Les évolutions technologiques de ces dernières années ont montré non seulement les avantages que nous pouvons tirer des données de masse, mais aussi qu’il nous fallait admettre qu’elles comportent pour notre vie privée, nos libertés civiles et nos droits certains dangers. La question ne se pose nulle part avec plus d’acuité que pour la plus récente source de ces données: nos corps.

Les forces de l’ordre conçoivent et utilisent désormais dans le monde entier des technologies qui leur permettent de nous identifier à partir de nos données biométriques, par exemple notre visage, nos empruntes digitales, notre ADN, notre voix, notre iris ou notre démarche. Depuis longtemps utilisés pour les passeports et les contrôles aux frontières, ces marqueurs uniques de notre identité ont beaucoup d’autres applications.

Pendant des années, nous avons permis à la puissance publique et aux entreprises de collecter et d’analyser nos données biométriques, chaque fois que nous faisions une demande de permis de conduire, de visa, de naturalisation, ou parfois même d’emploi, voire d’accès à un parc d’attractions. Nous utilisons de plus en plus souvent nos empruntes digitales ou notre visage pour déverrouiller notre téléphone portable, payer nos achats ou embarquer à bord d’un avion.  

La protection contre le vol est évidente: de quelle utilité peut être un téléphone, une voiture ou un billet d’avion qui ne pourra servir qu’à son propriétaire légitime? Surtout, les données biométriques peuvent nous protéger contre le vol de nos propres identités.

C’est l’argument que met en avant le plus grand projet mondial de collecte de données biométriques, qui fonctionne de façon multimodale (mémorisant l’iris, les empruntes digitales et le visage), et touche plus d’un milliard d’Indiens. Nandan Nilekani, le président d’Infosys, qui a quitté ses fonctions à la tête du géant de l’informatique pour créer ce nouveau système, nommé Aadhaar, fait valoir qu’il permettra au gouvernement indien une économie d’environ 9 milliards de dollars, en supprimant les doublons et les usurpations d’identité sur les listes des bénéficiaires de l’aide publique.

Grâce à Aadhaar, plus de cinq cents millions de personnes se connectent directement, en présentant leur identité numérique, à un compte en banque, et l’État indien peut ainsi verser ses aides, d’une valeur totale de 12 milliards de dollars, sans risque de fraude ni de vol, et – c’est loin d’être un détail pour les femmes – en évitant les beuveries masculines et les violences domestiques qui accompagnent souvent les arrivées soudaines d’argent liquide. Pour de nombreux pauvres en Inde, vivant dans des villages oubliés des cartes ou dans des bidonvilles, l’identité numérique est une preuve officielle d’existence, au même titre qu’un certificat de naissance ou qu’un numéro de sécurité sociale dans les pays développés.

Mais les données biométriques rapprochent aussi la probabilité de voir se réaliser le Panopticon de Jeremy Bentham et la dystopie d’un État de surveillance généralisé. La Chine ne fait pas mystère de ses efforts pour utiliser ces données biométriques et l’intelligence artificielle (IA) afin de surveiller sa population. Les évolutions dans ce domaine sont moins connues pour ce qui concerne les démocraties libérales.

Aux États-Unis, une étude réalisée en 2016 par le Centre de recherches sur la vie privée et la technologie de l’université de Georgetown a révélé que les bases de données des forces de l’ordre contenaient les photos numérisées du visage de plus de 117 millions d’Américains – soit presque la moitié du total de la population adulte du pays –, dont certaines sont directement accessibles au FBI. Le mois prochain, les services des douanes et de la protection des frontières des États-Unis commenceront à employer une nouvelle technologie de reconnaissance faciale, qui s’inscrit dans un programme biométrique de surveillance des sorties du territoire (Biometric Exit Program), déjà mis en place dans les aéroports de huit villes américaines.

