Incompatibilité radicale de la confiance et de la protection des données et de l’identité

L’important vol de données personnelles et confidentielles qui a eu lieu au siège social des Caisses populaires Desjardins en 2019 devrait nous avoir appris que la confiance fait mauvais ménage avec la protection de nos données. Les données des clients de Desjardins n’étaient pas en sécurité parce qu’ils ont fait confiance à Desjardins pour collecter et pour protéger toutes sortes de données servant à les identifier et à documenter leurs habitudes financières. Elles étaient encore moins en sécurité parce que Desjardins, qui faisait confiance aux employés qui avaient accès à cette base de données, n’a pas pris les précautions nécessaires pour repérer rapidement ceux d’entre eux qui essaieraient de voler ces données et de les revendre sur le marché noir. C’est à cause de ce manque méfiance que les données de millions de clients de Desjardins ont été volées, circulent depuis sur le Dark Web et sont utilisées pour usurper leur identité, notamment afin de contracter des prêts et faire des achats en se faisant passer pour eux.

Une des premières choses que Desjardins a fait pour rassurer ses clients, c’est de les inviter à s’inscrire chez Equifax, une société d’évaluation de la cote de crédit, pour recevoir des notifications si un voleur d’identité était à l’origine d’une demande de vérification de leur cote de crédit. Le problème, c’est qu’il faut faire confiance à Equifax, qui collecte toutes sortes d’informations personnelles et confidentielles sur des centaines de millions de personnes (surtout en Amérique du Nord) et sur leurs dossiers de crédit, et qui a été la cible d’un important vol de données en 2017. Voilà qui n’est guère rassurant. Ce qui est encore pire, c’est que ces données sont collectées, par l’intermédiaire des institutions financières, depuis longtemps déjà, et ce, sans le consentement des personnes concernées, qu’elles se soient inscrites ou non pour recevoir des notifications quand une enquête de crédit est faite. Au lieu de nous rassurer par la protection qu’elle nous offrirait, cette société d’évaluation de la cote de crédit devrait accroître nos inquiétudes, du seul fait qu’elle existe et collecte toutes ces données sur nous, lesquelles peuvent bien sûr être volées.

Le gouvernement du Québec et les médias de masse, comme dans tant d’autres pays occidentaux, ont profité du mécontentement et de la peur des Québécois pour promouvoir l’identité numérique et l’utilisation de données biométriques, qui sont censés nous protéger contre le vol de données et l’usurpation de données. Il s’agit de rattacher progressivement à notre identité numérique notre permis de conduire, notre dossier de santé, nos autres dossiers gouvernementaux, nos polices d’assurance, nos comptes bancaires, nos cartes de crédit, nos titres de transport en commun et tant d’autres choses afin de vérifier l’identité des personnes – notamment grâce à l’authentification biométrique – pour contrôler l’accès aux documents et aux dossiers qui nous concernent. Et en plus, ça serait commode, puisque l’identité numérique qui serait installée sur nos téléphones nous permettrait d’avoir constamment à portée de la main tout ce dont nous pourrions avoir besoin pour nous identifier, pour avoir accès à des services publics et privés ou à des lieux, pour partager notre dossier médical avec des professionnels de la santé, pour effectuer des transactions financières, pour prendre l’autobus, le train ou l’avion, pour traverser une frontière, pour faire une réclamation auprès d’un assureur, etc.

