FLASH INFORMATIQUE FI



Vers une société sous surveillance ?




Jean-Philippe WALTER


La problématique du nouveau numéro AVS


À l’instar de l’ensemble des États de la planète terre, la Suisse se voit aussi confrontée à de nombreux défis qui ont pour nom : globalisation, restrictions budgétaires nécessitant des mesures de rationalisation et d’économie, maîtrise des coûts de la santé, lutte contre la criminalité ou sentiment croissant d’insécurité, etc. Le recours aux technologies de l’information et au traitement de données personnelles paraît une réponse adéquate. Un tel recours, même s’il peut être justifié, ne doit pas se faire au détriment de nos droits fondamentaux. Il faut trouver le bon équilibre entre mesures et restrictions. Or la systématisation de la vidéosurveillance, le recours accru à la biométrie, le développement de technologies invasives et intrusives, le traçage des déplacements de personnes et de leurs habitudes de consommation, la conservation des données de trafics de nos communications téléphoniques et électroniques ou de nos transactions commerciales sont des réalités qui tendent à se normaliser et qui peuvent remettre en cause cet équilibre. Ces mesures sont le plus souvent prises sans débat public et sans que les citoyennes et citoyens de ce pays ne s’en émeuvent, pensant à tort qu’ils ne courent aucun danger dès le moment où ils n’ont rien à se reprocher ! Ils ne réalisent ainsi pas que petit à petit et de manière systématique, nos libertés se restreignent au nom de la sécurité et de l’efficacité, mettant en péril le fondement même de notre démocratie.
Pour compléter ce tableau peu réjouissant, la Suisse va se doter d’un nouveau numéro AVS ou numéro d’assuré social. Par rapport à l’actuel numéro AVS qui renferme des données personnelles des assurés (nom de famille, date de naissance, sexe et nationalité), ce nouveau numéro est non parlant, ce qui est préférable en regard des exigences de la protection des données. Toutefois, la révision de la loi sur l’assurance vieillesse qui permet ce changement et l’adoption d’une loi fédérale sur l’harmonisation des registres de personnes ne sont pas anodines. Elles créent les conditions favorables à l’introduction d’un numéro d’identification unique et universel (numéro d’assuré) qui ne sera pas réservé au seul domaine de l’AVS ou des assurances sociales, mais qui pourra être utilisé à d’autres fins administratives. Il pourrait ultérieurement être étendu au secteur privé, par exemple pour faciliter le recouvrement de créance, l’octroi de crédit ou la surveillance de notre consommation médicale. Ce numéro servira en particulier de base à l’harmonisation des registres de personnes et figurera dans les registres du contrôle de l’habitant afin de garantir une identification sans équivoque des individus. Il servira de référence commune dans plusieurs registres de personnes au niveau fédéral, cantonal et communal. L’objectif à atteindre (notamment, rationalisation de l’activité administrative, développement de statistiques basées sur les registres en lieu et place du recensement traditionnel de la population, etc.) est compréhensible. Il est cependant regrettable que cette révolution administrative se fasse au détriment du droit à la protection des données et de la souveraineté de l’individu sur ses propres données. Des modèles permettant d’atteindre les mêmes objectifs et notamment d’améliorer l’efficacité administrative tout en préservant mieux les libertés individuelles existent. Ils n’ont malheureusement pas été pris en considération et n’ont pas fait l’objet d’un examen approfondi. Alors que la Commission nationale de l’informatique et libertés en France (CNIL) a récemment interdit l’extension de l’utilisation du numéro de la sécurité sociale en dehors de la sphère de la santé et de la sphère sociale, nous emboîtons ainsi le pas aux systèmes de pays nordiques qui favorisent l’administration électronique des sujets numérotés (P. Bessard, L’Agefi du 7 juin 2006).
