«Function creep» en mode pandémique: l’étrange cas des certificats Covid-19 (2/3)



 

Analyse et commentaire
Catherine Riva, Serena Tinari – Re-Check.ch | Jannes van Roermund
25 novembre 2021

Read the article in English (online) Den Artikel auf Deutsch lesen (online)

L’utilisation du certificat Covid-19 est aujourd’hui circonscrite à des statuts liés au coronavirus. Mais, comme le montrent nos recherches et les entretiens fouillés que nous avons menés avec des chercheurs spécialisés, de puissants acteurs commerciaux et gouvernementaux ont hâte de transformer ce dispositif en portefeuille d’identité numérique (e-ID). Notre enquête met en évidence que ce glissement est en marche, et induit un profond changement de paradigme qui appelle un urgent débat de société. Malheureusement, celui-ci est étouffé par le régime instauré au nom de la crise. Enfin, une exclusivité de Re-Check montre que les autorités suisses ne gèrent pas tout à fait les données sensibles des certificats COVID comme elles l’affirment.

 

  • Quel est le sujet?

    De nombreux pays ont introduit un système de certificats Covid-19, qui permet à ses détenteurs de voyager, mais aussi, souvent, de participer à la vie en société, voire de travailler. Cette série en trois parties, réalisée par Re-Check en collaboration avec le journaliste d’investigation néerlandais Jannes van Roermund, explore en profondeur le fonctionnement d’un dispositif sans précédent qui lie données médicales et liberté de mouvement. Dans ce deuxième épisode, vous découvrirez certains des acteurs qui œuvrent à la mise en place de systèmes d’identification numérique à l’échelle mondiale.

     

  • Conclusions principales

    La crise du COVID accélère le développement et la mise en œuvre des systèmes d’identification électronique, qui sont développés par un ensemble d’entités commerciales et gouvernementales depuis plusieurs années. Dans cet épisode, une visualisation graphique rassemble de nombreux acteurs qui ont maille à partir avec cette évolution historique et potentiellement inquiétante. Le public mérite d’être informé de ces développements.

Analyse et commentaire

Comme nous l’avons vu dans le premier épisode de notre série, tout indique que les certificats Covid-19 s’assortissent d’un important risque de «function creep». Car l’un des détournements de fonction envisageable pour ce dispositif coïncide précisément avec l’agenda de puissants groupes d’intérêts. Depuis 2020 déjà, ces acteurs privés et étatiques s’attachent à présenter l’implémentation du certificat Covid-19 comme devant ouvrir la voie à un dispositif plus riche et plus universel: un portefeuille (wallet) d’identité numérique (e-ID).

Analyse et commentaire

 

Deuxième épisode: Quel est le rapport entre la crise Covid-19 et l’e-ID?

Analyse et commentaire

L’identité numérique ou e-ID est une solution digitale qui permet aux citoyens de prouver leur identité. Elle consiste à lier un identifiant unique à un ensemble d’attributs stockés sous forme numérique (nom, date de naissance, sexe), qui sont eux-mêmes couplé à des justificatifs d’identité. L’e-ID peut être utilisée pour consulter certains documents, mais aussi pour accéder à des avantages et des services fournis par les autorités, les banques et d’autres entreprises, pour les paiements mobiles et en ligne, etc. Comme le précise la Commission européenne, l’e-ID «peut garantir l’identification sans ambiguïté d’une personne et assure que le bon service est fourni à la personne qui y a réellement droit»).

PwC - Digital identity

Ci-dessus: l’écosystème e-ID présenté par PwC (Digital identity, 2019)

Pour ses supporters, l’e-ID permettrait l’avènement de tout un écosystème de produits et de services, qui faciliterait énormément la vie des gens. Selon le cabinet de conseil PwC , ses attributs de base pourraient être complétés par d’autres attributs et d’autres documents (numéro de sécurité sociale, dossiers médicaux, informations biométriques, diplômes scolaires, etc.). Elle pourrait servir de «catalyseur de la transformation numérique» en intervenant dans d’innombrables occasions de la vie quotidienne: ouverture d’un compte bancaire, souscription d’un prêt, déclaration d’impôts, souscription d’une police d’assurance, etc. Enfin, elle permettrait de réaliser des économies substantielles. Selon un rapport du cabinet de conseil McKinsey l’extension de la couverture complète de l’identification numérique pourrait débloquer une valeur économique équivalente à 3% du PIB en 2030 dans les économies avancées, «un peu plus de la moitié de la valeur économique potentielle revenant aux individus».

