(Illustration : David Simonds)

Attendez-vous à ce que les autorités égarent beaucoup de vos données personnelles

Il en faut beaucoup pour étonner des politiciens britanniques au point de leur couper le souffle. C’est pourtant ce qui s’est passé le 20 novembre, lorsque le chancelier de l’Echiquier, Alistair Darling, a annoncé devant le Parlement que deux disques contenant les données personnelles de 25 millions d’individus, soit 7 millions de familles britanniques, avaient disparu. Les disques étaient échangés par courrier interne entre deux organismes du service public [le fisc et les allocations familiales] : ils contenaient des noms, adresses, informations bancaires, dates de naissance des conjoints et enfants [des familles bénéficiaires des allocations familiales]. Personne ne sait ce qu’il est advenu de ces disques, mais ils renferment exactement le type de données dont raffolent les voleurs d’identité, qui peuvent les utiliser pour fabriquer de faux papiers, commettre des escroqueries et vider des comptes en banque.

Cet incident est le dernier d’une série de pertes comparables. Le HMRC [Her Majesty’s Revenue & Customs] – l’administration fiscale et douanière qui a expédié les disques – avait déjà perdu en septembre un ordinateur portable renfermant les données personnelles de 400 personnes et, le mois dernier, il a égaré dans le courrier postal un autre disque contenant les dossiers de retraite de 15 000 individus. [...]

La législation en vigueur y est pour beaucoup. Bon nombre de pays européens et trente-cinq Etats américains imposent aux entreprises et aux administrations publiques de révéler aux personnes concernées toute atteinte à la sécurité des données. Dans bien des cas, elles sont également légalement respon­sables de toute perte, ce qui les incite à stocker aussi peu de données que possible et à en prendre le plus grand soin. La Grande-Bretagne a malheureusement les lois de protection des données les plus inefficaces du monde développé : le gouvernement a récemment rejeté un projet visant à rendre publique toute atteinte à l’intégrité des données. [...]

Mais les réglementations, lorsqu’elles existent, ne servent à rien si elles ne sont pas respectées. Les organismes de contrôle de la protection des données doivent donc être habilités à autoriser des contrôles inopinés pour s’assurer que les procédures prévues sont bien respectées. Mais, contrairement à d’autres instances de réglementation comme les inspecteurs antitrust européens, l’instance britannique de protection des données ne dispose pas du pouvoir de réaliser des contrôles surprises.

Dans son enthousiasme pour les grands chantiers technologiques, comme son projet de carte d’identité nationale, le gouvernement britannique n’a pas su prendre ce type de risques assez au sérieux. Pourquoi s’en donnerait-il la peine puisque ses services ne risquent aucune sanction lorsqu’ils ignorent les procédures et perdent des données ? [...]

______________________

Qui contrôle l’accès aux données personnelles ?

La Chambre des communes est une arène où l’on discute des enjeux publics sur un mode partisan. Il n’y a donc rien d’étonnant à ce que le débat sur la perte des données personnelles de quelque 25 millions de personnes ait lui aussi pris une tournure partisane [deux disques contenant des informations sur les membres des familles bénéficiant des allocations familiales ont été égarés par l’administration britannique]. Hier, les chefs de file des partis se sont livrés à leur jeu favori : la chasse aux coupables. David Cameron a passé toute la séance de questions au Premier ministre à tenter de démontrer que la perte des dossiers d’allocations familiales révélait le manque de compétence chronique du Labour. Gordon Brown lui a répliqué qu’il s’agissait incontestablement d’un inexcusable manquement aux procédures, mais pas d’une défaillance structurelle ou culturelle pour laquelle le gouvernement devrait porter le chapeau.

