Explications : Pour l’opacité de leur politique en matière de protection des données personnelles
En décembre 2003 s’est tenu à Genève le Sommet mondial de la société de l’information (SMSI), organisé à l’initiative de l’Union internationale des télécoms (UIT), une agence de l’ONU. Trois chercheurs en sécurité présents à ce sommet ont révélé que les badges remis aux participants contenaient, à leur insu, des puces RFID (radio frequency identification). Ces puces sont capables de recueillir, par fréquences radio, et d’enregistrer diverses données. Placées sur des badges, elles relèvent automatiquement les horaires, les points de passages, etc., des personnes qui les portent.
Ces faits sont d’autant plus impardonnables que :
1. la loi suisse oblige à informer les personnes lorsque leurs faits et gestes sont surveillés et que des données les concernant sont enregistrées ;
2. l’UIT, en charge de la gestion des badges et des bases de données, est une organisation intergouvernementale experte en la matière, qui devrait connaître et prévenir les dérapages potentiels ;
3. ce sommet onusien était, pour la première fois, ouvert à la société civile, laquelle compte de nombreuses personnes et associations en conflits avec leurs autorités nationales. La non-protection des données personnelles peut, en ce cas, avoir des conséquences graves, voire mortelles pour les ressortissants de dictatures ou de pays où les libertés fondamentales n’ont pas droit de cité.
"Politis", notamment, a relaté l’affaire (1) :
"Des "PeRFIDes" - des puces dites RFID (Radio frequency identification) permettant de tracer le déplacement des objets ou des personnes - ont été inclues dans les badges d’accès au Sommet mondial de la société de l’information (SMSI). A l’insu des congressistes. L’information a été dévoilée pendant le Sommet par trois chercheurs en sécurité qui ont étudié leurs propres badges. Format carte de crédit, ils portent le nom du participant et une photo numérisée, prise lors de son enregistrement par une petite caméra. Selon Stephane Koch, l’un des chercheurs, le haut niveau de sécurité promis n’y est pas -on pouvait facilement s’inscrire sous une fausse idendité et les photos, ne portant pas de marquage hologramme, sont changeables. Plus grave, l’UIT (Union internationale des télécoms), commanditaire pour le sommet des PeRFIDes auprès de la société Sport Access, aurait dû avertir les gens qu’ils se balladaient avec une puce moucharde autour du cou. La loi suisse les y oblige.
"Rappelons brièvement que la « PeRFIDe » contient un numéro identifiant unique, radio-transmis automatiquement à tout lecteur RFID situé dans un rayon de 10 cm à 2 mètres. « Les lecteurs n’étaient placés qu’aux points d’entrée, précise M. Fowlie, directeur de communication de l’UIT, et actif sur deux centimètres. Il n’y a pas eu de tracking », insiste-t-il. M. Escudero-Pascual, chercheur, ne semble pas de cet avis. Sur l’écran du lecteur, il affirme avoir vu : son nom, sa photo, sa fonction, son organisation, les heures de ses passages aux entrée/sorties et dans les salles de conférences.
"Selon lui, si ces données sont enrigistrées dans une base de données centrale, « le système peut potentiellement analyser tous les déplacements des participants, détecter leur présence à une session particulière, avec qui ils arrivent ou discutent, etc. » Et, rajoute M. Koch, établir une cartographie complète des associations présentes.
"L’UIT de son côté affirme que les données étaient effacées chaque jour et que seule la base de données des participants a été conservée et sera transmise à Tunis. Ce qui pose malgré tout questions. Il est indispensable, dit M. Koch, que l’UIT ait une politique d’utilisation des données personnelles clairement énoncée. Surtout lorsqu’il s’agit de données « sensibles ». Beaucoup concernent des associations et des organisations en conflit avec leurs gouvernements et nul ne peut jurer que les autorités tunisiennes ne vont pas s’en servir à des fins très peu démocratiques."