Comment les autorités établissent l'esclavage numérique pour les citoyens

2024 Auteur: Seth Attwood | [email protected]. Dernière modifié: 2023-12-16 16:04

Jusqu'à récemment, les laissez-passer numériques pour se déplacer dans la ville semblaient aux Russes être un élément sauvage d'une dystopie cyberpunk. C'est d'ailleurs aujourd'hui une réalité: depuis hier à Moscou, ils sont devenus obligatoires pour se déplacer en transports en commun. Comment c'est arrivé, pourquoi de nombreux pays ont créé des systèmes de contrôle numérique pour le mouvement des citoyens et si une telle surveillance s'arrêtera après la fin de la pandémie - dans un nouveau matériel de chercheurs du Center for Advanced Management Solutions.

Contexte général

La tendance générale de la réponse des pays à l'épidémie de coronavirus est de renforcer le contrôle sur les citoyens. Sur la base de l'analyse des données des opérateurs mobiles, des banques, des forces de l'ordre, l'État calcule les contacts des personnes infectées et surveille également le respect par les citoyens de l'auto-isolement et de la quarantaine. De nombreuses publications sur ce sujet soulèvent des questions de vie privée et de respect des droits des citoyens, dressant un sombre tableau d'une « société de surveillance ».

Nous avons collecté plusieurs épisodes de l'introduction de mesures spéciales de contrôle numérique par différents États et essayé de comprendre les risques que ces mesures comportent du fait que l'accès aux informations sur les déplacements et la vie personnelle des citoyens est fourni à plusieurs services bureaucratiques à la fois..

Israël: police, agences de renseignement, ministère de la Santé

Que s'est-il passé?

Le 19 mars, le gouvernement israélien a instauré une quarantaine partielle dans tout le pays. Dans le cadre des mesures provisoires prises quelques jours plus tôt, les 15 et 17 mars, les autorités ont émis deux arrêtés d'urgence qui ont élargi les pouvoirs de la police pour effectuer des recherches et ont également permis au service de sécurité israélien (Shin Bet) d'utiliser la surveillance numérique pour lutter contre l'épidémie de coronavirus. …

Qui exerce le contrôle et comment ?

Tous les citoyens du pays infectés par le coronavirus, ainsi que ceux qui sont entrés en contact avec eux, sont placés en quarantaine obligatoire de deux semaines. Dans le cadre des ordonnances d'urgence, la police pourra, à titre provisoire, déterminer la géolocalisation actuelle de ces personnes au détriment des données des antennes relais sans décision de justice supplémentaire. À leur tour, les services spéciaux pourront accéder non seulement à l'emplacement actuel d'une personne, mais également à l'historique de ses déplacements. En outre, le ministère israélien de la Santé a publié sa propre application pour smartphone qui met à jour en permanence les données de localisation des personnes infectées reçues des forces de l'ordre et avertit l'utilisateur s'il se trouve à proximité d'eux.

D'une part, cela permet non seulement de vérifier dans quelle mesure une personne respecte consciencieusement le régime de quarantaine, mais également d'identifier un cercle approximatif de contacts avec d'autres personnes qui pourraient également être infectées. Mais d'un autre côté, en temps normal, ces technologies de « suivi numérique dense » ne sont utilisées que pour attraper les criminels et les terroristes.

Ces pouvoirs extraordinaires des forces de sécurité dureront jusqu'à la mi-juin - après cela, toutes les données reçues doivent être détruites. Cependant, le ministère de la Santé pourra prolonger de deux mois la durée de conservation des données ainsi collectées pour des recherches complémentaires.

Corée du Sud: la police et l'autocontrôle civil

Que s'est-il passé?

En février 2020, la République de Corée est devenue l'un des pays à la croissance la plus rapide de l'épidémie de coronavirus.

Les autorités ont pu assez rapidement et efficacement de premier niveau, puis réduire le taux de propagation de l'infection

Cela s'explique en partie par le fait que la Corée possède une riche expérience dans la lutte contre l'épidémie: en 2015, le pays a été confronté à une épidémie de syndrome respiratoire du Moyen-Orient (MERS), à la suite de laquelle tout un système de mesures épidémiologiques a été développé. Cependant, le facteur décisif a été l'organisation d'un envoi massif de notifications sur chaque cas d'infection avec des informations détaillées sur la personne infectée (âge, sexe, description détaillée de ses déplacements et contacts récents; dans certains cas, il a été signalé si la personne avait un masque, etc.). Un tel envoi n'aurait pas été possible sans un système puissant et à grande échelle de contrôle numérique sur les déplacements et les contacts des citoyens sud-coréens.

