e-ID : ne bradons pas nos données

Ce second billet de blog (après celui-ci), aborde la question de la protection des données, mais aussi l’utilisation de celles-ci et la question du modèle d’affaire d’un passeport numérique qui serait privatisé.

Sur la question de la protection des données personnelles, il faut tout d’abord se rendre compte qu’en réalité, une e-ID n’est absolument pas nécessaire par exemple pour du commerce en ligne. Dans ces cas, aucune pièce de légitimation n’est requise. Notre passeport numérique devra aussi être utilisable en ligne sur des sites privés (de la même manière qu’on montre actuellement notre passeport physique pour certains services), mais ce n’est pas vraiment le sujet. Nous votons sur une loi qui tente de créer un login universel qui pourrait être utilisé sur le plus de sites web possible. Alléchant. Et là encore on retrouve l’identification par Facebook ou Google sur des sites tiers de e-commerce par exemple. Mais complètement irréaliste.

Et puis si on compare aux GAFAM susmentionnés, on se retrouve à interroger le modèle d’affaire des futurs fournisseurs. Bien sûr, nos données privées seront en principe non transmises (en principe…). Mais dès lors, comment vont se financer les prestataires d’identité ? Ce ne sont pas des mécènes ; ils veulent gagner de l’argent s’ils assurent une prestation. On peut imaginer que ce soit les citoyen.ne.s qui paient directement. Ça pose évidemment la question d’une identité qui serait à deux vitesses, voire trois, puisque 3 niveaux de sécurité sont prévus par la future loi (avec des tarifs en conséquence). Vous avez les moyens de vous payer le passeport le plus moderne et efficace, doté d’un niveau maximal de sécurité ? Bien. Sinon rabattez-vous sur celui qui est doté d’une sécurité au rabais. Imaginerait-on avoir des passeports papiers « premium » vendus plus chers par des entreprises, et qui vous ouvriraient les portes de prestations supplémentaires ? Inadmissible.

Sinon, le financement peut provenir de la Confédération. Mais on serait dans ce cas dans le même système qu’un appel d’offre standard. Pourquoi dès lors se délester de la capacité à gérer directement, avec l’entreprise mandatée ? Nous le faisons actuellement avec les entreprises qui produisent le plastique de nos cartes d’identité (non, ce n’est pas la Confédération) ou celles qui fournissent les serveurs hébergeant nos données (en mains des autorités publiques). Et puis, ne figure aucun élément d’appréciation : combien cela coûtera-t-il ?

Parce que le modèle d’affaire n’est peut-être pas celui-là. « C’est gratuit ? C’est vous le produit ». Eh oui. Si les futurs fournisseurs d’identité ne sauront pas grand-chose sur vos données intimes, elles pourront néanmoins bénéficier d’un contact, d’une traçabilité de vos transactions, etc… Des données qui ne pourront pas être gardées très longtemps, mais qui seront néanmoins dûment monétisées. Souhaitons-nous vraiment que des entreprises (assurances par exemple, déjà nombreuses à soutenir la loi sur l’e-ID), fassent du « data broking » avec nos demandes de prestations sociales ou nos offres d’emploi? Sans parler qu’à terme, ce passeport électronique pourrait nous permettre de voter et qu’une de ces entreprises peut tout aussi bien être une filiale d’une multinationale sise dans une dictature. Selon la loi toutefois, les fournisseurs ne sont pas autorisés à exploiter commercialement «les données générées par une application de l’e-ID ni les profils d’utilisation basés sur celle-ci». Pourtant, les données sont conservées pendant six mois. Le principe de l’économie des données voudrait pourtant qu’elles soient supprimées immédiatement. Mais surtout, une solution vraiment intelligente s’inscrirait dans le principe du «Privacy by Design», soit choisir une architecture de système dans laquelle ces données n’accèdent pas à un endroit central. Car une personne qui s’enregistre sur une plate-forme est ensuite traçable en continu, sans difficulté. On peut aisément constituer sur cette base le profil de votre personnalité (technique du « profilage »), de manière à vous proposer des services « adaptés » ou vendre ces informations à d’autres. On dit souvent que les données c’est l’or du 21ème siècle ! La majorité des personnes ne se rendent pas compte qu’à chaque click sur le net on laisse une trace, qui peut être stockée, regroupée avec les autres traces laissées précédemment, analysée, revendue … à votre insu ! Qui lit réellement les « Conditions générales » d’un site avant de cliquer sur « accepter » ? Par exemple à chaque mise à jour du logiciel de votre smartphone ? Ou de chaque application fort utile ou sympathique que vous téléchargez ? Ou de chaque site de e-commerce fort bien construit ? Ce ne sont donc pas forcément vos données personnelles qui sont monnayées, mais bien vos affinités, vos comportements sur le net, vos habitudes, vos relations et donc… votre identité !

