ID CARD : La sécurité au coeur des craintes !

Une première étape décisive dans la mise à exécution du projet de la Biometric Identity Card sera franchie dans les prochains jours. D’abord, la date butoir du 15 septembre en vue de permettre à tout Mauricien, âgé de 18 ans et plus, de soumettre une demande pour l’obtention de la nouvelle pièce d’identité. Ensuite, la conclusion du procès sur une deuxième demande d’injonction de la Cour suprême contre le Mauritius National Identity Card Scheme (MNICS) au sujet de l’obligation de chaque adulte de soumettre ses empreintes digitales. Puis, la dernière décision en date du Conseil des ministres de vendredi confi rmant l’adhésion de Maurice à la Convention 108 du Conseil européen sur l’Automatic Processing of Personal Data.
À ce week-end, aucune indication de la part des autorités quant à une extension de la lease of life de l’actuelle carte d’identité nationale. Passé le mardi 30 septembre, la validité de ce document sera entamée avec l’entrée en vigueur de la nouvelle Biometric ID Card. C’est le message transmis par Project Manager du MNICS, Rao Rama, en Cour suprême au cours de la semaine écoulée.
Une demande pour le prolongement de la période de la validité jusqu’à décembre prochain de l’actuelle carte d’identité n’a pas encore eu de suite. Le collectif anti-Biometric Card, animé par Lalit et des syndicats, justifi ant cette demande, rappelle qu’il y a une troisième injonction contre les empreintes digitales de la carte d’identité, logée au nom de Me Nilkant Dulloo, qui n’a même pas encore été fixée.
De ce fait, par respect pour une institution constitutionnelle comme la Cour suprême, qui a été saisie par des citoyens en quête de protection de leurs droits fondamentaux sous menaces, les autorités pourraient être appelées à revoir le calendrier d’introduction de la Biometric ID Card. Un report jusqu’à la fi n de cette année est présenté comme étant logique car, entre-temps, il faudra s’attendre à voir la Cour suprême rendre les jugements dans la demande d’injonction au nom du leader du MSM, Pravind Jugnauth, et dans l’autre procès du Dr Madhewoo, qui prendra fi n cette semaine avec la soumission des written submissions.
Néanmoins, les jugements prévus pourraient ne pas représenter le point fi nal à un processus enclenché depuis juillet de l’année dernière car l’option du recours au Judicial Committee of the Privy Council est entretenue par n’importe laquelle des parties, qui pourrait se sentir lésée. Mais la question qui se posera est de savoir si le jugement de la Cour sera suspensif ou non, le temps que dureront les procédures d’appel devant ces instances judiciaires à Londres.
Appréhensions
Dans le camp des anti-Biometric ID Card, la bataille pour protéger les droits des individus est loin d’être terminée avec les jugements. Rezistans ek Alternativ, qui fait partie d’une autre plateforme de contestation, se prépare à lancer une offensive pour veiller que la nouvelle carte d’identité ne soit pas transformée en un « passe-partout pour les bénéfi ces sous le Welfare State » (voir détails plus loin).
Par ailleurs, la décision du gouvernement visant à adhérer à la Convention 108 du Conseil européen sur l’Automatic Processing of Personal Data, lors des délibérations du Cabinet of Minsters de vendredi, est venue remettre en perspective les appréhensions au sujet de la sécurité et de l’utilisation des données biométriques. Cette convention en vigueur au sein de l’Union européenne depuis le 28 janvier 1981 a pour objectif principal de protéger les données personnelles traitées automatiquement contre toute atteinte à la vie privée et à la mauvaise utilisation des informations personnelles.
La Convention 108 de l’Union européenne stipule également que des « mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle ; ainsi que contre l’accès, la modifi cation ou la diffusion non autorisée ».
« Le simple fait de vouloir être partie prenante de cette convention européenne démontre que les risques potentiels de détournement des informations personnelles encryptées sur la Biometric ID Card existent bel et bien. Nous allons étudier les conséquences et les provisions de la Convention 108 du Conseil européen pour faire la démonstration que les autorités mauriciennes se sont égarées sur le plan des libertés individuelles en voulant imposer les empreintes digitales pour la nouvelle carte d’identité. Il n’est pas trop tard pour le gouvernement de rectifi er fondamentalement le tir », précise-ton dans le camp des anti-Biometric ID Card.