Ce sont des arguments de poids, et les deux positions ont leur pertinence. D’une façon ou d’une autre, les conséquences politiques de ce fiasco pour Gordon Brown, ses ministres et son gouvernement risquent d’être considérables. Mais la perte de données concernant la moitié des habitants de ce pays est un fait considérable en soi. Un événement qui fait naître des inquiétudes qui vont au-delà de la chasse au coupable. Il met en lumière des préoccupations fondamentales quant aux raisons et aux manières dont nos institutions modernes – et pas uniquement les gouvernements – compilent des masses de données sur des populations entières, mais aussi quant au contrôle et à la protection de cette accumulation de données. Car les caisses d’allocations ou les services fiscaux ne sont pas les seuls à collecter ce type de renseignements. Les services de santé, les services d’immatriculation des véhicules, l’Office national des statistiques et bien d’autres en font autant. Dans le secteur privé, banques, magasins et prestataires de services en tout genre sont également de fervents collectionneurs, surtout sur Internet. Les traces des appels téléphoniques, des courriers électroniques et des recherches sur la Toile sont conservées en masse. Le problème concerne tout autant Google que le gouvernement.

Les nouvelles technologies ont bouleversé la capacité des organismes publics et privés à collecter des données sur les particuliers. Elles ont révolutionné l’utilisation que l’on peut faire de ces données. Si l’on nous permet de gérer nos finances, nos impôts, nos allocations et de faire nos courses sur Internet, une majorité d’entre nous saisiront cette occasion. Lorsque l’accès aux dossiers médicaux est à portée de clic pour les médecins, les patients sont en mesure de choisir l’hôpital qui correspond le mieux à leurs besoins. Mais toutes ces facilités ont un prix. Les systèmes de données sont des ogres qui exigent d’être nourris. Mais ils se régalent aussi de ce qu’ils peuvent trouver eux-mêmes sur nous, sur les vidéos des caméras de surveillance, au téléphone, sur Internet. Autant d’archives qui peuvent se vendre, être volées ou encore être utilisées à mauvais escient. Leur contenu n’est certes pas toujours exact. Mais une chose est sûre : les systèmes modernes de collecte des données apportent à la fois une libération et une surveillance accrue.

Le système de protection des données dont nous disposons actuellement est toujours mieux que rien. Mais, comme le montre le scandale révélé cette semaine, il n’est pas aussi efficace qu’il le devrait. Car si la perte de ces fichiers d’allocations familiales est colossale, elle n’a rien d’un phénomène isolé. On a recensé cette année plus de quarante autres vols de données collectées par les services fiscaux britanniques. Régulièrement, des ministres nous donnent leur sincère assurance que l’intérêt public leur tient à cœur et que le système sera purgé des erreurs de ce genre. C’est ce qu’a fait Gordon Brown hier encore.

Mais sans un rigoureux droit au respect des données personnelles, et sans un renforcement des prérogatives et du personnel de l’Information Commissioner’s Office [équivalent de la Commission nationale informatique et libertés], ces promesses ne se concrétiseront jamais et les inquiétudes de l’opinion ne seront jamais véritablement apaisées. C’est l’une des raisons pour lesquelles le projet gouvernemental sur la nouvelle carte d’identité et une base de données d’identification – un projet auquel chaque ministre semble d’ailleurs attribuer des objectifs différents – ne bénéficie pas d’un soutien assez large pour aller plus avant. Il serait intolérable de maintenir ce projet avant d’avoir compris les leçons et les retombées du scandale de cette semaine et d’avoir agi en conséquence. Si les ministres sont déterminés à regagner la confiance des Britanniques (on espère qu’ils le sont), ils n’ont aujourd’hui d’autre choix que de suspendre leur projet de carte d’identité.

______________________

Il faut une protestation de masse pour mettre un terme à l’intrusion des administrations dans notre vie privée

Nous n’aurons ni le temps de nous gausser de la perte des données personnelles de 25 millions d’individus par l’administration, ni même le temps de nous réjouir de la manière dont ont été mortifiés [le Premier ministre] Gordon Brown, son acolyte Alistair Darling [le chancelier de l’Echiquier], Andy Burnham [le ministre des Finances], Jacqui Smith [la ministre de l’Intérieur] et Harriet Harman [la présidente du Labour].

