🔯DPI et confidentialité / sécurité
Question : La DPI réduit-elle la confidentialité des données personnelles, augmente-t-elle les risques pour la sécurité ou nuit-elle à la sécurité publique en augmentant la capacité de surveillance ?
Réponse courte : : Une DPI bien conçue améliore en réalité le contrôle que vous exercez sur vos propres données, est minimaliste dans la collecte des données (suffisante pour l'accès aux services, rien de plus !), opte pour la fédération plutôt que pour la centralisation des données, et intègre dès sa conception des caractéristiques de sécurité et de protection de la vie privée (telles que la tokenisation, la suppression automatique des données, des registres vérifiables et infalsifiables de l'accès aux données et de l'utilisation de celles-ci, etc. Les systèmes d'identification nationaux qui réussissent à s'adapter, par exemple, ont un ensemble minimaliste de champs de données, de sorte que le risque de perte de la privacité, même en cas de violation des données, est faible - à l'inverse, l'internet a des millions de points de données sur n'importe quel individu et beaucoup moins de garanties (à la fois techniques et morales) pour les protéger.
Réponse longue : L'infrastructure numérique publique permet de mettre en place des solutions à grande échelle, qui s'adressent à des populations diverses dont les capacités et les ressources varient, et ce de manière équitable. Cette échelle et cet impact ne peuvent être atteints qu'en institutionnalisant le minimalisme des données, la confidentialité et la sécurité, ainsi que la confiance du public dans les systèmes (car la DPI n'évolue qu'avec l'adoption publique et privée, qui nécessite la confiance).
Par exemple, les caractéristiques du système national d'identification (numérique) d'un pays qui préservent la vie privée et la confiance devraient comprendre les éléments suivants :
Minimalisme dans la collecte des données - Moins il y a de données collectées, moins il y a de risque de création d'un point de concentration (honeypot).
Éviter le tracking - pas de collecte d'informations sur le lieu ou l'objectif dans le cadre de l'authentification de l'identité/eKYC
Création d'un identifiant virtuel ou d'un token comme alias fongible de l'identifiant permanent afin d'éviter de fournir le numéro d'identifiant réel pour les services.
Authentification effectuée avec le consentement de l'utilisateur (via un mot de passe à usage unique ou des données biométriques).
Audits d'utilisation qui sont supprimés automatiquement et de manière permanente au bout d'un certain nombre de mois.
Cryptage de bout en bout pour les données au repos et les niveaux de transport des données.
Possibilité pour les résidents de verrouiller leur identifiant et/ou leurs données biométriques, ce qui désactive l'authentification.
Tokens uniques différents pour chaque système, éliminant la possibilité de fusionner les bases de données
Authentification multifactorielle pour les transactions de grande valeur
Des mesures de cybersécurité avancées pour la sécurité des bases de données, y compris des tests périodiques de piratage éthique.
Les caractéristiques d'un système interopérable de partage des données visant à renforcer la confidentialité et la sécurité pourraient être les suivantes :
Éviter la centralisation des données pour prévenir les honeypots (points de concentration) - laisser les données là où elles ont été collectées, et élaborer des protocoles pour le partage en temps réel d'une manière fédérée.
Introduire la possibilité d'interroger les bases de données pour obtenir une réponse par oui ou par non en fonction d'un critère ou d'une question, sans toujours demander les données brutes à des fins d'analyse.
Introduire un artefact de consentement détaillé et granulaire (spécifique à l'objectif et aux données) (signé numériquement pour plus de sécurité) requis de la part de l'individu pour le partage des données.
Permettre que le consentement soit géré par une tierce partie aveugle aux données qui agit au nom des personnes (et non des fournisseurs ou des utilisateurs d'informations) afin de s'assurer qu'un acteur dont les motivations sont alignées sur celles de la personne lui présente une demande de consentement (plutôt qu'un utilisateur ou un fournisseur de données).
Une période de temps prédéfinie pour l'accès aux données - le consentement pouvant être révoqué à tout moment par l'individu.
Des capacités d'authentification multifactorielle et multimodale pour l'accès au système
Par exemple, PIX, au Brésil, a donné la priorité à la sécurité dans son système de paiement en combinant des technologies et des mesures réglementaires : Il utilise des protocoles de cryptage, une authentification à deux facteurs pour vérifier l'identité des utilisateurs et des transactions signées numériquement, avec la possibilité d'annuler le paiement dans un certain délai. Le réseau financier lui-même n'est pas connecté à l'internet, et seuls des participants restreints peuvent accéder directement à la base de données. En outre, la Banque centrale du Brésil exerce une surveillance réglementaire qui garantit le respect des normes de sécurité financière et favorise la confiance des utilisateurs dans le système.
Un autre exemple est celui d'Aadhaar, le système d'identification indien qui ne collecte que quatre champs minimaux et constants d'un individu : nom, date de naissance, adresse et sexe. Cela signifie que les données sont toujours fiables. Que se passerait-il si l'on recueillait 10 champs, dont la profession, le revenu, les membres de la famille, etc. Ces informations pourraient changer d'une année à l'autre, ce qui rendrait les données redondantes. La collecte et le stockage de ces informations rendraient également les systèmes volumineux et inefficaces, ce qui affecterait la vitesse et la précision de tous les systèmes qui les utilisent (comme les banques qui utilisent les données d'identification pour l'eKYC).
Si la confidentialité des données n'était pas garantie et si les informations personnelles pouvaient être partagées librement entre les services - par exemple, si le système de paiement pouvait envoyer des informations sur vos transactions aux autorités fiscales qui se présenteraient ensuite à votre porte -, y aurait-il quelqu'un qui adhérerait à ces solutions ? Probablement pas ! Et la DPI ne serait jamais en mesure de s'étendre ou de se maintenir.
L'adoption généralisée et la viabilité à long terme de systèmes essentiels tels que les identités vérifiables, les paiements interopérables, les réseaux de règlement des demandes de soins de santé, les identifiants scolaires, la mobilité et les réseaux commerciaux à l'échelle mondiale témoignent de la robustesse du minimalisme, du caractère privé et de la sécurité des DPI.
Bien que tous les systèmes techniques présentent des vulnérabilités, une DPI bien conçue permet d'anticiper les attaques potentielles et de s'y préparer. . En cas de fuite d'informations provenant d'un système minimaliste - contenant des informations déjà plus ou moins publiques telles que votre nom, votre date de naissance, votre sexe, etc. - vous avez beaucoup moins à perdre qu'en cas de fuite de grands systèmes comprenant votre historique Internet, vos empreintes sur les médias sociaux, vos comptes de messagerie, etc. qui ont des répercussions plus graves. La crainte d'une fuite de nos données sur Internet ne nous empêche pas d'utiliser Internet. De même, la crainte d'une fuite des systèmes de DPI ne devrait jamais être un obstacle à la mise en œuvre de mesures bénéfiques à grande échelle. Nous devons simplement construire des systèmes résilients et sûrs, capables de résister à l'épreuve du temps.
Il existe de multiples façons de garantir le minimalisme des données, la sécurité et la protection de la vie privée, comme celles décrites ci-dessus. Des mesures de protection similaires peuvent être mises en place à l'aide d'une approche technico-juridique pour toutes les solutions construites dans le cadre de l'approche DPI. Ces mesures peuvent consolider les systèmes afin de réduire la probabilité qu'un acteur malveillant puisse les utiliser pour renforcer la surveillance ou causer des dommages intentionnels.
Last updated