Mais voilà, c’est toujours le même problème : il faudrait faire confiance aux organismes gouvernementaux qui gèrent les identités numériques et les données biométriques, et aussi aux corporations privées impliquées dans la programmation des outils informatiques, dans la conception des applications de biométrie, dans la conception et la commercialisation des technologies utilisées, et dans l’hébergement des bases de données, sans compter les organisations qui utiliseraient ces technologies avec leurs employés, leurs clients ou leurs usagers. Et il faut aussi faire confiance aux employés et aux administrateurs de ces organismes publics et privés, à la fois sur le point de leur intégrité morale et de leurs compétences professionnelles, sans lesquelles nos données biométriques elles-mêmes ne sont pas en sécurité, ainsi que toutes les données qui concernent ce que nous pourrons ou devrons faire en utilisant notre identité numérique ou l’authentification biométrique, et sans lesquelles des personnes ou des organisations malveillantes pourraient utiliser ces données et les technologies qui permettent de les collecter pour nous nuire, nous surveiller, nous espionner et nous contrôler, en ligne ou dans le monde réel, surtout quand nous sommes des personnes considérées comme politiquement ou moralement suspectes. Bref, la solution que nous proposent les gouvernements occidentaux et les médias de masse revient à faire confiance à encore plus d’organisations et à encore plus de personnes pour assurer la protection d’une plus grande masse d’informations qui nous concernent et qui pourraient être utilisées pour nous nuire encore plus. Le fait de promettre qu’on protégera nos données et qu’on n’utilisera pas l’identité numérique et la biométrie pour mettre en place un régime policier et pour restreindre les droits et les libertés des citoyens, n’est pas une garantie. Et le fait qu’on exclue d’entrée de jeu cette possibilité et qu’on refuse de discuter publiquement de ce risque devrait nous rendre encore plus méfiants. Nous ne sommes donc pas plus avancés, et en fait c’est même pire qu’avant la mise en circulation de ces idées d’identité numérique et d’authentification biométrique.

Les promoteurs de ces solutions technologiques sentent bien qu’ils ne réussiront pas à tous nous convaincre qu’elles sont efficaces et sécuritaires, et qu’elles ne peuvent pas être utilisées ou ne seront pas utilisées pour nous nuire, nous surveiller, nous contrôler et transformer les sociétés dans lesquelles nous vivons en de grands établissements carcéraux. C’est pourquoi ils ont recours à l’argument de la commodité. Ah ! qu’il serait merveilleux de tout pouvoir faire, un jour, avec une seule application, un seul identifiant et une seule méthode d’authentification. Plus besoin de se souvenir de tous ces identifiants et de tous ces mots de passe pour nous connecter à notre compte bancaire, au réseau informatique de notre employeur, à la plateforme en ligne de l’université et pour prendre un rendez-vous avec un médecin ; et de transporter avec soi des cartes de crédit, de débit, d’assurance sociale, d’assurance maladie, d’assurance privée, d’accès, d’autobus et de fidélité dans des commerces, ainsi qu’un permis de conduire, un passeport, un carnet de vaccination, des diplômes, des relevés de notes, des preuves d’inscription à l’université, des relevés d’emploi, etc. Ce qu’il faudrait nous demander, c’est s’il est pertinent de nous demander constamment de nous identifier, de fournir des documents et d’utiliser toutes sortes de cartes alors que nous pouvions et pourrions dans beaucoup de cas très bien nous en passer. Car il ne faut pas nous faire des illusions : de la même manière que les innovations informatiques des dernières décennies ont en fait multiplié les occasions où nous devons nous identifier, utiliser des mots de passe, présenter ou fournir des documents et nous soumettre à des vérifications de sécurité ou de solvabilité, l’implantation de l’identité numérique et l’utilisation plus fréquente de la biométrie – qui rendront encore plus facile de nous identifier, de faire ces vérifications et de collecter systématiquement des données sur nous, d’autant plus qu’on croira et feindra de croire que tout ça est sécuritaire – résultera probablement en une forte augmentation de la fréquence à laquelle on collectera des informations sur nous, on nous demandera de nous identifier et on fera toutes sortes de vérifications, dont certaines existent déjà, et dont d’autres seront inventées par les excroissances bureaucratiques et leur permettront de croître encore plus. Voilà qui pourrait devenir fastidieux pour les personnes qui accepteront d’utiliser ces nouveaux moyens d’identification, et très incommodes pour les personnes qui refuseront de les utiliser, qui devraient avoir recours à d’autres manières jugées inhabituelles et archaïques de s’identifier et qui, à défaut d’y parvenir ou d’y être autorisées, pourraient être privées de plusieurs services publics et privés. Donc, si l’identité numérique et l’authentification biométrique sont commodes, ce n’est certainement pas pour nous, mais c’est plutôt pour ces organisations bureaucratiques publiques et privées qui peuvent étendre leurs tentacules de tous les côtés, qui collectent toutes sortes d’informations sur nous et qui peuvent utiliser l’identité numérique pour désactiver tout ce qui est lié à elle, pour une infraction inscrite dans la loi ou non ; et aussi pour les voleurs de données et d’identité, qui disposent aussi d’outils informatiques plus puissants, et qui en cas de succès de leurs tentatives de piratage ont accès à un plus grand nombre de données plus centralisées et peuvent nous nuire beaucoup plus qu’avant la prolifération des technologies censées nous faciliter la vie.

