Pendant de nombreuses années, la plus grande démocratie d’Amérique latine a été un chef de file en matière de gouvernance des données. En 1995, il a créé le Comité directeur brésilien de l'Internet, un organe multipartite chargé d'aider le pays à définir les principes de la gouvernance de l'Internet. En 2014, poussé par les révélations d'Edward Snowden sur la surveillance par l'Agence américaine de sécurité nationale de pays dont le Brésil, le gouvernement de Dilma Rousseff a été le pionnier de la Marco Civil (Civil Framework), une «déclaration des droits» Internet saluée par Tim Berners-Lee, l'inventeur du World Wide Web. Quatre ans plus tard, le congrès brésilien a adopté une loi sur la protection des données, la LGPD, étroitement calquée sur le RGPD européen.

Récemment, cependant, le pays a emprunté une voie plus autoritaire. Même avant la pandémie, le Brésil avait commencé à créer une vaste infrastructure de collecte de données et de surveillance. En octobre 2019, le président Jair Bolsonaro a signé un décret obligeant tous les organes fédéraux à partager la plupart des données qu'ils détiennent sur les citoyens brésiliens, des dossiers de santé aux informations biométriques, et à les consolider dans une vaste base de données maîtresse, le Cadastro Base do Cidadão (Registre de base des citoyens). Sans débat ni consultation publique, la mesure a surpris de nombreuses personnes.

En abaissant les obstacles à l'échange d'informations, le gouvernement dit qu'il espère accroître la qualité et la cohérence des données qu'il détient. Cela pourrait – selon la ligne officielle – améliorer les services publics, réduire la fraude électorale et réduire la bureaucratie. Dans un pays de quelque 210 millions d'habitants, un tel système pourrait accélérer la fourniture de prestations sociales et fiscales et rendre les politiques publiques plus efficaces.

Mais les critiques ont averti que sous la direction d'extrême droite de Bolsonaro, cette concentration de données sera utilisée pour abuser de la vie privée et des libertés civiles. Et la pandémie de covid-19 semble accélérer le glissement du pays vers un état de surveillance. Bien qu’il soit tombé brièvement malade lui-même, et bien que le nombre de morts au Brésil ait dépassé les 90 000 à la fin du mois de juillet, Bolsonaro a constamment minimisé la gravité de la maladie. Pourtant, cela ne l’a pas empêché d’utiliser la crise pour justifier des saisies de données encore plus agressives.

L'instinct de centraliser

Selon Rafael Zanatta, directeur de Data Privacy Brasil, une ONG, le discours du gouvernement sur l’utilisation des données pour améliorer les services publics est étonnamment similaire à la façon dont la dictature militaire des années 1970 a justifié ses propres efforts pour créer un système unifié. Ce projet, connu sous le nom de Renape, a fait l'objet de critiques de la part des militaires et d'un contrecoup des techniciens du gouvernement qui l'ont construit en raison de son manque de transparence et des menaces qu'il posait à la liberté et à la vie privée. Il a finalement été mis de côté.

le Cadastro peut être né de bonnes intentions, déclare Ronaldo Lemos, avocat et directeur de l'Institut pour la technologie et la société de Rio. En effet, la pandémie a rapidement révélé la nécessité d'une sorte de système d'identité numérique à l'échelle nationale: à la fin du mois d'avril, 46 millions de travailleurs informels, auparavant invisibles du gouvernement fédéral, s'étaient inscrits en ligne pour recevoir une aide financière d'urgence.

Mais Lemos, l'un des auteurs du Marco Civil, dit que sa nature centralisée est inquiétante. Il a longtemps plaidé pour un modèle similaire à celui utilisé en Estonie, un pays largement considéré comme un modèle de gouvernance numérique. Le gouvernement estonien stocke un large éventail de données sur les citoyens, mais aucune agence gouvernementale ne détient tous les œufs dans son panier institutionnel. Les Estoniens doivent autoriser une agence à accéder aux données qu'une autre agence détient sur eux, et ils peuvent savoir qui consulte leurs données. "Avec ce décret", dit Lemos, "le Brésil fait exactement le contraire."

Mesures de protection contre le démantèlement

En vertu du décret d'octobre, tout organisme fédéral pouvait commencer à demander et à recueillir des données auprès d'autres personnes. Des documents divulgués à The Intercept en juin ont révélé que l’ABIN, l’agence nationale de renseignement du Brésil, avait déjà utilisé le décret pour demander à Serpro, une société de données publique, les dossiers des 76 millions de citoyens brésiliens titulaires de permis de conduire. De tels exemples signifient que les données des citoyens pourraient commencer à apparaître dans de nombreux nouveaux ensembles de données sans qu’ils le sachent.

