Ce second billet de blog (après celui-ci), aborde la question de la protection des données, mais aussi l’utilisation de celles-ci et la question du modèle d’affaire d’un passeport numérique qui serait privatisé.
Sur la question de la protection des données personnelles, il faut tout d’abord se rendre compte qu’en réalité, une e-ID n’est absolument pas nécessaire par exemple pour du commerce en ligne. Dans ces cas, aucune pièce de légitimation n’est requise. Notre passeport numérique devra aussi être utilisable en ligne sur des sites privés (de la même manière qu’on montre actuellement notre passeport physique pour certains services), mais ce n’est pas vraiment le sujet. Nous votons sur une loi qui tente de créer un login universel qui pourrait être utilisé sur le plus de sites web possible. Alléchant. Et là encore on retrouve l’identification par Facebook ou Google sur des sites tiers de e-commerce par exemple. Mais complètement irréaliste.
Et puis si on compare aux GAFAM susmentionnés, on se retrouve à interroger le modèle d’affaire des futurs fournisseurs. Bien sûr, nos données privées seront en principe non transmises (en principe…). Mais dès lors, comment vont se financer les prestataires d’identité ? Ce ne sont pas des mécènes ; ils veulent gagner de l’argent s’ils assurent une prestation. On peut imaginer que ce soit les citoyen.ne.s qui paient directement. Ça pose évidemment la question d’une identité qui serait à deux vitesses, voire trois, puisque 3 niveaux de sécurité sont prévus par la future loi (avec des tarifs en conséquence). Vous avez les moyens de vous payer le passeport le plus moderne et efficace, doté d’un niveau maximal de sécurité ? Bien. Sinon rabattez-vous sur celui qui est doté d’une sécurité au rabais. Imaginerait-on avoir des passeports papiers « premium » vendus plus chers par des entreprises, et qui vous ouvriraient les portes de prestations supplémentaires ? Inadmissible.
Sinon, le financement peut provenir de la Confédération. Mais on serait dans ce cas dans le même système qu’un appel d’offre standard. Pourquoi dès lors se délester de la capacité à gérer directement, avec l’entreprise mandatée ? Nous le faisons actuellement avec les entreprises qui produisent le plastique de nos cartes d’identité (non, ce n’est pas la Confédération) ou celles qui fournissent les serveurs hébergeant nos données (en mains des autorités publiques). Et puis, ne figure aucun élément d’appréciation : combien cela coûtera-t-il ?
Parce que le modèle d’affaire n’est peut-être pas celui-là. « C’est gratuit ? C’est vous le produit ». Eh oui. Si les futurs fournisseurs d’identité ne sauront pas grand-chose sur vos données intimes, elles pourront néanmoins bénéficier d’un contact, d’une traçabilité de vos transactions, etc… Des données qui ne pourront pas être gardées très longtemps, mais qui seront néanmoins dûment monétisées. Souhaitons-nous vraiment que des entreprises (assurances par exemple, déjà nombreuses à soutenir la loi sur l’e-ID), fassent du « data broking » avec nos demandes de prestations sociales ou nos offres d’emploi? Sans parler qu’à terme, ce passeport électronique pourrait nous permettre de voter et qu’une de ces entreprises peut tout aussi bien être une filiale d’une multinationale sise dans une dictature. Selon la loi toutefois, les fournisseurs ne sont pas autorisés à exploiter commercialement «les données générées par une application de l’e-ID ni les profils d’utilisation basés sur celle-ci». Pourtant, les données sont conservées pendant six mois. Le principe de l’économie des données voudrait pourtant qu’elles soient supprimées immédiatement. Mais surtout, une solution vraiment intelligente s’inscrirait dans le principe du «Privacy by Design», soit choisir une architecture de système dans laquelle ces données n’accèdent pas à un endroit central. Car une personne qui s’enregistre sur une plate-forme est ensuite traçable en continu, sans difficulté. On peut aisément constituer sur cette base le profil de votre personnalité (technique du « profilage »), de manière à vous proposer des services « adaptés » ou vendre ces informations à d’autres. On dit souvent que les données c’est l’or du 21ème siècle ! La majorité des personnes ne se rendent pas compte qu’à chaque click sur le net on laisse une trace, qui peut être stockée, regroupée avec les autres traces laissées précédemment, analysée, revendue … à votre insu ! Qui lit réellement les « Conditions générales » d’un site avant de cliquer sur « accepter » ? Par exemple à chaque mise à jour du logiciel de votre smartphone ? Ou de chaque application fort utile ou sympathique que vous téléchargez ? Ou de chaque site de e-commerce fort bien construit ? Ce ne sont donc pas forcément vos données personnelles qui sont monnayées, mais bien vos affinités, vos comportements sur le net, vos habitudes, vos relations et donc… votre identité !
Ajouter un commentaire