Car ces gens-là ne se laisseront pas impressionner par le cataclysme de la semaine dernière. Dans un mois ou deux, ils auront rebondi. Le projet de carte d’identité sera relancé et Jacqui Smith reviendra à la charge pour exiger que les gens souhaitant voyager à l’étranger fournissent pas moins de 53 types de renseignements. Le fichier des enfants, le cadre d’évaluation des enfants, la base de données nationale du NHS [le système de santé public] et la tentaculaire base de fichiers ADN de la police continueront à engloutir des informations. Pourquoi ? Parce que le contrôle des masses est ancré dans le tréfonds de l’âme du Labour.

Dans le cadre d’un projet nommé avec une banalité rassurante “Réforme de l’Etat”, un gigantesque processus de centralisation s’est installé, ouvrant d’innombrables horizons aux atteintes à la sécurité et aux abus de la part de l’Etat. A l’époque, le gouvernement l’avait défini comme une volonté de “transformer les services publics tels que les reçoivent les citoyens et démontrer comment la technologie peut améliorer les services collectifs de l’Etat pour que davantage de ressources puissent être mises à disposition afin de fournir des services ‘de première ligne’”.

Quiconque aura compris le sens de cette phrase mérite une médaille, mais elle s’est traduite par la démonstration d’une vérité presque mathématique : plus la base de données sera importante et plus il y aura de gens pouvant y accéder, moins elle sera sécurisée.

La base de données des cartes d’identité (coût de 5.5 à 13 milliard de livres) et le fichier du NHS ’de 12 à 20 milliards de livres) sont les projets les plus importants. On nous assure que tous deux prévoient des mesures de sécurité imparables, mais c’est également ce que nous pensions pour le fichier du fisc [qui a été perdu après avoir été envoyé par la poste]. Helen Wilkinson, qui fait campagne contre la centralisation des informations recueillies par les généralistes depuis que son dossier médical l’a qualifiée à tort d’alcoolique, rapporte un témoignage inquiétant : un homme est allé rendre visite à un ami hospitalisé et, ne le trouvant pas, a demandé de l’aide à un employé de l’hôpital. Celui-ci a fait glisser une carte dans un terminal informatique et l’écran a aussitôt affiché la liste de tous les patients occupant un lit dans tous les hôpitaux britanniques. On ne peut s’empêcher de penser aux journalistes, aux détectives privés et à tous les cambrioleurs qui cherchent à savoir quelles maisons ont des chances d’être vides.
Or quelque 300 000 personnes auront accès à la base de données du NHS. [...]

Le gouvernement refuse de décrire la forme définitive du fichier national d’identité, la base de données qui vérifiera une carte d’identité lorsqu’on la passera dans un terminal et enregis­trera tous les événements marquants de la vie d’un individu. Nous savons toutefois que des centaines d’agences gouvernementales y auront accès. Et nous savons qu’il y a déjà eu des cas d’usage abusif du fichier central de la police par des agents travaillant illégalement pour des enquêteurs privés. [...]

La centralisation des données au Royaume-Uni s’est accompagnée de tout un discours sur la “protection”, les “précautions” et la “modernisation”. La réalité est toutefois apparue dans un projet baptisé ECCO, à l’essai à Edimbourg, qui a suscité une grande émotion parmi les sans-abri. ECCO permet à n’importe quel travailleur social de consulter les informations qu’ont fournies des individus vivant dans la rue dans un moment de détresse. Leur dossier consigne sans limitation de durée leurs problèmes d’alcoolisme, psychologiques et de maltraitance, etc., sous prétexte de leur assurer une meil­leure assistance, qu’ils le souhaitent ou non.