 

Sami Kanaan

Sami Kanaan est Maire de Genève 2014-2015, 2018-2019 et 2020-2021, Conseiller administratif en charge du Département de la culture et de la transition numérique, Président de la Commission fédérale pour l'enfance et la jeunesse, Vice-président de l'Union des villes suisses et de l'Union des villes genevoises.

12 réponses à “e-ID : ne bradons pas nos données

  1. En 2015 chez RUAG des cyber-attaques ont permis de voler des quantités (40 Gb compressé)de données sensibles de la Confédération !
    Le CF a décidé de nationaliser une partie de Ruag qui détient des informations sensibles et laisser l’autre partie de Ruag beaucoup moins sensible à la privatisation.
    L’argument principal fut donc la sécurité des données de l’armée Suisse et de la confédération !!!!!
    C’est donc la preuve que nos données sensibles ne peuvent être laissé à des entreprises privées !
    Et maintenant Mme Keller Suter veut laisser les données de tous les citoyens à la merci de sociétés privées ?
    Elle a la mémoire courte et n’a rien retenu des piratages sur les système de l’OFSP entre 2001 et 2007 ? des piratages des données de Ruag, de ceux d’autres trés grandes entreprises Suisses ou de tous les gros serveurs de l’UNI de Genève ?
    Ou sont donc les mobiles de l’énorme travail que Mme Keller Suter et Parmelin font a défendre ce projet? Voilà une bonne question dont les lobbyistes de Microsoft et autres ont LA réponse !
    Quelles sont les entreprises réellement derrière cette tentative de forcer notre vie privée?

  2. Trés bon article !
    Vous dites que nos données privées seront en principe non transmises !
    En effet c’est faux !
    J’ai travaillé pendant plus de 15 ans pour une société américaine « …. data base » qui vend des serveurs et des softs à des gouvernements dont la Suisse.
    Comme on peut le découvrir facilement, ils ont pour mission d’infiltrer tous les services étatiques étrangers avec des backdoor sur des serveurs et dans les data base installées pour s’accaparer toutes informations utiles.
    Ces données sont ensuite transmises à la NSA et en partie revendue par une division du groupe à d’autres entreprises qui les exploitent ou les revendent à des entreprises comme certaines grandes assurances !
    On sait donc comment vont être traité nos données, ils seront en main d’un GAFAM ou l’autre et nous n’en aurons plus le contrôle !

  3. Merci pour cet article. Plus je lis sur ce sujet, plus je suis inquiet. Il semble que nous devons voter sur un sujet alors qu’un nombre de points importants restent ouverts et pourraient être traités ensuite de manière inadmissible. Tout cela dénote une stratégie du pied dans la porte pour éviter d’effrayer le citoyen.

    De plus, une des spécialités de la Suisse est de créer des lois si peu contraignantes qu’il est facile de contourner où dont les conséquences en cas de violation sont ridicules.

    “les fournisseurs ne sont pas autorisés à exploiter commercialement «les données générées par une application de l’e-ID” ? Concrêtement, que se passera t’il si cela n’est pas respecté ? Rien ! Avez-vous déjà écrit à Facebook pour faire falloir le respect de certaines lois pourtant dûrement négocieés (droit à l’oubli, etc).

    Il y une solution, mettez une cause dans le contrat qui oblige une réparation du préjudice illimitée avec dommages et intérêts pour l’utilisateur final (moral et financier) en cas de violation des règles ainsi qu’en cas de piratage. Le projet s’arrêtera alors faute de fournisseurs…

    Dans l’état, je vais voter “non” afin que nos autorités soumettent un projet plus abouti associé à une stratégie numérique claire: scope, business model/coût/gratuité, sécurité, obligation de continuer à donner un service à ceux qui refuseront le eID, etc

  4. Le système est vicié d’entrée… les sociétés de recouvrement, la ZEC, les poursuites tout est fait depuis pour ficher et culpabiliser les gens , et maintenant on essaie de nous vendre l’E-id … mais au vu de la grise qui s’annonce : augmentation du chômage, plus de personnes au social, comment relancer la consommation alors que ces personnes seront des laissés pour compte? Une majorité de personnes qui vivent en Suisse ne pourront plus changer d’assurance, d’appartements, de voitures et cela juste parce qu’avant on pensait que le système de culpabilisation allait se perpétuer… j’attend avec impatience les solutions mais au vu des lobbyistes je pense que cela va être très intéressant

  5. Cher Monsieur,

    Genève a l’un des pires taux de mortalité covid des villes développées… pourquoi alors augmenter le salaire du directeur des HUG ?

