- L’assurance des autorités pour un traitement local se confronte à une ligne de code établissant une possibilité d’envoi externe
- Les Privacy Policies des compagnies de téléphonie demeurent floues à cet effet
- Pressions accentuées sur les abonnés en vue de la date butoir de déconnexion du 30 avril
Des recoupements d’informations indiquent que les services de sociétés étrangères ont été retenus pour vérifier les informations personnelles des citoyens mauriciens avec le réenregistrement des cartes SIM. Ces données comprennent des selfies pris sous différents angles, pour confirmer les traits biométriques de l’utilisateur. Une étape appelée Liveness Test, consistant à se photographier de face, de profil, en souriant et en clignant des yeux. Laquelle est couplée à la soumission de clichés de la carte d’identité nationale (recto et verso).
Un abonné peut soumettre lesdites photographies de sa personne sur les applications des compagnies de téléphonie mobile mauriciennes, téléchargeables sur App Store ou Play Store. Une fois captés, les clichés du visage de l’identifiant doivent être vérifiés. Cela, afin de confirmer qu’ils correspondent à l’individu concerné et notamment établir qu’il s’agit d’un humain. Une technologie d’identification faciale est requise à cette étape. Cette technologie a été développée par des sociétés étrangères spécialisées en biométrie, qui ont été approchées par les entités mauriciennes.
Regula Forensics et ML Kit
Telecom App, l’application de Mauritius Telecom, traite des données personnelles des Mauriciens grâce à l’appui de Regula Forensics (voir encart). Spécialisée en biométrie et en identification, Regula Forensics compte des serveurs basés à l’étranger. Mauritius Telecom a recours à ces services dans le cadre de la vérification des photographies. Les données des citoyens mauriciens atterrissent donc sur le système bénéficiant de l’expertise de Regula Forensics.
Du côté d’Emtel et de son application MO Emtel, ML Kit (Mobile Marchine Learning Kit) a notamment été retenu pour examiner les informations personnelles et confidentielles des Mauriciens. Emtel reconnaît, à cet effet, que ce logiciel est « une des solutions possibles » utilisées par les opérateurs. ML Kit est un service offert par le géant américain Google, permettant notamment la reconnaissance faciale. Différents points sont identifiés sur les visages photographiés, avec comparaison et vérification des clichés.
Pourquoi faire appel à des sociétés étrangères pour analyser des données des citoyens mauriciens ? À cette question, des employés de compagnies de téléphonie mobile – qui souhaitent garder l’anonymat – restent perplexes. D’une part est mise de l’avant la contrainte de temps, car cela demande du temps pour développer localement et installer des systèmes de reconnaissance faciale.
D’autre part, dans les coulisses de Mauritius Telecom, compagnie semi-étatique, l’expertise et la technologie de vérification des photos pourraient avoir été absentes. Avec l’empressement des autorités en vue de compléter le réenregistrement des cartes SIM à la fin de ce mois, une solution express pourrait avoir été trouvée : solliciter le savoir-faire étranger.
Au sein d’Emtel, compagnie de téléphonie privée, aucune technologie ou département n’aurait été mis en place auparavant en interne pour vérifier les selfies. Il ne serait donc pas étonnant pour les employés que des sociétés étrangères aient été approchées afin de concrétiser cette phase de vérification.
La contestation légale du réenregistrement est prévue d’être prise sur le fond en Cour suprême à compter de la semaine prochaine devant la cheffe juge, Rehana Mungly-Gulbul. Malgré ce palier primordial pour l’avenir de cet exercice, des pressions sont exercées par les autorités régulatrices afin de « enforce » l’ordre transmis par l’ICTA.
En fin de semaine, les banques commerciales et autres compagnies de crédit-bail sont montées au créneau pour faire pression sur leurs clientèles respectives pour le réenregistrement, outil présenté par l’Hôtel du Gouvernement comme primordial dans la lutte contre les trafiquants de drogue.
