d’un véritable anonymat. Les fournisseurs d’accès internet ou les autorités ont accès à diverses informations sur les utilisateurs d’internet ou des réseaux sociaux.

La fin de l’anonymat sur internet et les réseaux sociaux, entre autres afin de lutter contre le cyberharcèlement, est de fait une question sans fondement, puisque cet anonymat n’existe pas. La protection des données personnelles, dans le respect du RGPD, doit en revanche toujours reposer sur l’anonymisation et la pseudonymisation.

Un utilisateur d’internet ou des réseaux sociaux peut être tracé, et donc identifié, de diverses manières. De nouvelles méthodes de traçage en ligne, énumérées par la CNIL, se développent.

Le traçage par des cookies est la méthode de suivi la plus utilisée. Les cookies sont des fichiers :

• stockés sur un ordinateur, un téléphone ou une tablette ;
• associés à un site internet.

Ils permettent de mémoriser diverses informations (identifiant client, contenu d’un panier d’achat, identifiant à des fins de traçage publicitaire…).

Le traçage peut se faire par l’adresse IP (pour Internet protocol). L’adresse IP permet d’identifier la connexion à internet d’un utilisateur et sa localisation approximative. Au regard des sites visités, l’adresse IP permet de déduire des informations sur cet utilisateur (centres d’intérêt, habitudes, appartenance à des groupes sociaux…).

Le traçage peut se faire par une empreinte numérique unique, qui consiste à identifier de façon unique un utilisateur sur un site ou une application en utilisant les caractéristiques de son navigateur (type et version), mais aussi les informations techniques du matériel utilisé (taille de l’écran, composants matériels, système d’exploitation, langue de préférence…).

Les sites internet utilisent de plus en plus la méthode des identifiants uniques afin de tracer les utilisateurs. Elle repose sur l’exploitation d’une donnée fournie, comme une adresse de messagerie (inscription sur un site ou à une lettre d’information, commande en ligne), afin de générer un identifiant.

Le traçage peut se faire par des liens uniques dans des contenus. La méthode consiste à ajouter des identifiants uniques à des adresses de contenus, soit des liens (liens tracés), soit des images (pixel espion). Invisibles pour l’utilisateurs, ils contiennent un identifiant unique permettant de le tracer.

Peut-on se protéger des méthodes de traçage sur internet ?

Un utilisateur peut refuser des cookies de traçage, limiter leur usage ou les effacer après sa navigation.

Le traçage par une adresse IP peut être contourné par l’usage :

• d’un serveur mandataire (ou proxy) afin de masquer l’adresse IP en la remplaçant par d’autres adresses IP. Mais cela ne protège pas contre tous les types d’attaques ;
• d’un réseau privé virtuel (ou virtual private network, VPN), qui ajoute une couche de sécurité au proxy en chiffrant les communications. Mais le fournisseur de VPN conserve la connaissance de l’adresse IP et des sites visités et peut transmettre ces informations à des tiers ;
• du passage par un tiers, afin de dissocier l’adresse IP et celle des sites visités ;
• du système de noms de domaines (ou domain name service, DNS), via le protocole HTTPs, sécurisé. Le DNS permet la traduction de nom d’un site en une adresse IP, utilisable par le navigateur pour accéder au site.

En ce qui concerne le traçage via des liens uniques dans des contenus, les navigateurs ou leurs extensions peuvent supprimer tout paramètre de traçage.

Les solutions afin de se protéger du traçage par des identifiants uniques sont pour la plupart payantes et consistent en des outils générant des adresses de messagerie uniques pour chaque service utilisé. Une adresse de messagerie fictive remplace l’adresse principale mais renvoie les messages vers sa boîte de réception.

Il est très difficile d’éviter le traçage via l’empreinte numérique unique, puisque les informations techniques collectées sont nécessaires au bon affichage des sites consultés. Cette méthode est même utilisée pour des raisons de sécurité (par exemple détecter l’usage d’un smartphone inhabituel pour une usurpation d’identité).

Une solution proposée par l’État afin de protéger ses données est France Identité. L’application permet de créer une identité numérique afin :

• de prouver son identité sans divulguer toutes ses données ;
• d’éviter les usurpations d’identité ;
• de remplacer les d’identifiants et mots de passe.

Selon le rapport fait au nom de la commission spéciale de l’Assemblée nationale chargée d’examiner le projet de loi visant à sécuriser et réguler l’espace numérique, il n’existe pas de réel anonymat en ligne.

L’article 6 de la loi de 2004 pour la confiance dans l’économie numérique impose aux réseaux sociaux de conserver toutes données permettant d’identifier les auteurs de contenus diffusés sur leurs services, dont l’adresse IP. L’autorité judiciaire peut ainsi requérir ces données et, par exemple dans le cas de recueil de l’adresse IP, requérir des fournisseurs d’accès à internet l’appariement entre une adresse IP et l’identité civile qui s’y rattache (Levée de l’anonymat sur internet). Dans les faits, les plateformes coopèrent de plus en plus avec les autorités françaises.

Le fournisseur d’accès à internet peut fournir aux autorités publiques (services d’enquête, par exemple) :

• l’identité d’une personne physique abonnée associée à une adresse IP à un instant donné, pour un utilisateur mobile (smartphone à l’extérieur, par exemple) ;
• le nom et l’adresse physique de l’abonné d’une ligne, pour un utilisateur fixe (ou utilisant un smartphone depuis un accès Wi-Fi domestique).

Dans d’autres cas plus complexes, il peut être plus difficile d’identifier une personne à partir de son adresse IP de connexion :

• accès par un Wi-Fi public. Les autorités doivent alors formuler une requête auprès de l’opérateur du point d’accès, qui peut avoir ou non demandé l’identité des personnes qui se connectent ;
• usage d’un VPN ou d’un système masquant l’adresse IP ;
• utilisation d’un réseau d’entreprise. Les entreprises authentifiant les utilisateurs de leur réseau, il est possible de tracer les activités à partir des logs de connexion.

Source: vie-publique.fr