La portée de l'acquisition de données en vertu du décret est large. Outre des informations de base telles que le nom, l'état matrimonial et l'emploi, le Cadastro inclura des données biométriques telles que les profils faciaux; scans de la voix, de l'iris et de la rétine; empreintes de chiffres et de paumes; même démarche. Il n'y a aucune limite sur la façon dont les données sur la santé peuvent être partagées, et la liste comprend même des séquences génétiques. Le plan, dit Lemos, «utilise la génomique, les visages et les empreintes digitales pour identifier facilement les gens, sans qu'ils sachent exactement comment, ce qui est assez effrayant.

Centraliser autant de données présente un «énorme risque pour la sécurité», déclare Verónica Arroyo, associée politique au groupe de défense Access Now. Un piratage ou une fuite pourrait exposer les citoyens au vol d'identité, à la fraude ou pire. En 2016, la mairie de São Paulo a accidentellement exposé les données personnelles – y compris certains dossiers médicaux – de 365 000 patients du système de santé publique. En 2018, les numéros d'identification fiscale et d'autres informations sur 120 millions de personnes – plus de la moitié de la population – ont été dévoilés sur Internet pendant des semaines, après que le serveur qui les héberge ait été renommé de manière incorrecte.

le Cadastro sera réglementé par un comité central de gouvernance des données. Cet organe, composé de représentants du gouvernement fédéral, décidera de la sensibilité des données et statuera sur les éventuelles controverses. Cela contraste fortement avec le Comité directeur de l’Internet créé en 1995, dont les membres comprennent des représentants du gouvernement, des entreprises, de la société civile et du monde universitaire. «Vous n'avez pas de citoyens, vous n'avez pas de communauté technique, vous n'avez pas de société civile – ce n'est même pas destiné à être une commission indépendante», déclare Danilo Doneda, avocat civil et conseiller du Comité directeur de l'Internet .

On ne sait pas non plus comment la base de données principale sera compatible avec la LGPD, la nouvelle loi sur la protection des données. Il y a des incohérences flagrantes – par exemple, les données biométriques sont considérées comme sensibles en vertu de la LGPD, mais dans le nouveau décret, elles relèvent d'une catégorie moins protégée. Le nouveau décret «ignore fondamentalement la législation sur la protection des données», déclare Doneda. «Le gouvernement agit toujours comme si ce n'était pas un problème.»

En fait, le sort du LGPD est toujours en suspens. Il devait initialement entrer en vigueur en août, mais ses protections avaient déjà été édulcorées à la fois par Bolsonaro et par le Congrès sous son prédécesseur, Michel Temer. En avril, cependant, le gouvernement a opté pour une prolongation pour retarder la mise en œuvre jusqu'en mai 2021.

«Tous ces efforts peuvent conduire à une forte asymétrie des pouvoirs entre les citoyens et l’État.»

Il y avait sans doute de bonnes raisons de reporter le LGPD, car les perturbations causées par le covid-19 ont rendu plus difficile l'adaptation des entreprises. Mais certains soupçonnent que le véritable motif du gouvernement est de reporter le contrôle accru que le LGPD apporterait à la campagne politique. Des élections municipales devraient avoir lieu plus tard cette année, et les tribunaux électoraux pourraient utiliser la nouvelle loi pour enquêter sur les partis politiques pour accumulation et utilisation inappropriées de données, selon Zanatta de Data Privacy Brasil.

Il y a de nombreuses raisons de craindre un tel abus. Lors de l'élection présidentielle de 2018 qui a amené Bolsonaro au pouvoir, WhatsApp est devenu une plate-forme de désinformation généralisée, la plupart favorisant Bolsonaro, selon une analyse du Guardian. Certains pensent que le Cadastro pourrait ouvrir la porte à des campagnes de propagande plus ciblées. Le profilage avancé, y compris les données recueillies pendant la pandémie, pourrait identifier les électeurs les plus susceptibles de croire et de répandre de la désinformation, qui pourraient alors être involontairement utilisés pour la diffuser, dit Zanatta. L’un des fils de Bolsonaro fait actuellement l’objet d’une enquête pour avoir prétendument organisé une opération criminelle visant à diffuser de fausses informations.