Droits fondamentaux
Le respect des droits fondamentaux de l’individu est l’un des points cardinaux sur lequel la Cour suprême sera appelée à se prononcer et à trancher dans le cadre des demandes d’injonction contre le MNCIS. Outre les directives de la Cour européenne remettant en cause le stockage des empreintes digitales dans l’affaire Marper, qui remonte à 2008, une récente opinion émise par le Directorate General of Human Rights and Rule of Law de l’Union européenne sous les dispositions selon la Convention 108 est venue se greffer à l’équation des libertés et des Droits de l’Homme.
Mettant en garde contre les risques de détournement des informations et des données des individus sous l’Automatic Processing of Personal Data (T-PD), ce directoire de l’Union européenne souligne de manière catégorique l’importance du respect des Droits de l’Homme pour éviter toute dérive totalitaire. « Automatic data exchanges must not under any circumstances weaken the rules governing the protection of personal data, as enshrined in the European Convention on Human Rights and the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. The T-PD therefore believes that it is vital that specifi c safeguards are adopted so as to ensure full respect for individuals’ fundamental rights when the relevant state policies are implemented », note ce document offi ciel en date du 4 juin dernier.
Plus loin, le comité consultatif de l’Union européenne sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel met accent sur le fait que « automated processing ( ) should rely on a clear legal basis, foreseeable, and should be necessary to achieve the public interest pursued, as provided for by Article 8 of the European Convention on Human Rights and its interpretation by the European Court of Human Rights’ in its case law, while the competent authorities should determine which legal instrument they are taking as their basis for the processing ».
Avec de telles directives, l’enjeu est de taille pour la partie mauricienne. Le respect des droits fondamentaux des individus, sur la base du raisonnement développé au sein des instances compétentes de l’Union européenne, s’avère être la planche de salut des conseils légaux, que ce soit dans le cas de Pravind Jugnauth ou du Dr Madhewoo. C’est ce que laisse entendre l’entourage de ceux concernés. D’ailleurs, lors de sa déposition devant le Full Bench de la Cour suprême, composé du Senior Puisne Judge Eddy Balancy et des juges Asraf Caunhye et Ah Fouye Chui Yew Cheong, Nithin Sookun, System Engineer et Expert Witness du Dr Madhewoo, s’est appesanti sur les principales lacunes en matière de sécurité dans le stockage informatique des données biométriques sous le MNICS.
Usurpation d’identité
L’ingénieur-informaticien devait faire état en Cour des accès non autorisés de dossiers sur le site web de la Tourism Authority et des démarches entreprises auprès du Data Protection Offi ce pour que ces données confi dentielles soient préservées. « I got the fi rst fi le which I made a complaint to the Data Protection Offi ce, which contained 9 000 people’s names, addresses and phone numbers. At the same time, I got another file, this time it was 600 beach hawkers details phone numbers. The same kind of details as in the first fi le », a-t-il déclaré tout en soulignant les risques que ces informations de nature personnelle et confi dentielle ne tombent entre les mains d’escrocs patentés capables de s’engager dans des cas d’usurpation d’identité.
Nithin Sookun a dénoncé un autre manquement extrêmement grave dans la mesure où « the gov. mu is not managed by government offi cials or a government body but by a private company ». « The danger is vast because fi rst of all DNS security extension tools are not installed so this makes it very, very, very easy for any cyber criminal to spur the vulnerabilities », fait-il comprendre en rappelant que tout cybercriminel pourra facilement « clone the website of government » avec des conséquences extrêmement graves dans le respect de la vie privée des individus.
Poursuivant son voyage dans les dédales informatiques, l’Expert Witness a reconnu que la Biometric ID Card ne contient pas de Global Positioning System (GPS) mais attire l’attention sur les dangers découlant d’accès interdits à des données vu que les informations sont transmises des centres de conversion vers le centre nerveux du projet à Ébène par la fi lière normale de transmission informatique de Mauritius Telecom, même si c’est par fi bre optique. Cette dernière remarque remet toute la problématique de la sécurité et du respect des libertés fondamentales au coeur de l’équation de la Biometric ID Card.