Troublantes lignes de code
Des recherches ont mené vers de troublantes lignes de code qui semblent indiquer qu’une compagnie de téléphonie mobile redirigerait directement certaines données des Mauriciens à l’étranger, dans le processus de vérification, le Liveness Test. Des informaticiens, mis en présence de ce code, soutiennent également la thèse d’envoi à l’extérieur du territoire. Par contre, les compagnies de téléphonie affirment que la totalité des données est stockée dans leurs locaux.
MT : « Regula Forensics utilisée uniquement pour le Liveness Check »
Réagissant aux interrogations de Le-Mauricien au sujet du recours des services de Regula Forensics, Mauritius Telecom avance que « pour la Telecom App, Mauritius Telecom a choisi les meilleures ressources et les fournisseurs de service qui pourront fournir une expérience meilleure et sécurisée à ses clients. Regula Forensics est utilisée uniquement pour le Liveness Check sur l’application Telecom App, et toutes les photos sont stockées en local », tente de rassurer Mauritius Telecom dans un courriel, en précisant que « le Liveness Check pour le réenregistrement des cartes SIM n’est pas effectué par Regula Forensics ».
Telecom App a été lancée en août 2023 et offre divers services. « L’exercice de réenregistrement de carte SIM se fait à travers le site myt.mu/sim. Afin de simplifier la vie de nos clients, nous avons aussi intégré un lien directement de l’application Telecom App. »
Emtel Ltd : « The ML kit is one of the possible solutions that operators use »
Au sujet des services de ML Kit, Emtel indique avoir développé deux applications, Genie App (utilisée par les agents) et MoEmtel (utilisée par les clients), opérationnelles depuis la mise en application de The Sim Regulations 2023.
Emtel ajoute que « the photo of the user of the sim card needs to be captured, in accordance with the Regulations, which further stipulates for a liveness check in addition to performing an image check of the person’s photo against the picture from their Identity Card or the passport photo in case of non-citizenship. This is to ensure the authenticity of the ID provided. The ML kit is one of the possible solutions that operators use for such activities. »
Emtel réitère néanmoins que : « all data collected by Emtel are securely stored on Emtel servers, found in its data centre, certified as Tier 3 TIA942 and ISO27001 and are not transmitted to any third party. (…) All operators have designed and implemented their own applications/systems for the registration and re-registration process. Emtel does not use any software/equipment from either the ICTA or the Government. »
L’assurance des autorités
Interrogées au sujet de Regula Forensics et ML Kit, les autorités régulatrices se disaient, en premier lieu, ignorantes que leurs services avaient été sollicités par les compagnies de téléphonie mobile. Après quelques minutes de vérification, les autorités ont confirmé que les services des deux compagnies étrangères ont bel et bien été retenus.
Leurs Softwares auraient été installés « localement » en vue de comparer les selfies. Les données des citoyens mauriciens sont aussi stockées localement. Pour ce qui est d’autres précisions à cet effet, les autorités revoient la balle directement aux compagnies de téléphonie mobile.
Flou autour du partage des données
La question de partage de données auprès de tierces parties étrangères semble trouble. Les abonnés sont-ils informés que leurs photographies transitent vers des logiciels développés par des compagnies étrangères ? Une interrogation qui peut susciter des remous, notamment au chapitre des dispositions de la Data Protection Act.
Sur Play Store, les conditions imposent aux applications de déclarer si les données sont partagées à des tierces parties. Telecom App convient sur cette plateforme que « this app does not share user data with other compagnies or organisations ». De plus, la Privacy Policy et les Terms of Use datent, eux, d’août 2023, soit avant le démarrage du processus de réenregistrement d’octobre.
De son côté, Emtel utilise les services offerts par Google, détenteur de Play Store. Un aspect qui ne semble pas à cet effet cocher la case de « third parties ». Par contre, sur l’App Store, MO Emtel stipule ne collecter les données que dans des cas bien précis, non reliés à l’identité de l’utilisateur.