Qui exerce le contrôle et comment ?

Plusieurs services fonctionnent désormais dans le pays qui utilisent des données personnelles afin de fournir des informations sur la propagation du coronavirus. Par exemple, le site Internet de Coroniata publie des informations sur le nombre total de cas, ainsi que sur les zones où les plus grands foyers d'infection ont été enregistrés. La deuxième ressource, Coronamap, est une carte qui affiche quand et à quels endroits tous les cas isolés d'infection ont été enregistrés. Le gouvernement coréen a également publié une application officielle pour smartphone pour suivre la conformité de la quarantaine des personnes infectées.

La République de Corée dispose d'une infrastructure numérique très développée, de sorte que le suivi et la vérification des données ne sont pas un problème pour le gouvernement. Pour améliorer la précision de l'analyse, en plus des données des antennes relais et du GPS, des données sur les transactions effectuées avec des cartes bancaires sont utilisées, des systèmes de vidéosurveillance de la ville et des technologies de reconnaissance faciale sont utilisés.

Une telle « ouverture » forcée, d'une part, montre son efficacité pour contenir l'épidémie, mais, d'autre part, entraîne des effets sociaux négatifs. Outre le fait que les personnes infectées par l'infection ressentent elles-mêmes un sentiment de surveillance constante, d'autres personnes - "au hasard" - tombent également dans la zone de contrôle.

Puisque chaque cas d'infection est affiché sur une carte, certains Coréens, même non infectés, mais correspondant aux « points » tracés, sont soumis à la pression publique.

Ainsi, des citoyens coréens proactifs se joignent à la police et aux fonctionnaires pour se surveiller mutuellement.

Alternative: Pologne vs Commission européenne

Dans l'Union européenne, l'une des premières applications de surveillance des citoyens tenus de se conformer à une quarantaine de 14 jours est apparue en Pologne. Les autorités exigent l'installation de l'application par les citoyens sains qui ont été en contact avec des personnes infectées ou potentiellement infectées, ainsi que toute personne qui revient de l'étranger. Depuis début avril, l'installation de l'application est devenue obligatoire par la loi.

L'application Home Quarantine (Kwarantanna domowa) envoie au hasard une notification plusieurs fois par jour avec l'obligation de télécharger votre propre photo (selfie) dans les 20 minutes. Selon le site Internet du gouvernement polonais, l'application vérifie la localisation de l'utilisateur (par GPS) et utilise également la reconnaissance faciale. Si la demande de téléchargement d'une photo n'est pas satisfaite, la police peut se rendre à l'adresse. Selon la réglementation, le ministère de la Numérisation conservera les données personnelles des utilisateurs pendant 6 ans après la désactivation de l'application (conformément au Code civil), à l'exception des photos qui sont supprimées immédiatement après la désactivation du compte.

Outre la Pologne, leurs propres applications sont apparues ou ont commencé à se développer dans d'autres pays européens, par exemple en Autriche (avec la participation de la Croix-Rouge locale), en France, en Irlande et en Allemagne.

Dans ce contexte, la Commission européenne a proposé de faire une application paneuropéenne de suivi de la propagation du coronavirus conformément aux recommandations particulières pour son développement, sur la base de la loi sur la protection des données personnelles dans l'UE

Parmi les principes énumérés de la future application, l'efficacité d'utilisation des données d'un point de vue médical et technique, leur anonymat complet et leur utilisation uniquement pour créer un modèle de propagation du virus sont indiqués. Pour réduire le risque de fuite de données personnelles, les développeurs d'applications devront adhérer au principe de décentralisation - les informations sur les déplacements d'une personne infectée ne seront envoyées qu'aux appareils des personnes qui pourraient potentiellement la contacter. Par ailleurs, il a été souligné que les mesures prises devraient être justifiées et temporaires.

La date limite de soumission des propositions pour la mise en œuvre de ces mesures est le 15 avril. En outre, d'ici le 31 mai, les États membres de l'UE devront informer la Commission européenne des mesures prises et les mettre à disposition pour examen par les pairs par les membres de l'UE et la Commission européenne. La Commission européenne évaluera les progrès accomplis et publiera périodiquement des rapports à partir de juin avec de nouvelles recommandations, y compris la suppression des mesures qui ne sont plus nécessaires.

Russie: le ministère des Télécoms et des Communications de masse, les opérateurs mobiles et les régions

Que s'est-il passé?