Justifier la surveillance

La pandémie de covid-19 a produit de nouvelles preuves de l’intention du président d’utiliser les données comme instrument de pouvoir. En avril, lorsque le gouverneur de São Paulo a lancé un projet utilisant des données téléphoniques pour suivre dans quelle mesure les gens adhéraient aux mesures d'isolement, le fils de Bolsonaro, Eduardo, l'a qualifié d '«invasion des droits», et le président a rapidement mis un terme à un plan similaire de le ministère des sciences. Pourtant, il n’a apparemment pas eu de tels scrupules une semaine plus tard quand il a signé un décret obligeant les télécoms à transmettre des données sur 226 millions de Brésiliens à l’IBGE, l’agence statistique du gouvernement, apparemment pour enquêter sur les ménages pendant la pandémie. Les critiques ont déclaré que la saisie de données était inconstitutionnelle et disproportionnée, et qu'elle a finalement été annulée par la Cour suprême.

Comme de nombreux pays, le Brésil utilise de plus en plus la technologie pour suivre ses citoyens. Les réseaux de caméras de surveillance installés pour la Coupe du monde de 2014 et les Jeux olympiques de 2016 sont restés en place après la fin de ces événements. Plusieurs forces de police ont utilisé un logiciel de reconnaissance faciale pendant le carnaval de cette année pour fouiller les foules à la recherche de criminels. Et une série de projets de loi à la fois permettant et imposant une adoption généralisée de la technologie – sur les transports publics, par exemple – ont fait leur chemin lentement au Congrès brésilien. L’année dernière, la police brésilienne a arrêté 151 personnes qui avaient été identifiées grâce à la reconnaissance faciale, dont un homme recherché pour meurtre et habillé en femme pour le carnaval. En décembre, des caméras de reconnaissance faciale ont été mises en place près de la frontière avec le Paraguay, un point chaud du trafic de drogue et d'autres formes de criminalité organisée.

La criminalité est un problème majeur au Brésil, où le taux de meurtres est environ cinq fois supérieur à la moyenne mondiale. Une position ferme a été la clé de la montée en puissance de Bolsonaro. Mais le Cadastro Base do Cidadão et la technologie de surveillance de masse font une terrible combinaison, prévient Arroyo: «Tous ces efforts peuvent conduire à une forte asymétrie des pouvoirs entre les citoyens et l’État.» Et la peur du crime pousse les Brésiliens à renoncer à la confidentialité de leurs données en échange de la sécurité, dit Doneda: «Les gens ont vraiment peur.»

STUART BRADFORD

Les lacunes de la technologie de reconnaissance faciale sont bien documentées, en particulier le fait que les systèmes existants, la plupart développés dans des pays à majorité blanche, identifient de manière disproportionnée les personnes de couleur. César Muñoz, chercheur à Human Rights Watch, dit que cela pose un problème particulier au Brésil, où plus de la moitié de la population est noire ou brune. Près de la moitié de ces personnes travaillent dans l'économie informelle et environ un tiers vivent sous le seuil de pauvreté. «Si vous êtes une personne noire sans moyen de trouver un avocat et que vous êtes détenu sur la base de la reconnaissance faciale, ce sera difficile», dit Muñoz.

En théorie, les réglementations qui se créent aujourd'hui sont réversibles. Mais une fois que la technologie de surveillance et des masses de données sont entre les mains des autorités, il est difficile de les reprendre. «Si la police achète le kit, elle l'utilisera jusqu'à ce qu'il cesse de fonctionner», dit Doneda.

Comparé à d'autres régions du monde, le Brésil est riche en ONG dédiées à la confidentialité et aux droits des données. Il est également relativement facile de lancer des actions collectives, ce qui facilite l’application de la pression publique. Et comme la pandémie l'a montré, la Cour suprême peut encore tenir tête au gouvernement fédéral. Début juin, cela a forcé le ministère de la Santé à recommencer à publier des données complètes sur les décès liés au covid-19, après que le ministère ait cessé de le faire dans ce qui était largement considéré comme une tentative de dissimuler le nombre de morts en augmentation rapide.

Lemos pense qu'une culture de la protection des données pourrait encore prospérer au Brésil, dans un développement similaire au changement de paradigme qui s'est produit après l'introduction d'un code de protection des consommateurs en 1990 et les gens ont commencé à exercer leurs nouveaux droits. Beaucoup dépendra de l’entrée en vigueur du LGPD et de la question de savoir s’il est soutenu par une autorité de données crédible et indépendante.

Mais certains observateurs pensent que l’autorité pourrait être dominée par les militaires, dont les membres occupent environ la moitié des 22 sièges du cabinet de Bolsonaro. Les dictatures militaires sont un souvenir pas trop lointain en Amérique latine. Selon Katitza Rodríguez, une Péruvienne qui est directrice des droits internationaux pour l'Electronic Frontier Foundation: «L'histoire nous a appris que nos démocraties ne sont pas si fortes.»

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici