L'Inde se lance enfin dans la course à l'identité numérique avec le déploiement national de passeports électroniques à puce. Plus de 20 000 ont déjà été délivrés au Tamil Nadu, et 13 villes sont sur le point de les mettre en service. Le gouvernement promet une immigration plus rapide, une meilleure sécurité des données et une expérience de voyage plus fluide. Mais derrière ce discours clinquant sur la commodité numérique se cache une préoccupation plus profonde : la confidentialité sans protection et l'innovation sans surveillance. Le passeport électronique est peut-être la réforme technologique la plus spectaculaire de l'Inde depuis l'Aadhaar, mais il risque de répéter les mêmes erreurs si les droits des consommateurs ne sont pas intégrés à son cœur. Une fois stockées, les données biométriques sont difficiles à contenir. Une puce contenant vos empreintes digitales, votre scan d'iris et vos données de reconnaissance faciale pourrait vous permettre de passer l'immigration plus rapidement.
Cependant, cela pourrait aussi ouvrir la voie à la surveillance gouvernementale, aux abus, voire à l'exclusion. N'oublions pas ce qui s'est passé avec le programme gouvernemental Aadhaar. Introduit en 2009 comme système d'identification biométrique volontaire pour améliorer les prestations sociales et éliminer les doublons, il s'est rapidement transformé en une obligation de facto pour tout, des comptes bancaires aux rations alimentaires. Si l'objectif était l'inclusion, la réalité était bien plus complexe. En 2018, une enquête majeure a révélé que les données Aadhaar de plus d'un milliard de citoyens auraient été vendues en ligne pour seulement 500 roupies.
Pire encore, les incohérences biométriques, notamment chez les personnes pauvres, âgées et handicapées, ont privé des millions de personnes de services essentiels comme les retraites et les aides alimentaires. Ce qui n'était au départ qu'une passerelle numérique est devenu un obstacle pour beaucoup. Avec les passeports électroniques, nous risquons de suivre une voie similaire, à moins que des garanties juridiques solides ne soient mises en place dès le départ. Ce qui manque, c'est de clarifier comment ces données biométriques seront stockées, qui y aura accès et dans quelles circonstances. Y aura-t-il une surveillance indépendante ? Les consommateurs pourront-ils savoir quand et pourquoi leurs données sont consultées ?
Que se passe-t-il si la puce tombe en panne ou, pire, est clonée ? La conférence allemande sur le piratage informatique du Chaos Computer Club a démontré comment les puces RFID des passeports biométriques pouvaient être copiées et falsifiées, un sérieux signal d'alarme pour tout pays souhaitant se développer sans précaution. Le bilan de l'Inde en matière de protection des données n'inspire pas confiance. La nouvelle loi sur la protection des données personnelles numériques (Digital Personal Data Protection Act) est insuffisante là où elle compte le plus : la surveillance indépendante, la transparence et le contrôle des consommateurs. Elle centralise trop de pouvoirs au gouvernement, manque d'un organisme d'application solide et ne garantit pas aux citoyens la possibilité de suivre ou de contester l'accès à leurs données. Ce cadre exige la confiance, mais n'offre aucune responsabilité en retour.
Ceci est particulièrement préoccupant alors que l'Inde ambitionne de devenir le leader de l'économie numérique. La confiance numérique ne se construit pas uniquement par la législation, mais par des systèmes qui donnent le contrôle aux utilisateurs. L'Estonie en offre un exemple frappant : son écosystème d'identité numérique repose sur un stockage décentralisé des données, des journaux d'accès en temps réel et un consentement géré par les utilisateurs. Lorsque les utilisateurs peuvent voir qui a accédé à leurs données et révoquer cet accès si nécessaire, la confiance s'installe. C'est la norme que l'Inde devrait viser : non seulement la commodité, mais un véritable contrôle entre les mains des consommateurs. L'Inde doit suivre cet exemple. Cela devrait inclure des données biométriques chiffrées, des options de stockage décentralisées ou hors ligne pour réduire les risques de cybersécurité, des journaux d'audit en temps réel, des options de désinscription des consommateurs et des mécanismes de recours rapides en cas d'erreur. Toute autre mesure risquerait de transformer une réforme prometteuse en un handicap en matière de protection de la vie privée.
Il y a aussi un aspect concurrentiel. Si l'Inde veut attirer des talents et des investissements technologiques de renommée mondiale, elle doit s'assurer que son infrastructure numérique respecte les droits individuels. Sinon, les innovateurs y réfléchiront à deux fois avant de se connecter à un système qui offre autant de surveillance que de services. Le marché unique numérique de l'UE et l'écosystème cloud américain prospèrent non seulement grâce à leur taille, mais aussi grâce à la confiance des utilisateurs. Une puce dans un passeport peut sembler anodine, mais le précédent qu'elle crée façonnera l'approche de l'Inde en matière d'identité numérique pour les décennies à venir. La modernisation doit responsabiliser, et non surveiller. Une Inde véritablement numérique doit placer les consommateurs au centre, la confidentialité n'étant pas un compromis, mais un point de départ. Car la commodité sans consentement n'est pas un progrès. C'est du paternalisme, conditionné dans une puce.
Publié à l'origine ici