De fin février à début mars, après la mise en place de mesures pour contrer la propagation du coronavirus, les premiers cas de renforcement du contrôle de la population par des moyens techniques sont apparus en Russie. Selon Mediazona, des policiers sont venus voir le contrevenant à la quarantaine avec une photo, probablement prise par un appareil photo, qui était connecté à un système de reconnaissance faciale. Mikhail Mishustin a chargé le ministère des Télécoms et des Communications de masse de créer d'ici le 27 mars un système de traçage des contacts des patients infectés par le coronavirus sur la base des données des opérateurs cellulaires. Selon Vedomosti, le 1er avril, ce système fonctionnait déjà. Parallèlement, les entités constitutives de la Fédération de Russie ont commencé à développer leurs solutions. À Moscou, début avril, ils ont lancé un système de suivi des patients atteints de coronavirus à l'aide de l'application Social Monitoring, et ont également préparé la mise en place de laissez-passer avec des codes spéciaux (le décret sur leur introduction a été signé le 11 avril). Dans la région de Nijni Novgorod, la première des régions, le contrôle par codes QR a été introduit, au Tatarstan - par SMS.

Qui exerce le contrôle et comment ?

Le contrôle numérique concerne principalement les citoyens infectés ou en quarantaine officielle. Pour suivre leurs déplacements, le ministère des Télécoms et des Communications de masse demande "des données de nombres et de dates d'hospitalisation ou de date de mise en quarantaine". Ces données sont transmises aux opérateurs cellulaires, qui contrôlent le respect des conditions de quarantaine. Le contrevenant aux conditions reçoit un message, et en cas de violation répétée, les données sont transférées à la police. Selon Vedomosti, les responsables des entités constitutives de la Russie saisiront les données dans le système. Dans le même temps, Roskomnadzor estime que l'utilisation de numéros sans spécifier les adresses et les noms des abonnés des opérateurs cellulaires ne viole pas la loi sur les données personnelles.

En plus de ces mesures, la géolocalisation des patients est surveillée à Moscou grâce à l'application Social Monitoring installée sur les smartphones spécialement délivrés aux citoyens. Pour confirmer l'information que l'utilisateur est chez lui, à côté du téléphone, l'application demande périodiquement qu'une photo soit prise

Selon le chef du Département des technologies de l'information (DIT) de Moscou, le transfert de données sur l'utilisateur est réglementé par un accord qu'il signe lors du choix de l'option de traitement à domicile. Ils sont stockés sur les serveurs DIT et seront supprimés après la fin de la quarantaine. En outre, un contrôle est exercé sur toutes les voitures de ceux qui sont obligés de rester en quarantaine officielle (patients et leurs proches), ainsi que via le système de vidéosurveillance de la ville.

Le 11 avril, le maire de Moscou a signé un décret sur l'introduction de laissez-passer numériques pour voyager à Moscou et dans la région de Moscou en transports privés et publics. Les laissez-passer ont commencé à être délivrés le 13 avril et sont devenus obligatoires le 15, ils peuvent être obtenus sur le site Internet du maire de Moscou, par SMS ou en appelant le service d'information. Pour émettre un laissez-passer, vous devez fournir des données personnelles, notamment votre passeport, votre numéro de voiture ou votre titre de transport en commun (carte Troïka), ainsi que le nom de l'employeur avec le TIN ou l'itinéraire de voyage. Le pass n'est pas obligatoire pour se déplacer à pied dans la ville, sous réserve des restrictions introduites précédemment.

Des laissez-passer pour contrôler la circulation des citoyens ont également été introduits dans d'autres régions russes:

Le 30 mars, le gouverneur de la région d'Astrakhan Igor Babushkin a signé une ordonnance sur les laissez-passer spéciaux pendant la quarantaine. Le 13 avril, une plateforme électronique de délivrance de laissez-passer a été lancée dans la région. Les candidatures sont déposées sur un site internet spécial, un pass avec un code QR est envoyé à l'adresse e-mail du candidat. Le gouverneur a également chargé de vérifier les laissez-passer précédemment délivrés selon les listes fournies par les organisations.

Dans la région de Saratov, le 31 mars, un système de laissez-passer a été introduit. Initialement, il a été déterminé que les laissez-passer pour les citoyens qui travaillent seront délivrés sous forme papier avec la nécessité d'une certification dans les administrations. Dès le premier jour, cela a entraîné des files d'attente, ce qui a retardé le lancement du système d'accès. Le gouvernement régional a ajouté la possibilité d'obtenir des laissez-passer par voie électronique. L'introduction des laissez-passer a été reportée deux fois de plus.