Mais l’e-ID est depuis toujours aussi considérée avec beaucoup de scepticisme et de réserves par de nombreux spécialistes. «Bien que ces systèmes soient censés être hautement sécurisés et dignes de confiance, ils présentent de nombreux risques en matière de confidentialité et d’accès», estiment Tommy Cooke, du Surveillance Studies Centre de la Queen’s University au Canada, et Benjamin J. Muller, Professeur associé au département de sciences politiques du King’s University College de l’Université de Western Ontario. Avant de souligner que ces risques dépassent les questions de cybersécurité, de gouvernance responsable et de responsabilité organisationnelle: «Nous encourageons chacun à se poser cette grande mais importante question: que signifie numériser l’identité, et quelle est l’identité modèle? En d’autres termes, quel est le citoyen modèle d’un système d’identification numérique, et en quoi son profil de citoyen servira-t-il à élaborer les catégories de données et les bases de données nécessaires à sa vérification? Comme nous le savons, les références vérifiables font des déclarations sur les personnes, notamment sur leur citoyenneté, leur sexe, leur statut juridique, leurs attributs physiques, leurs affiliations et autres, il y aura de nombreuses personnes qui, sur le papier, ne correspondent pas exactement au citoyen modèle. Ces personnes pourraient être soumises à des interdictions de voyager, à une surveillance extraordinaire ou à d’autres restrictions des droits et libertés civils simplement parce qu’elles ont un passeport supplémentaire, parce qu’elles ont voyagé dans certains endroits, en raison de leur état civil, de leur emploi, etc.»

Les victimes des ratés et des biais des systèmes

L’exemple d’Aadhaar, en Inde, illustre bien ce problème. En Inde, l’e-ID est déjà une réalité pour plus d’un milliard d’individus. Aadhaar est aujourd’hui le plus grand système d’identification biométrique du monde. En plus de servir de portail d’accès aux services gouvernementaux, ce système créé par le milliardaire Nandan Nilekani avec le soutien notamment de Mastercard pour la solution de payement, suit les déplacements des utilisateurs d’une ville à l’autre, leur statut professionnel et leurs transactions. Présenté avec enthousiasme par Paul Romer, alors chef économiste de la Banque mondiale, comme «le programme d’identification le plus sophistiqué au monde», Aadhaar a aussi des ratés, dont les conséquences peuvent être dramatiques. Des enquêtes menées en 2017 ont ainsi révélé qu’ils avaient entraîné des décès, car le système avait refusé les rations de nourriture qui leur étaient dues ou versé par erreur leur retraite à quelqu’un d’autre en raison d’échecs d’authentification liés à un mauvaise connectivité, une défaillance biométrique, un problème de serveur, un linkage erroné des données, des messages d’erreur et autres défaillances techniques. Conséquence: dans l’Etat du Jarkhand au nord-ouest du pays, 2,5 millions de personnes se sont retrouvées privées de leur ration mensuelle de céréales parce que le système les avait exclues.

Malheureusement, ce dernier n’a pas été corrigé pour éviter à l’avenir de nouvelles pannes tragiques. Au contraire, nous a expliqué Sunita Sheel, anthropologue et chercheuse indépendante en bioéthique à Mumbai, «les choses se sont encore empirées avec la pandémie». «En Inde, souligne-t-elle encore, le lobby qui critique cette approche agressive de l’Etat à l’égard de l’introduction de la technologie numérique a été fort», mais pas suffisamment pour «changer grand-chose aux problèmes que les communautés marginalisées vivent sur le terrain, tout comme la classe moyenne.» Aujourd’hui, le compte Aadhaar d’un individu est lié à toutes sortes de données et de systèmes: au PAN (Permanent Account Number), au PDS (Public Distribution System), au Direct Benefit Transfer (DBT) et à ses comptes bancaires. «Même l’obtention d’un nouveau passeport n’est pas possible sans Aadhaar, relève encore Sunita Sheel. L’achat et le transfert d’une propriété ne peuvent pas non plus être effectués sans produire/partager l’Aadhaar avec les autorités concernées.» Certes, admet la chercheuse, «les questions relatives au partage des données avec des tiers sans le consentement des utilisateurs de ces applications […] pourraient être un peu mieux traitées dans les régions où les environnements juridiques et de gouvernance sont meilleurs.» Mais cela ne serait pas forcément suffisant, étant donné les enjeux financiers liés à ce «nouveau pétrole» que sont les données, et ce «dans tous les secteurs: santé, éducation, agriculture, pandémie», estime Sunita Sheel.