    70’000 fr pour l’un ?
    500 fr x 1400 des plus bas salaires ?

  6. Oui, beaucoup de gens ne se rendent à quel point ils dévoilent leur intimité à une industrie qui en fera ses choux gras. Oui, beaucoup ne lisent pas les conditions générales. Mais cela reste un choix. Un utlisateur averti peut, avec un minimum de connaissances et les outils appropriés, ramener son niveau d’exposition à un niveau qu’il juge acceptable tout en accédant aux services qui lui apportent de la valeur.

    Avec l’eID, l’Etat vous jette dans la gueule du GAFAM sans vous laisser le choix. Pas obligatoire ? A condition que tous prestataires continuent un supporter un mode d’identification alternatif: abonnement CFF, vignette autoroutière, connection pour le suivi d’un colis postal. En pratique, le eID deviendra obligatoire.

  7. Le prestataire de service saura, à minima, à quel service vous avez accédé, à quel heure et pendant combien de temps. Dans certains cas (télébanking), cela peut s’avérer insuffisant et une nouvelle identification pourrait être requise au niveau de la transaction pour garantir la sécurité (car le fait que vous ayez été identifié à certain instant ne garantit pas que votre session n’aie pu être usurpée). Il disposera donc de beaucoup plus de données que l’on imagine.
    Techniquement, le fournisseur aura aussi la possibilité de continuer à vous tracer après l’identification par le eID.

    1. Accessoirement – mais c’est peut-être le moins intéressant pour ce fournisseur – de se faire payer pour chaque processus de vérification d’identité (et donc de collecte).

  8. Et dire que nous “serions” une des meilleures démocraties du monde ???
    Et on ne retournera pas le couteau dans la plaie, UBS, MPC, RUAG, CRYPTO, et bla…!

    Trois objets jetés sous le coude, bon, mais que doivent être les autres “Démocraties”?

  9. Le fait de que sociétés de recouvrement s’intéressent à ce business de eID et souhaitent prendre des parts en dit long sur l’intention des fournisseurs.

  10. Super bon article, j’espère que vous serez entendu !
    Je suis obligé de témoigner pour que les gens sachent qu’on essaye de vendre les données du citoyen !
    Depuis 25 ans dans le monde de l’informatique, nous recevons des dizaines de demandes d’achat de données collectées par nos serveurs émanant de différentes sociétés, mais en particulier des assureurs !!! et d’entreprises tels que certains opérateurs comme Cambridge Analytica !
    En décembre 2020 nous avons pu voir qu’une très grand nombre d’entreprises américaines ont été piratées car elles utilisaient le traceur de réseaux Solarwinds. Notre administration fédérale utilise les mêmes softs…
    J’ai pu voir comment fonctionne le pompage des données sur des serveurs Oracle, c’est incroyable et les entreprises Suisse continuent de faire confiance à ces groupes du Big Data, c’est inconscient.
    On ne va tout de même pas croire a ce E ID détenu par des entreprises privées?
    Aprés le conseil fédéral nous dira comme pour Crypto ” mais on savait pas, on a rien vu rien entendu et on est pas responsable !

  11. La lecture du texte de loi laisse pantois… trois niveaux dont un eID de niveau faible… comment oser proposer une telle prestation à notre époque ! C’est une invitation aux hackers: une fois le niveau de base obtenu, facile de monter en puissance car le numéro AVS est utilisé comme clé unique (qui va circuler sur internet après la première attaque).

    De plus, il est mensonger de dire que l’on pourra continuer à faire ses achats sur internet sans eID: vous pourrez faire les achats mais pas payer car le eID sera obligatoire pour les services de carte de crédit.

    Si les gens sont suffisament stupides pour accepter un tel projet, il est temps de quitter la Suisse et demander l’asile: avec un compte en banque bien garni, cela devrait être possible…

Les commentaires sont clos.