La probabilité et la gravité des abus de pouvoir et des vols de données et d’identité, loin de diminuer, deviennent alors plus grandes. On pourra bien chercher toutes sortes de solutions technologiques, le risque demeurera toujours grand aussi longtemps qu’on persistera à collecter et à centraliser toutes sortes de données sur nous et qu’on multipliera les occasions dans lesquelles il nous faudra nous identifier et fournir des informations et des documents sur nous. La meilleure manière de nous protéger contre le vol de données et l’usurpation d’identité, c’est de réduire considérablement cette collecte de données et les cas où il est nécessaire d’authentifier notre identité, sur internet et dans le monde réel. Et la meilleure manière de nous protéger contre les abus de pouvoir des corporations et des gouvernements, c’est de ne pas leur donner les moyens de commettre ces abus.

En fait, ce vers quoi nous allons, et ce dans quoi nous sommes déjà dans une certaine mesure, c’est une situation où le vol des données collectées sur nous n’est même plus nécessaire, ou ne constitue pas le principal risque contre lequel il faut nous protéger, car ces données deviennent directement ou indirectement accessibles aux organisations publiques et privées qui sont intimement liées et impliquées dans cette grande opération de surveillance policière en train de se mettre en place, et qui peuvent certainement nous nuire beaucoup plus, en tant qu’individus et sociétés, que des groupes de pirates informatiques indépendants ou même liés au crime organisé. Et c’est sans parler du risque de vente par ces organisations des données collectées sur nous à d’autres organisations publiques et privées, peut-être étrangères, par exemple américaines. La situation est aggravée par le fait que nous devons faire confiance à toutes sortes d’organisations et de personnes que nous connaissons mal ou que nous ne connaissons même pas, puisque nos gouvernements œuvrent dans l’ombre et ne nous informent pas sur toutes les organisations impliquées de près ou de loin dans les projets d’identité numérique, d’utilisation de la biométrie, et de tout ce qui peut s’y rattacher progressivement. Par conséquent, comment aurions-nous les moyens de vérifier l’ampleur des données qui sont et qui seront collectées sur nous, et ce que font ou pourraient faire de ces données les organisations publiques et privées impliquées, mais qui restent souvent dans l’ombre ? Mais qu’importe aux yeux de ces organisations : nous devrions être transparents à leur égard et ne pas y voir de problème si nous n’avons rien à cacher. Pour leur part, ces organisations, qui n’admettent la réciprocité dans leurs rapports avec nous, peuvent nous cacher une foule de choses, ou nous en montrer seulement ce qu’elles désirent. Ce qui devrait nous rendre méfiants, car nous avons certainement des informations que nous ne voulons pas rendre accessibles et que nous voulons cacher à ces organisations et à ces personnes qui manquent de transparence et qui devraient accepter d’être transparentes si elles n’ont rien à nous cacher.

Toutefois, nos gouvernements, les médias de masse et les corporations impliquées dans ces projets continuent de réclamer la même chose de nous : il nous faut leur faire confiance, et ce, sans la moindre garantie. Ils n’en démordent pas. Penseraient-ils que nous avons tous une cervelle d’oiseau ? Hélas, ils n’ont peut-être pas tort dans beaucoup de cas !