En Europe aussi, les certificats Covid-19 connaissent régulièrement des ratés (1) (2) (3) (4) (5). Or à chaque panne, ce sont les détenteurs des certificats qui se retrouvent dans l’impossibilité d’accéder à des endroits qui sont pourtant censés leur être réservés. Tous ces cas illustrent bien un problème majeur inhérent à de tels systèmes: c’est toujours d’abord la personne dont la vérification échoue qui est considérée comme n’étant pas en règle – alors que l’échec peut être dû à une erreur ou un biais dans la conception du système.

Les lobbies de l’e-ID ont cimenté certaines croyances chez les dirigeants. «Les smartphones sont de plus en plus perçus par les autorités comme des technologies capables de combler plusieurs lacunes simultanément, relèvent Tommy Cooke et Benjamin J. Muller. Non seulement de remédier à l’impression d’être incapable d’assurer la sécurité publique, mais aussi de surmonter les difficultés économiques.» Ainsi, après avoir été les supports tout désignés des apps de traçage, les smartphones sont désormais les supports de prédilection des certificats Covid-19. «Comme les passeports ou certificats de vaccination sont de plus en plus perçus comme des fonctions vitales de la sécurité publique, les entités du secteur privé telles que les restaurants, les bars, les salles de sport et les clubs sont désormais tenues de demander une preuve d’identité et de vaccination, rappellent encore les chercheurs canadiens. Pour qui, au fil de la crise Covid, «le smartphone est devenu bien plus qu’un simple calculateur et un outil d’analyse. Il est désormais aussi un vecteur de vérité dans les contextes de la citoyenneté et de l’état de santé. L’autre fait tout aussi important, c’est qu’il se transforme aussi en un véhicule de relance et de stimulation économique».

A la faveur de ce glissement, les gouvernements prêts à prendre le train en marche et à «réaliser» l’e-ID en tirant parti de l’infrastructure mise en place pour les certificats Covid-19 sont toujours plus nombreux : «Les systèmes d’identité numérique sont en plein essor, confirment Tommy Cooke et Benjamin J. Muller. Un peu avant ou pendant la pandémie, de nombreux gouvernements du monde entier (par exemple, le Royaume-Uni, l’Australie, la Nouvelle-Zélande, l’Union européenne, le Canada, entre autres) ont annoncé qu’ils allaient développer des systèmes technologiques conçus pour que les citoyens et les organisations puissent prouver leur identité, ou qu’ils étaient déjà en train de le faire.»

Transformation en cours en Suisse et dans l’UE

La Commission Européenne, par exemple, exprime désormais ouvertement son vœu de voir le certificat Covid-19 de l’UE évoluer en solution de portefeuille d’e-ID. Comme nous l’a expliqué Charles Manoury, porte-parole de la Commission Européenne: «La solution de modèles mis à la disposition des Etats membres pour créer des applications permettant de stocker les DCC de l’UE sont les premières formes de ce qui peut évoluer vers des portefeuilles numériques à part entière et le travail avec les Etats membres sur cette question se poursuivra dans les mois à venir.»

Pourtant, lorsqu’elle avait annoncé en mars 2021 son intention de déployer le certificat Covid-19, la Commission Européenne n’avait pas averti ses citoyens que le «modèle commun élaboré avec les Etats membres afin de faciliter la reconnaissance des certificats COVID de l’UE délivrés sur support papier» avait pour vocation d’évoluer vers un «portefeuille numérique à part entière». Au contraire. Elle affirmait alors que les certificats Covid-19 étaient «liés à la pandémie de COVID-19», et le «système des certificats verts numériques» serait «suspendu lorsque l’Organisation mondiale de la santé (OMS) aura déclaré la fin de l’urgence de santé publique à portée internationale causée par la COVID-19» et ne pourrait être réactivé que si «l’OMS annonce une nouvelle urgence de santé publique à portée internationale causée par la COVID-19, un variant de ce virus ou une maladie infectieuse similaire». La perspective d’un certificat Covid-19 évoluant en «portefeuille numérique à part entière» contredit donc ces assurances d’un usage limité, tant dans le temps qu’en termes de champ d’application.