Le 31 mars, le Tatarstan a approuvé la procédure de délivrance des autorisations de circulation des citoyens. Les permis sont délivrés via un service SMS: vous devez d'abord vous enregistrer et recevoir un code unique, puis soumettre une demande pour chaque mouvement. Le décret définit les cas pour lesquels une autorisation n'est pas requise. Pour les citoyens qui travaillent, une attestation de l'employeur est fournie. Après le lancement, des modifications ont été apportées au service: le 5 avril, la liste des données requises pour l'enregistrement a été limitée et le 12 avril, l'intervalle entre les délivrances de permis a été augmenté pour lutter contre les abus du système.

Dans la région de Rostov, l'exigence de délivrance de certificats aux employés des organisations continuant à opérer pendant l'épidémie a été introduite le 1er avril par le gouverneur Vasily Golubev. Le 4 avril, le contrôle des voitures à l'entrée de Rostov-sur-le-Don a été renforcé, ce qui a entraîné de nombreux kilomètres d'embouteillages. Le 7 avril, Rostovgazeta.ru a signalé que les autorités régionales envisageaient la possibilité d'introduire un "smart pass".

Dans la région de Nijni Novgorod, le mécanisme de contrôle a été approuvé par décret du gouverneur Gleb Nikitin le 2 avril. Une demande de laissez-passer est effectuée en utilisant le service "Carte d'un résident de la région de Nijni Novgorod" sur un site Web spécial ou via une application mobile pour appareils Apple, ainsi qu'en appelant le service d'assistance. Après examen de la demande, le demandeur reçoit un pass sous la forme d'un QR code pour un smartphone ou d'un numéro de demande. Pour les personnes morales, il existe une procédure pour émettre des confirmations qu'elles peuvent opérer les jours non ouvrables en raison de l'épidémie.

Le 12 avril, dans le contexte de la création de diverses solutions numériques pour le contrôle d'accès au niveau régional, le ministère des télécommunications et des communications de masse de la Fédération de Russie a lancé l'application fédérale « State Services Stopcoronavirus » (disponible pour les appareils Apple et Android) dans un format d'essai. Selon le ministère, l'application peut être adaptée aux conditions d'une région spécifique, à l'exception de Moscou, où une solution différente est en vigueur (voir ci-dessus). Sans les décisions pertinentes des autorités régionales, la demande du ministère des Télécoms et des Communications de masse n'est pas obligatoire. La première région où cette solution sera utilisée sera la région de Moscou - le gouverneur Andrei Vorobyov l'a annoncé dans la soirée du 12 avril.

L'État protégera-t-il les données personnelles ?

Commentaire du spécialiste de la sécurité de l'information Ivan Begtin

L'approche européenne en essayant de tenir compte des exigences légales en matière de protection des données est généralement correcte. L'UE accorde plus d'attention et de ressources à ces questions qu'en Russie. Mais il faut comprendre que personne n'est à l'abri du problème des fuites de données, principalement dues au facteur humain. Il y a déjà eu des précédents, par exemple, des fuites de données sur les électeurs en Turquie, des cas avec des entreprises privées. Maintenant, lorsque des systèmes sont créés à la volée, je n'exclurais pas une telle possibilité. Avec les données de "Gosuslug", cela ne s'est pas encore produit, mais peut-être que tout a son heure.

Les raisons peuvent varier. Disons le manque de sécurité d'une base de données accessible à distance. Les pirates ou les spécialistes de la sécurité peuvent détecter cela et obtenir toutes les informations. Il existe des services spéciaux Censys et Shodan qui sont utilisés pour rechercher de telles vulnérabilités techniques.

Une autre option est lorsque les données sont utilisées à mauvais escient avec une intention directe. C'est-à-dire que les personnes qui ont accès aux bases de données l'utilisent pour extraire des avantages.

Il est logique de surveiller différents services pour les personnes "percées". En Russie, par exemple, il existe environ cinq de ces services qui proposent un service de contrôle des personnes

C'est-à-dire qu'il n'est pas nécessaire que toute la base de données soit fusionnée, mais les personnes qui y ont accès à distance peuvent « couper » des personnes et vendre ces informations. Cela peut être fait par des fonctionnaires, des entrepreneurs qui ont participé à la création de ces systèmes. C'est-à-dire les personnes qui y ont accès. En Russie, c'est assez courant: si vous recherchez sur Internet des services de "coup de poing", vous pouvez en trouver beaucoup. Il s'agit souvent de données du ministère de l'Intérieur, de la police de la circulation, du Service fédéral des migrations et d'autres organisations gouvernementales.