Presion lor presion
Des réunions diverses sont tenues avec des employés des compagnies de téléphonie mobile en vue d’orchestrer des opérations auprès des abonnés, particulièrement des sociétés mauriciennes. Ainsi, les directions imposent à leurs promoteurs de se rendre dans des entreprises pour diriger les travailleurs à réenregistrer leurs cartes SIM. Un souci majeur survient au niveau des téléphones mobiles utilisés par plusieurs employés : qui prendra la responsabilité de ladite ligne ?
La pression sur les compagnies de téléphonie est également d’ordre économique. Si leurs utilisateurs ne se font pas réenregistrer pas dans le délai imposé par l’ICTA, ces sociétés perdraient leurs abonnés. Ce qui causera un impact conséquent sur leurs chiffres d’affaires. D’où l’urgence des directions en vue de toucher le maximum de leurs utilisateurs avant le 30 avril.
Des courriels sont également échangés au sein de corps privés et publics pour encourager les employés au réenregistrement. C’est le cas notamment d’une banque privée majeure, qui encourage ses employés à se réenregistrer. Cette pression a également été imposée à leurs clients.
À propos des sociétés étrangères
Regula Forensics a été établie en 1992 par deux ingénieurs exerçant dans le domaine de la Forensic Science. La compagnie compte neuf bureaux à travers le monde, notamment aux États-Unis, aux Émirats arabes unis, en Allemagne, en Nouvelle-Zélande, au Brésil et en Lettonie. Regula Forensics offre une garantie de sécurité quant aux données récoltées et un accès contrôlé à des parties.
ML Kit est un outil de Google. Il permet de scanner les codes-barres, de détecter des textes ou des objets, et compte également la reconnaissance faciale, entre autres.
Intérêt moindre des Mauriciens
L’Information Communication Technologies Authority (ICTA), organe sous le Prime Minister’s Office (PMO), responsable du réenregistrement, indiquait mardi que plus de 950 000 cartes SIM avaient été réenregistrées. Cependant, les Mauriciens affichent un manque d’intérêt pour cet exercice, nous confient des techniciens de compagnie de téléphonie mobile. Au sein de l’une d’elles, moins de 80 000 cartes SIM auraient été réenregistrées en début de semaine.
Des réunions ont récemment dû être tenues en interne en vue de motiver les troupes à approcher les abonnés. Parmi les utilisateurs, l’intérêt de ce réenregistrement et du partage de leurs données est questionné. La position de la Cour suprême est également attendue avant toute décision.
La faille du réenregistrement
Le Premier ministre l’a indiqué au Parlement : l’exercice de réenregistrement des cartes SIM, avec l’inclusion de données personnelles, répond aux recommandations de la Commission d’enquête sur la drogue. Recommandation faite, car il avait été constaté que des cartes SIM de touristes et de travailleurs étrangers finissaient auprès de trafiquants de drogue en prison.
Au Parlement, Fabrice David du parti Travailliste, avait demandé pourquoi le réenregistrement avait été étendu à toute la population. Il avait également relevé une importante faille : que faire si les trafiquants, pour contourner le nouveau cadre réglementaire, utilisent de cartes SIM étrangères et communiquent à travers des applications Internet, telles que WhatsApp ? « Il est vrai que quelqu’un peut utiliser des cartes SIM étrangères », avait concédé le Premier ministre, admettant qu’il s’agit d’un Loophole .
Ce qu’avait dit le PM en 2023 au sujet des données
Mr Doolub : Can the Prime Minister provide assurances with regard to the security of personal data of those 2.4 million subscribers?
The PM : I am informed that personal data of subscribers are and will continue to be collected and stored by the mobile telephone operators in conformity with the Data Protection Act. The ICTA does not and will not have access to those personal data. The ICTA will act only as a technical interface between the mobile telephone operators and the databases of the Civil Status Division and the Passport and Immigration Office.
I am also informed that the connections of the online verification system between the different stakeholders, namely the Civil Service Division, the PIO, the ICTA and the mobile operators will be secured and the information exchanged will be encrypted. And it is important that I highlight once more that there will be no database at the ICTA and, therefore, there will be no possibility for personal information to be retrieved at that level for any use whatsoever.