La Suisse participe aussi de ce mouvement avec son nouveau projet de loi sur l’e-ID. Le 7 mars 2021, 64,4% des Suisses rejetaient le premier projet de loi sur l’e-ID. Trois jours plus tard seulement, les premiers efforts pour remettre très vite l’ouvrage sur le métier étaient déjà déployés: le 10 mars 2021, six motions de teneur identique étaient déposées au Parlement, demandant la mise en place d’un «système géré par l’Etat qui permette de prouver son identité en ligne, de la même manière que la carte d’identité ou le passeport permettent de le faire dans le monde réel». «La solution pourra s’appuyer sur des produits et services développés par le secteur privé, disait encore le texte des motions identiques. En revanche, l’octroi des e-ID et le fonctionnement du système devront être assumés par des services publics spécialisés.» Les choses n’ont alors pas traîné et la consultation s’est achevée le 14 octobre 2021 déjà.

En juillet 2021, le lobbying avait fait son œuvre et l’Aargauer Zeitung clamait en substance: avant, personne ne voulait de l’e-ID, mais la crise a changé la donne. «Au bout d’un an et demi de pandémie, le monde du numérique en Suisse n’est plus le même qu’avant Covid. L’application Covid et le certificat Covid, créés dans le même esprit, ont jeté de nouvelles bases», affirmait l’article qui citait les propos enthousiastes de Gerhard Andrey, conseiller national vert. Pour cet entrepreneur en informatique, l’app SwissCovid et le certificat Covid-19 avaient initié «une toute nouvelle dynamique en Suisse» et «marqué le courant politique dominant». Bref, «une carte d’identité électronique d’inspiration similaire pourrait faire fureur», nous disait-on.

Lier statut vaccinal, données biométriques et e-ID

Une chose est certaine: les entreprises et les groupes d’intérêts désireux d’imposer l’e-ID ne formulent pas que des considérations théoriques et n’ont pas attendu la crise Covid pour s’activer.

Cette véritable «industrie de l’identité numérique» est à pied d’œuvre depuis le début des années 2010, et notamment depuis 2014: c’est en effet cette année-là que la Banque mondiale a lancé l’initiative Identification for Development ID4D. Elle est censée aider les pays à atteindre l’objectif 16.9 de développement durable des Nation Unies: «D’ici 2030, fournir une identité légale à tous, y compris l’enregistrement des naissances.» Selon la Banque mondiale, la réalisation de cet objectif devrait permettre de «progresser» vers «l’élimination de la pauvreté, la réduction des inégalités, l’égalité des sexes et l’autonomisation des femmes, la migration sûre et ordonnée, la couverture sanitaire universelle et l’inclusion financière». L’implémentation de l’e-ID et ses potentiels champs d’application dans le monde réel ont donc été testés pendant plusieurs années déjà, notamment dans les pays de l’hémisphère Sud.

Illustration: Aleksandra Roth-Belkova
Illustration: Aleksandra Roth-Belkova

Ainsi, l’idée de coupler statut vaccinal et e-ID remonte à 2018. Elle a été présentée par l’Alliance ID2020, qui se proposait de tirer parti du fait que, dans de nombreux pays en développement, la couverture vaccinale dépasse largement le taux d’enregistrement des naissances. Selon les estimations, écrivait ID2020, «plus de 95 % des enfants dans le monde reçoivent au moins une dose d’un vaccin» et «86 % des enfants dans le monde reçoivent les trois doses complètes recommandées du vaccin contre la diphtérie, le tétanos et la coqueluche, ce qui est couramment utilisé pour mesurer la couverture vaccinale».

