Magazine AMNESTY n° 108, mars 2022

Digitalisation et droits humains

Suivi à la trace

Que ce soit pour nous informer, faciliter nos achats, nos trajets, nos interactions sociales, nous passons beaucoup de temps connecté·e·x·s chaque jour, en produisant une quantité considérable de données personnelles, qui peuvent facilement être exploitées. Récit d’une journée type à l’ère du (presque) tout-digital.

Texte par Jean-Marie Banderet
Illustrations de Samira Oschounig – muellerlutolf.ch

Première salve de mon réveil, aussitôt tue en snoozant. Il est 6 h 45 : la fonction FaceID de mon smartphone a de la peine à reconnaître mon visage. L’image de référence stockée sur le téléphone a déjà quelques années, et je l’avais sans doute prise sous un meilleur jour. Avec le café, premier tour sur le web – qui mêle « grandes » nouvelles internationales, et dernières prouesses culinaires de mes amis. Un rapide coup d’oeil à mes e-mails me notifie que la poste me livrera un colis aujourd’hui. Pas de chance, personne pour le réceptionner. Un clic sur l’application du géant jaune, avec authentification via SwissID, pour faire retenir le paquet. Et avec ce simple geste, deux organisations distinctes gardent une trace de ma connexion.

Sur le chemin de la gare, rue de Berne, trois petits dômes blancs fixés au premier étage de la façade en face d’un fast-food libanais scrutent la rue, jour et nuit. Ces trois caméras sont l’héritage d’un projet pilote mené entre 2014 et 2016 dans le quartier des Pâquis, à Genève, pour endiguer le trafic de stupéfiants, la petite criminalité et les incivilités. Cinq ans plus tard, et malgré un rapport mitigé sur leur efficacité, le porte-parole de la police genevoise Sylvain Guillaume-Gentil confirme que les 29 caméras observent toujours le quartier pour aider à « résoudre des enquêtes et identifier des auteurs de délits ». Comme toutes les grandes gares de Suisse, celle de Cornavin est aussi placée sous l’oeil des caméras : j’en compte trois avant d’arriver sur le quai n° 4.

Un clic sur l’application Mobile CFF pour acheter mon billet pour Berne. Elle contient mon abonnement demi-tarif (SwissPass)… ainsi qu’une quantité de données personnelles (nom, date de naissance, adresses postale et électronique, moyen de paiement, géolocalisation…) que la régie de chemin de fer partage avec ses nombreux partenaires commerciaux (Datatrans, NET-Metrix…) à des fins de contrôle, d’analyse et d’optimisation. La récente fuite de données personnelles en janvier dernier a fait grincer des dents plusieurs spécialistes. Iels reprochent aux CFF d’avoir intégré trop d’informations personnelles du SwissPass dans leur application, tout en négligeant sa
sécurité.

Une nouvelle caméra surveille la montée dans les escaliers qui mènent à l’étage de l’InterCity 1, à destination de Lucerne. Les images sont conservées pendant trois jours, et ne peuvent être exploitées que sur demande de la police. À bord, les CFF proposent une connexion WiFi, par laquelle on accède via une autre application qui stocke pendant six mois le numéro de téléphone et l’adresse MAC (l’adresse « physique », unique) de l’appareil utilisé pour se connecter. Depuis leur réouverture après le premier pic de la pandémie, deux sésames sont requis pour accéder aux wagons-restaurants : le certificat COVID-19, et une consommation. Ce sera un renversé et un croissant, suffisant pour rester dans ce wagon jusqu’à Berne, tant que l’affluence n’est pas trop forte.

Le train entre en gare de Berne. La collègue qui m’accompagnera à mon rendez-vous avec un moine bouddhiste est déjà sur le quai. Pour la suite du trajet en voiture, en plus de mon nom, adresse, numéro de téléphone et permis de conduire, l’entreprise de carsharing Mobility peut savoir où je me trouve en temps réel. Ses véhicules les plus récents sont en outre équipés de senseurs qui mesurent les secousses à l’intérieur et à l’extérieur du véhicule, pour pouvoir retrouver l’auteurice de dommages éventuels.

Reprendre le contrôle

Avons-nous perdu tout contrôle sur nos données personnelles ? Pour Lukas Hafner, spécialiste technologie et droits humains chez Amnesty International, si l’on considère chaque interaction séparément, la quantité de données transmise à un acteur défini est limitée, ce qui donne aux utilisateurices le sentiment que la collecte de données n’est pas trop invasive. Ce n’est que lorsque l’on prend également conscience qu’une grande partie de ces données d’origines diverses sont reliées entre elles pour former une image complète de notre personnalité, que l’on se rend compte de l’ampleur de la menace qui pèse sur la sphère privée. Selon le chercheur, le second aspect problématique est l’opacité qui entoure la récolte, la conservation et la gestion de ces données. Impossible de connaître précisément leur volume, de savoir qui les détient, si elles circulent. D’autre part, il n’existe pas de voie de recours centralisée, où les citoyen·ne·x·s pourraient consulter l’ensemble des données qui existent sur elleux. Iels doivent envoyer des demandes individuellement à chaque organisme détenteur de données.