Au Royaume-Uni, les photos numérisées de 12,5 millions de personnes, dont des centaines de milliers ne sont coupables d’aucun délit, sont emmagasinées dans la base de données de la police nationale (National Police Database – NDP), tandis que les services des Recettes et des Douanes de Sa Majesté (HM Custom and Revenue – HMRC) disposent de plus de cent millions d’enregistrements vocaux obtenus sans consentement. Ces faits contreviennent à l’arrêt rendu en 2012 par la Haute Cour britannique, qui ordonne la suppression des données biométriques faciales et vocales des détenus libérés sans que des charges aient pu être retenues contre eux ou ayant été acquittés – dans l’esprit de la loi qui exige la suppression des données ADN et des empruntes digitales.

Le prélèvement et le stockage des données biométriques des gens changent fondamentalement les relations qui unissent le citoyen à l’État. Autrefois «présumés innocents», nous sommes désormais, selon les sinistres propos de l’ancienne secrétaire à l’Intérieur britannique Amber Rudd, des «personnes non condamnées» – qui ne se sont pas encore rendues coupables d’un délit.

Ces évolutions n’ont pas été sans soulever quelques protestations. Au Royaume-Uni, des procès ont été intentés à la police du pays de Galles du Sud ainsi qu’à la police métropolitaine londonienne par les associations Liberty et Big Brother Watch respectivement, pour usage illégal de la reconnaissance faciale automatique. Aux États-Unis, la ville d’Orlando, en Floride, a renoncé aux essais du logiciel de reconnaissance faciale Amazon’s Rekognition.

Le système de données biométriques indien a aussi fait l’objet de plaintes devant la justice. Si d’un point de vue légal l’inscription à Aadhaar est facultative, d’un point de vue pratique, elle est obligatoire pour quiconque doit accéder à un service public, veut ouvrir un compte en banque ou obtenir un abonnement de téléphone portable. Il est pourtant illégal d’obliger les Indiens de recourir à Aadhaar depuis 2017 et un arrêt de la Cour suprême, qui établit que « le droit à la vie privée […] est inséparable du droit à la vie et à la liberté individuelle ». La Cour a confirmé l’autorisation donnée à la puissance publique de restreindre les droits à la vie privée, mais pour raisons impérieuses, telle que la sécurité nationale, la prévention en matière criminelle ou l’aide sociale ; l’action publique devant toutefois être raisonnée et proportionnée au but recherché.

Ce qui est plus inquiétant, c’est qu’Aadhaar n’est pas sûr. En janvier 2018, des journalistes du quotidien indien The Tribune ont payé 500 roupies (un peu moins de 10 euros) pour obtenir un identifiant et un mot de passe leur permettant d’avoir accès au nom, à l’adresse, au code postal, à la photo, au numéro de téléphone et à l’adresse courriel de toutes les personnes enregistrées dans le programme. Pour seulement 300 roupies supplémentaires, les journalistes pouvaient imprimer les cartes d’identité infalsifiables de tout le monde – et commencer à les utiliser.

Aux États-Unis, ni les années de violations et de piratages de données (ayant touché des entreprises comme Target, Yahoo, LinkedIn et Intel, mais aussi le bureau de la gestion du personnel du gouvernement fédéral), ni la cession avérée de données personnelles à des tiers et autres développeurs par des entreprises comme Facebook et Google n’ont conduit à des changements concrets. Cela traduit peut-être un manque de mesures incitatives: si les cas d’usurpations d’identité résultant de ces piratages sont longs et fastidieux à résoudre, les dommages financiers en sont finalement supportés par les banques et les sociétés qui émettent les cartes de crédit.

Mais lorsque nos données biométriques sont en péril, les dommages ne sont pas les mêmes, car à la différence des identifiants et des mots de passe, ces données biométriques ne peuvent pas être remises à zéro. En outre, les erreurs commises sont encore plus difficiles à corriger. Et pour peu qu’elles soient employées en concomitance avec d’autres données nous concernant (financières, professionnelles et sociales), nos données biométriques peuvent alimenter des algorithmes qui seront utilisés pour nous refuser un prêt et calculer la probabilité que nous commettions quelque délit – tout cela sans que nous n’en sachions rien.

Disposer d’une identité infalsifiable et unique peut être un bien, mais il existe bien des façons, si nous ne pouvons les identifier et nous en protéger, de le transformer en cauchemar.

Traduit de l’anglais par François Boisivon

Copyright: Project Syndicate, 2018.

www.project-syndicate.org