L’introduction d’un numéro d’identification unique et universel est en mesure de faciliter l’accès à de nombreuses données personnelles provenant de différentes sources. Il permet de comparer ces données, de les coupler et de les utiliser pour des finalités différentes ou incompatibles de celles pour lesquelles elles ont été collectées. Il est ainsi possible de mettre en relation des informations qui ont été collectées à des fins spécifiques et qui sont conservées dans des fichiers relatifs à des domaines d’activités de la vie qui n’ont pas forcément de lien entre eux. Ainsi, on ne peut exclure que des données de santé se retrouvent en de fausses mains du fait d’une interconnexion non souhaitable. Comme le rappelle la CNIL dans un avis du 23 février 2006, l’utilisation généralisée d’un identifiant unique dans tous les registres permettrait de tracer les individus dans tous les actes de la vie courante.
Ces potentialités offertes par le nouveau numéro AVS entraînent un risque élevé d’atteinte au droit à la protection des données inscrit à l’article 13 de la Constitution fédérale. Or ce droit implique que tout traitement de données personnelles doit être légitime, proportionné et prévisible. En particulier, seules les données indispensables à atteindre une finalité spécifique et déterminée doivent être collectées et traitées. Il interdit de traiter des données personnelles lorsque cela n’est pas nécessaire.
À l’heure de l’Internet, du développement de l’administration en ligne et d’un recours croissant aux technologies de l’information, les risques de dérapage ne doivent pas être négligés. La protection des données ne peut dès lors se résumer à la seule création de bases légales légitimant le traitement de données personnelles. Le respect des principes de la protection des données (notamment finalité, proportionnalité, exactitude) implique que des mesures techniques et organisationnelles soient mises en place et prises en compte dans le développement des systèmes d’information.
Dans le cas de l’introduction du nouveau numéro d’assuré social et de l’harmonisation des registres des personnes, il ne suffisait pas de prévoir dans la loi l’utilisation d’un numéro non parlant pour garantir le respect de la protection des données [1]. Il était indispensable de prévoir un modèle qui empêchait techniquement des interconnexions et des utilisations de données non autorisées et non nécessaires. Un tel modèle excluait de recourir au numéro d’assuré social comme clé d’accès à d’autres registres. Ce numéro devait ainsi être réservé au secteur des assurances sociales uniquement. L’objectif légitime et non contesté de l’harmonisation des registres, l’amélioration de l’outil statistique ou le développement de l’administration électronique pouvaient être réalisés sans recours au numéro d’assuré social en tant qu’identifiant unique. À l’instar de notre voisin autrichien, il convenait d’étudier la mise en place d’un modèle basé sur des numéros sectoriels et une série de transformations cryptographiques à partir d’un numéro de référence unique attribué à chaque individu. Par ce biais, il eut été par exemple possible à un office de statistique d’avoir accès aux données provenant de différents registres sans connaître l’identité des personnes concernées et de garantir le respect du secret statistique en évitant que les données détenues par la statistique ne soient utilisées pour des mesures ou des décisions individuelles affectant les personnes concernées. En outre, un tel système pouvait être compatible avec le système statistique européen. Appliqué au secteur de la santé, ce modèle permettrait un contrôle des coûts sans nécessairement avoir accès aux données d’identification des patients. L’individu pourrait communiquer avec l’administration en recourant à un pseudonyme lorsque son identification n’est pas indispensable. Un tiers de confiance par exemple pourrait jouer le rôle d’interface entre le patient, les prestataires de soin et les assurances. Ainsi en France, on teste actuellement un dossier électronique du patient avec un numéro identifiant santé spécifique qui identifie le patient concerné et évite les doublons et les risques de collision.
Le Parlement a opté pour un numéro d’assuré social pouvant servir d’identifiant unique. Dans la mise en vigueur, il devra veiller à ce que l’individu ne devienne pas totalement transparent et notamment, comme cela a été relevé par la porte-parole du groupe socialiste lors du débat au Conseil national du 6 juin 2006, doter les autorités de protection des données des moyens suffisants pour exercer leurs tâches d’accompagnement et de surveillance.

[1] Un numéro non parlant redevient parlant dès le moment où il est associé à un nom, notamment s’il figure sur une carte d’assuré



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.