Les craintes que l'État maintienne l'infrastructure de contrôle sur les citoyens ne sont pas infondées. En principe, tous ceux qui collectent des données ne veulent pas s'en séparer. Il en va de même avec les réseaux sociaux: si vous y arrivez, alors, très probablement, des informations vous concernant y resteront, même si vous avez supprimé votre compte. Les services publics ont un très large intérêt à collecter des données sur les citoyens et profiteront de la situation actuelle. Dans le même temps, ils s'engagent, y compris sous la pression des organismes publics, à supprimer publiquement les données après la fin de la pandémie. Mais tout de même, la motivation pour préserver cette infrastructure est très forte de la part des agences gouvernementales.

Pourquoi cela arrive-t-il?

Pour assurer le contrôle de la propagation de l'épidémie, les agences gouvernementales de différents pays agissent de manière similaire: elles élargissent leurs outils pour suivre les déplacements et les contacts des citoyens. Ces mesures supplémentaires vont au-delà de ce qui est considéré comme acceptable en temps ordinaire, mais ces actions des gouvernements ont rencontré peu de résistance de la part des citoyens. Cela peut s'expliquer par le concept de sécurisation des politiques.

La titrisation est un terme inventé à l'origine par la Copenhagen School of Security Studies Barry Buzan, Ole Wever et Jaap de Wilde. Dans un livre de 1998, ils définissent la titrisation comme « une action qui sort la politique des règles du jeu établies et présente la question comme quelque chose au-dessus de la politique ». La sécurisation commence avec un acteur (par exemple, un leader politique, un gouvernement) utilisant des termes liés à la sécurité, à la menace, à la guerre, etc., dans le discours ordinaire, et le public accepte cette interprétation. Le succès d'une titrisation se compose de trois éléments:

l'utilisation de la « grammaire sécuritaire » lors de la présentation d'une question - c'est-à-dire au niveau de la langue, la présenter comme une menace existentielle (dans le cas d'une épidémie de coronavirus, il s'agit par exemple d'utiliser un vocabulaire militarisé et de comparer la lutte contre le seul rang avec les procès historiques du pays);

l'acteur a une autorité importante pour que le public perçoive son interprétation et son « intrusion dans le discours » (dirigeants du pays, professionnels de la santé, OMS);

le lien de la menace actuelle avec quelque chose du passé qui a réellement posé une telle menace (l'expérience d'épidémies antérieures, y compris historiques, par exemple la peste en Europe, contribue à la perception en tant que telle de l'épidémie actuelle).

L'attention mondiale portée au problème du coronavirus sert également d'exemple de sécurisation: les sondages en Russie et dans d'autres pays montrent une augmentation des craintes concernant l'épidémie.

Les sociétés acceptent l'interprétation des acteurs de la titrisation, légitimant ainsi une dérogation aux règles habituelles pour lutter contre la menace, y compris l'introduction de contrôles numériques spéciaux qui violent généralement nos droits à la vie privée

Du point de vue de la gestion de crise, la titrisation présente des avantages évidents. L'introduction de mesures d'urgence peut accélérer la prise de décision et la mise en œuvre et réduire les risques posés par la menace. Cependant, le processus de sécurisation est associé à des conséquences négatives à la fois pour le système d'administration publique et pour l'ensemble de la société.

Premièrement, l'introduction de nouvelles mesures d'urgence réduit la responsabilité des autorités. Pendant une crise, les instruments de contrôle civil, y compris sur les nouvelles mesures de sécurité, peuvent être limités ou tout simplement pas encore construits. Le manque de responsabilité augmente la probabilité à la fois d'erreurs accidentelles et d'abus délibérés de la part des agents de la base. Un exemple en est les violations commises par des agents du renseignement américain, qui sont connues grâce à la fuite organisée par Edward Snowden. À l'aide d'outils de contrôle numérique qui leur sont tombés entre les mains, un certain nombre d'employés de la NSA les ont utilisés pour espionner leurs conjoints ou leurs amants. De plus, au cours de la même période, le FBI a abusé de l'accès aux données de la NSA concernant les citoyens américains, dans de nombreux cas sans justification légale suffisante.

Deuxièmement, la titrisation de toute émission comporte le risque que certaines des mesures mises en place en urgence ne soient pas annulées immédiatement après la fin de la période de crise et la normalisation de la situation

Un exemple en est le Patriot Act, adopté aux États-Unis en octobre 2001 après les attentats du 11 septembre, qui a élargi la capacité du gouvernement à espionner les citoyens. Les délais d'action de nombreuses dispositions de la loi étaient censés expirer à partir de la fin de 2005, mais en réalité ils ont été prolongés à plusieurs reprises - et la loi avec les amendements a survécu jusqu'à ce jour.