Sa proposition était donc la suivante: utiliser la vaccination comme «point d’entrée» pour implémenter un système d’e-ID, en liant le statut vaccinal à un système d’identification biométrique. «La vaccination représente une formidable opportunité de fournir aux enfants une identité numérique durable, portable et sécurisée dès le début de leur vie», se félicitait ID2020. Entre-temps, le principe a été mis en pratique dans le cadre d’un projet au Bangladesh où «moins de 40% des enfants reçoivent un certificat de naissance avant l’âge de cinq ans», mais où le taux de vaccination atteint «97% pour les maladies évitables». ID2020 y gère désormais l’inscription biométrique et l’identification numérique des nourrissons lorsqu’ils reçoivent des vaccins de routine. En septembre 2019, Seth Berkley, CEO de Gavi, exprimait son souhait de voir le programme étendu à l’ensemble des pays en développement, en collaboration avec des acteurs comme Facebook et la société de payement Mastercard, très active dans le domaine de l’e-ID.

Toujours en 2018, alors qu’ID2020 présentait son projet, Mastercard a opté pour le même «point d’entrée», noué un partenariat avec l’alliance Gavi dans ce but et approché Trust Stamp, une société d’authentification d’identité basée sur l’intelligence artificielle. But du projet : établir une plateforme d’identité biométrique dans les communautés éloignées à faible revenu d’Afrique de l’Ouest. Avec pour point de départ le Wellness Pass, un carnet de vaccination numérique lié à un système de validation d’identité alimenté par NuData, la technologie d’intelligence artificielle et d’apprentissage automatique de Mastercard. La plateforme imaginée par ce trois acteurs a ainsi été lancée en juin 2020, avec une solution développée par Trust Stamp intégrée dans le Wellness Pass de Gavi et Mastercard. Dans ces deux cas, le spectre de la surveillance et de l’aspiration immodérée de données biométriques sensibles n’était jamais très loin. La technologie Trust Stamp dans le projet de Mastercard, par exemple, est aussi celle que cette société propose aux forces de l’ordre et aux systèmes pénitentiaires à des fins de surveillance et de police prédictive.

Ghost-management à l’œuvre

Parallèlement à ces activités sur le terrain, les différents acteurs intéressés ont mis en place un vaste dispositif de lobbyisme pour faire avancer leur agenda et faciliter la transition vers l’e-ID à une échelle aussi globale que possible. Ce lacis complexe d’enseignes et d’initiatives supranationales est porté par des géants du capitalisme globalisé, des agences gouvernementales, des banques, des sociétés de crédit, des banques centrales, des entités en contrat avec des agences gouvernementales, des fondations de milliardaires, des cabinets de conseil, ainsi qu’une myriade d’entreprises en renfort.

Ci-dessous: Re-Check a examiné en détail les acteurs qui gravitent autour de huit initiatives, ainsi que les intérêts qui les lient à celles-ci. Des graphiques en haute résolution avec détails et commentaires sont disponibles ici.
Parmi les acteurs impliqués figurent des fondations, des organisations gouvernementales et non gouvernementales, des cabinets de conseil, des géants des technologies (Big Tech), mais aussi des cliniques universitaires, des représentants du domaine eHealth, sans oublier une multitude d’entreprises actives dans le domaine des solutions d’identité numérique, des données biométriques et des technologies comme la blockchain (liste non exhaustive). Bon nombre de ces acteurs font partie de ce que Privacy International appelle «l’industrie de l’e-ID».
Les flèches entre les différents acteurs ne doivent pas être lues comme la preuve que «quelqu’un tire les ficelles».
Elles représentent uniquement des liens d’intérêts que nous avons pu mettre en évidence. Leur nombre témoigne de l’ampleur des efforts et des enjeux, en termes financiers, mais aussi de contrôle.

Leurs vitrines communiquent à coup de vocables flous et lénifiants, qui posent l’e-ID en solution d’empowerment, gage de confiance, de sécurité, de simplicité, de confort, de transition sans friction et surtout d’«inclusion»: développement inclusif, services financiers inclusifs, croissance inclusive, inclusion numérique, inclusion politique, technologie inclusive… L’e-ID serait aussi l’arme-clé contre le «vol d’identité» dont ces acteurs ne se lassent pas de souligner la gravité.

Les bons sentiments ne sont pas en reste: qui aurait le cœur assez sec pour ne pas souhaiter, avec ID2020, que tous les nouveau-nés puissent «accéder à un plus large éventail de services sociaux» et aux «interventions sanitaires dont tous les enfants ont besoin et qu’ils méritent»?