Salade grecque, branche noisette, Coca-Cola : la composition de mon repas de station-service, à Studen, vient compléter la masse d’informations que détient déjà le premier détaillant du pays, Migros. La banque la connaît aussi : mon relevé trie automatiquement mes dépenses selon leur genre. Par le biais de son système de fidélisation, le géant orange récolte des données sur les goûts, les habitudes, la localisation, les données personnelles et financières de sa clientèle. Sur sa déclaration de protection des données, l’enseigne détaille les utilisations qu’elle en fait : marketing ciblé, développement de produit, profilage de la clientèle, traque aux fraudeurs, transmission de données personnelles à d’autres entreprises du groupe ou à des organismes de recouvrement…

De retour dans les locaux d’Amnesty à Berne, j’effectue quelques recherches pour compléter l’interview du matin. Par simple curiosité, je consulte les cookies accumulés sur mon navigateur depuis leur suppression il y a un mois : 1874. Ces fichiers enregistrés sur le disque dur permettent de conserver mes préférences, par exemple le choix de la langue, les identifiants de connexion, les pages consultées ou le contenu d’un panier d’achats. À cette liste, il manque les pixels, notamment ceux de Facebook, ces minuscules extraits de code ajoutés à un e-mail ou un site internet pour déterminer si la visite provient d’un lien suivi sur le réseau social, connaître le contenu que vous avez affiché ainsi que votre position.

Qui peut voir ce que je fais en ligne?

«À chacune de nos connexions, nous laissons de nombreuses traces», explique Lorenz Schmid, de Société Numérique, une association pour la protection des citoyen·ne·x·s à l’ère digitale. Des traces laissées sur le serveur visité et sur l’appareil utilisé pour se connecter. Selon l’expert, ces données peuvent être consultées par l’opérateur du serveur, par des traqueurs tiers à des fins publicitaires, mais aussi par l’État dans le cadre de procédures pénales ou pour la surveillance par le Service de renseignement de la Confédération (SRC). Depuis 2017, la Loi fédérale sur le renseignement (LRens) oblige les opérateurs à mettre à disposition des services secrets toutes les données de communication sur internet – contenus inclus – pour leurs opérations de surveillance. Ces données sont conservées pendant 6 mois en Suisse.

 

À en croire les statistiques de mon smartphone, j’ai passé 3 h 29 devant mon écran aujourd’hui, l’ai déverrouillé 116 fois, passé 32 minutes sur Instagram et 18 % de temps en moins que la semaine dernière. Pendant ce temps, il a permis à mon opérateur de localiser mes différentes connexions et de croiser celles-ci avec des données aussi variées que les noms, identifiants, date de naissance, nationalité, adresse postale, e-mail, numéro de téléphone, centres d’intérêt, statut marital, moyens et historique de paiement, produits et services détenus ou utilisés, fichiers stockés sur le cloud…

De son côté, le fabricant recueille des données transmises en moyenne toutes les 4,5 minutes, même lorsque le téléphone est inactif, à en croire une étude publiée en mars 2021 par un chercheur au Trinity College de Dublin. Douglas Leith a démontré que des éléments tels que les identifiants et numéros de série, des informations sur la carte SIM mais aussi la géolocalisation sont collectés par les systèmes d’exploitation des deux géants Google et Apple. Et ce par défaut, sans que l’utilisateurice l’ait choisi. Contrairement à Google Maps, qui a besoin de mon autorisation pour suivre mes déplacements. La plateforme n’a d’ailleurs pas manqué une étape de mes tribulations : en consultant l’historique des positions, elle m’invite à confirmer et à préciser l’adresse de mes étapes ainsi que les moyens de locomotion utilisés. L’occasion aussi de dire tout le bien que je pense de la salade grecque de la station-service de Studen.

Espionnage via la fibre optique

Les services secrets ont accès à toutes les communications qui passent par fibre optique. Cette recherche systématique concerne les connexions internet entre la Suisse et l’étranger. Étant donné qu’il n’existe pas d’internet suisse, toutes nos interactions peuvent être surveillées depuis n’importe où, explique Lorenz Schmid. En 2017, Société Numérique et d’autres organisations avaient tenté de retirer l’exploration du réseau câblé de la loi, sans succès. Elles soulignent que cette pratique menace le droit fondamental à la sphère privée: elle rend le secret professionnel et le secret médical irréalisables, et enfreint la présomption d’innocence.

Cet article vous a plu?

Lisez la suite du numéro 108 de notre magazine.
Vous trouverez aussi des articles inédits et des anciens numéros sur notre portail.