Les symptômes les plus inquié­tants de cette boulimie de données de l’Etat sont apparus dans la base de données sur l’enfance, joliment renommée ContactPoint, qui contient l’historique détaillé de tous les enfants vivant sur le sol britannique. Les entretiens qui ont permis de la constituer ont souvent été réalisés à l’insu des parents. L’appétit de l’Etat est sans bornes. Dès le 1er janvier prochain, le ministère de l’Intérieur devrait tenter de faire passer un texte réglementaire – qui lui évitera donc de consulter le Parlement – donnant à la police et aux services de sécurité un accès aux détails des déplacements des citoyens à l’intérieur du Royaume-Uni. [...]

Chacun d’entre nous devrait comprendre que les données personnelles sont, comme leur nom l’indique, personnelles, et que l’Etat n’a le droit de les exiger et de les conserver que sous des conditions très précises. L’échelle de ses opérations et la faiblesse intrinsèque des systèmes informatiques constituent de très graves problèmes qui nous concernent tous. [...]

______________________

Débacle politique

Il n’est pas étonnant que George Os­borne, le chancelier de l’Echi­quier du cabinet fantôme, ait eu l’air d’un chat devant un gigantesque pot de crème. Ce n’est pas tous les jours qu’un jeune ministre de l’opposition a l’occasion de se régaler d’un fiasco gouvernemental aussi total. Non seulement les chiffres sont ahurissants – les données personnelles et confi­dentielles de près de la moitié de la population seraient “perdues dans le courrier” –, mais ce désastre retentissant correspond exactement à ce dont les citoyens soupçonnaient le gouvernement. Cette catastrophe, avec tous ses détails consternants, était de toute façon prête à s’abattre. [...] A voir la mine sépulcrale du Premier ministre, il était évident que cette dernière catastrophe était plus grosse que le chancelier. Elle touche l’ensemble du gouvernement – jusqu’au Premier ministre et ancien chancelier Gordon Brown.

N’était-ce pas une idée de M. Brown que de fusionner les services des douanes et du fisc et de les rapprocher de l’orbite du Trésor ? Quel effet tout cela a-t-il eu sur l’efficacité et le moral des personnels concernés ? Et n’est-ce vraiment que depuis la fin juin 2007 [depuis que Brown est Premier ministre] que, à la demande d’un fonctionnaire subalterne, le fisc envoie par la poste des données confidentielles ? [...]

Cette catastrophe va avoir deux conséquences particulièrement néfastes pour le gouvernement. La première est d’ordre politique. La cote de popularité de M. Brown reposait sur l’apparence de sa compétence. On se rappelle le slogan du Labour au début de l’été : “Pas flash, juste Gordon”. Plus récemment, le 10 Downing Street promettait d’ajouter la “vision” au bon sens. Quand M. Osborne a invité M. Brown, le 20 novembre, à “oublier les grandes visions et [à] simplement s’attaquer aux problèmes”, qui n’aurait pas acquiescé du fond du cœur ?

Depuis septembre, tout (ou presque) va mal pour le gouvernement. Perdre les données personnelles de la moitié de la population n’est que la plus grossière de ses bourdes. Même si l’incident n’est pas directement imputable au gouvernement, il sera immortalisé dans notre folklore politique et une génération entière se fera un plaisir de le raconter.

La seconde conséquence pour M. Brown est d’ordre pratique. Depuis dix ans qu’il est au pouvoir, le New Labour a fait preuve vis-à-vis des technologies de l’information d’une incapacité qui a coûté cher au pays et a semé le doute à propos de la confiance qu’on peut lui accorder. Nos pires craintes sont aujourd’hui confirmées. [...]

On a du mal à croire qu’un gouvernement ayant à son passif une bévue aussi considérable en matière de gestion des données soit en mesure de gérer l’introduction d’une carte d’identité nationale. Ce plan doit être abandonné : c’est le côté positif d’une bourde vraiment colossale.