Ces vibrants appels ne doivent pas faire oublier que pour ce vaste conglomérat, l’e-ID représente avant tout une extraordinaire aubaine: en termes financiers pour les acteurs commerciaux, et en termes de contrôle et de surveillance pour les acteurs gouvernementaux. Les représentants du capitalisme de surveillance, des technologies biométriques et du traçage y figurent en bonne place. Ainsi, parmi les plus enthousiastes supporters de la transformation des QR codes Covid-19 en e-ID, on trouve Thales (6) (7) (8) (9) , le géant français des technologies biométriques et de la surveillance. Ou encore la société britannique iProov, spécialisée dans l’authentification biométrique en ligne.

Crise accélératrice

La crise Covid a donc donné un puissant coup d’accélérateur à un agenda porté par un complexe puissant, qui mûrissait depuis une bonne décennie. Les fruits semblent aujourd’hui prêts à être cueillis et les attentes sont à la hauteur. D’après la société d’études de marché Mordor Intelligence, 72% des places de marché en ligne ont renforcé leur technologie de vérification d’identité «en raison du Covid-19» et la vérification d’identité numérique est toujours plus un élément essentiel du secteur bancaire. Selon le portail MarketsandMarkets, le marché des solutions d’identité numérique devrait peser 30,5 milliards de dollars en 2024 et 49,5 milliards de dollars en 2026. Certaines start-up actives dans le domaine de l’identité numérique basée sur l’intelligence artificielle, les données biométriques ou l’apprentissage machine, peuvent désormais espérer des levées de fonds à hauteur d’un milliard de dollars.

Si les lobbies les plus apparents de l’industrie de l’identité numérique sont avant tout liés à des sociétés et des fondations privées, cela n’implique pas que les solutions portées par les Etats sont bégnines par définition. Y compris dans le cas de l’Union Européenne (UE).

Dans sa communication, la Commission Européenne a surtout mis en avant son souhait de voir les résidents de l’UE «garder le contrôle» de leurs données, «plutôt que de les partager avec des géants de la technologie comme Google et Facebook». Ce désir affiché de «protéger les citoyens face aux géants du numérique» n’a pas empêché l’UE d’investir des milliards d’euros dans la surveillance et les technologies biométriques au cours des 15 dernières années. En décembre 2020, une enquête de The Guardian a révélé qu’entre 2007 et 2020, Horizon 2020, le programme de financement de la recherche dans l’UE auquel la Suisse participe, avait soutenu à hauteur de 2,7 milliards d’euros le développement de produits de sécurité pour les forces de police et les organismes de contrôle des frontières dans les secteurs public et privé. La plupart de ces produits faisaient appel à des technologies comme l’intelligence artificielle, les drones et la réalité augmentée, la reconnaissance faciale, vocale, veineuse et de l’iris, ainsi que d’autres formes de biométrie susceptibles d’être utilisées pour la surveillance.

En janvier 2021, une enquête parue sur voxeurop a mis en évidence qu’un nombre croissant d’innovations biométriques avaient été déployées récemment dans différents pays d’Europe (vérification biométrique pour la livraison de colis, paiements grâce à la reconnaissance faciale et carte de paiement biométrique, par exemple), seraient susceptibles d’être intégrées à une identité centrale. L’article concluait que la décision de ne retenir que l’identité numériques et les certificats Covid-19 comme moyens pour un «retour à la normale» ouvrait la porte à un système de surveillance sans précédent, par le biais duquel les citoyens pouvaient de surcroît se retrouver déchus de leurs droits.

Enfin, il est certain que les lobbies privés pèseront de tout leur poids pour influencer les futures fonctionnalités de l’e-ID de l’UE et la législation qui l’encadrera. Tout en saluant l’initiative de la Commission Européenne, ils ont déjà souligné l’importance d’intégrer l’industrie, la finance et le savoir-faire du secteur privé dans la conception du dispositif final.

Au prochain épisode, nous nous intéresserons aux projets liés à l’e-ID des banques centrales et les conséquences qu’ils auraient pour les citoyens s’ils devaient être mis en pratique. Nous verrons aussi que les promesses que les partisans de l’e-ID mettent régulièrement en avant ne pourront pas être tenues, en raison de certains effets inattendus des technologies utilisées.