31 mai 2006

Données personnelles voyageuses

Au Québec comme en Europe, les transferts de données personnelles vers les États Unis et leur utilisation potentielle dans la lutte contre le terrorisme commencent à soulever un débat au sein de l'opinion publique.

En Europe, la Cour de justice des communautés européennes a annulé un accord conclu entre l'exécutif européen et le gouvernement américain afin de permettre le transfert des données personnelles des passagers empruntant des vols à destination des USA (les PNR ou Personal Name Record en bon français). Ces données contiennent 34 informations distinctes, incluant les noms et adresses des passagers, leurs moyens de paiement utilisés pour le vol, leurs préférences alimentaires (et par conséquent leur affiliation religieuse), etc., et sont transmises aux autorités douanières au décollage de l'avion. Ceci permet à ces dernières de croiser les données transmises avec celles déjà en leur possession ou d'alimenter les bases de données monumentales en constitution. Le non respect de cette obligation par les compagnies aériennes les expose à des pénalités aussi sévères que le retrait des droits de vol à destination des USA, un marché relativement juteux. La décision de la Cour de justice ne se prononce pas sur la légalité de telles pratiques mais s'appuie plutôt sur le processus politique et administratif par lequel un tel accord a été conclu entre les deux parties. Il est donc fort peu probable que de telles pratiques cessent.

Au Québec, c'est l'impact du Patriot Act sur les entreprises locales filiales de maisons mères américaines qui pose problème. En effet, en vertu de cette loi anti-terroriste votée en catastrophe au lendemain des attentats du 11 septembre, les entreprises peuvent se voir obligées de transmettre au gouvernement des informations personnelles sur leurs employés et leurs clients, tout en devant garder secrets de tels échanges. La législation québécoise sur la protection de la vie privée serait donc suspendue de facto pour les employés de ces entreprises. On peut d'ailleurs étendre ce constat à l'ensemble des filiales internationales de groupes américains.

Dans les deux cas, c'est à la difficulté de réguler les flux intangibles d'informations personnelles que sont confrontés les gouvernments européens et canadiens. Si dans l'exemple européen, le flux à destination d'un service public étranger est soumis à tout un ensemble de procédures de contrôle administratives (aussi imparfaites soient-elles), les échanges privés d'informations semblent beaucoup plus résistants à tout effort de connaissance et d'encadrement. Ainsi, l'arrêt de la Cour de justice ne concerne que les données transmises par les compagnies aériennes aux douanes américaines. En parallèle, les informations recueillies par les platerformes de réservation internationales comme Sabre ou Galileo (deux entreprises américaines) lorsqu'une agence de voyage ou un passager achètent un billet ou un hébergement hotelier, transitent également sur des serveurs informatiques américains (soumis au Patriot Act) sans autre forme de procès.

29 mai 2006

Investissements massifs dans les armes non létales

Le site internet InsideDefense.com vient de révéler que l'armée américaine s'apprêterait à doubler ses investissements dans la recherche sur les armes non létales. Ces armes, dont la terminologie prête à discussion, servent en théorie à neutraliser un individu en provoquant chez lui une forte douleur passagère ou en suspendant temporairement certain de ses sens (vue, audition) ou sa mobilité. Le Taser, qui envoie des décharges électriques paralysantes dans la cible choisie, est certainement la plus connue des armes non létales, ou moins létales. En effet, de plus en plus d'affaires rapportées par les médias font apparaître que ces armes, mal utilisées, peuvent causer des dommages irréparables, voire la mort. Cette annonce de nouveaux investissements massifs dans cette technologie par le Pentagone pour répondre à ses besoins à l'intérieur des USA (défense des installations nucléaires et interception des navires étrangers près des côtes) ou sur les champs de bataille en Afghanistan ou en Irak aura certainement des répercussions importantes sur les services de police et la sécurité privée dans un futur pas si lointain. En effet, ces technologies séduisantes font souvent l'objet d'une adoption rapide de la part des organisations de sécurité intérieure, qui y voient là une alternative aux armes à feu. La banalisation de l'usage de la force à l'égard des citoyens et l'impact négatif en terme de légitimité de la police que ces nouvelles armes pourraient entraîner sont cependant des conséquences rarement prises en compte, ou même débattues.

13 mai 2006

Sécurité et design

Après l'exposition SAFE consacrée par le Musée d'Art Moderne de New York au design des technologies de sécurité et de protection contre les risques de toutes natures, une étudiante italienne de l'Institut de Design des Interactions a imaginé pour son mémoire de fin d'études une version moderne de l'escarpin de Cendrillon.

Simona Brusa Pasque a en effet imaginé une paire de chaussures à talons dont la pointe est équipée d'un stun gun, cette arme qui délivre un choc électrique de plus de 100.000 volts à la personne contre qui elle est dirigée. Dans ce cas, la femme moderne qui souhaite assurer sa sécurité sans pour autant compromettre sa féminité peut activer la décharge en pressant un bouton placé sur le collier ou les boucles d'oreilles assorties aux chaussures. Le courant électrique est généré à l'aide d'une simple pile de 9 volts dissimulée dans le talon, mais l'arme est à usage unique. Le terme de femme fatale n'aura certainement jamais été aussi approprié.

09 mai 2006

Données personnelles et transport aérien

Un journaliste du Guardian rapporte dans un article édifiant la facilité avec laquelle il a pu accéder aux données personnelles d'un passager aérien de la compagnie British Airways à l'aide d'un simple coupon de vol récupéré dans une poubelle d'un aéroport anglais. Ce document remis aux passagers à leur embarquement, indique en effet le siège alloué à ceux-ci et comprend leur nom, ainsi que leur numéro de voyageur fréquent pour ceux qui font partie des clients privilégiés des compagnies aériennes.

À partir de ce simple bout de papier, le journaliste a pu acheter en ligne un nouveau billet d'avion et à l'aide du numéro de voyageur fréquent, accéder au dossier personnel de l'individu, qui contenait son numéro de passeport, sa date de naissance, son adresse actuelle et d'autres informations recueillies par les compagnies aériennes. Ces informations additionnelles auraient pu aisément être utilisées pour commettre des fraudes communément désignées sous le terme de "vol d'identité". Le journaliste retrace les événements terroristes passés (antérieurs d'ailleurs le 11 septembre) qui ont conduit le gouvernement américain à imposer à toutes les compagnies offrant des vols à destination des États Unis l'obligation de lui communiquer de telles informations, afin de permettre le profilage des voyageurs et d'interdire à ceux figurant sur les listes de surveillance l'embarquement à bord. Cette délégation à des entreprises privées de la fonction de collecte et de transmission des données sur les passagers est jugée problématique en raison du coût que cette pratique entraîne pour elles, et de l'absence de contreparties financières ou symboliques à leur mise en oeuvre. À leur tour, les compagnies aériennes déléguent cette tâche aux passagers eux-mêmes, particulièrement lorsque ceux-ci souhaitent s'enregistrer en ligne. L'absence de contrôles et la faible importance accordée par les entreprises aériennes à cette tâche (pour peu qu'elles soient perçues comme suffisamment respectueuses des règlements par les pouvoirs publics) explique les trous béants détectés par le journaliste dans les systèmes informatiques de l'une d'entre elles. L'histoire ne nous dit pas si la victime a quand même pu bénéficier des miles de ce billet frauduleux.

04 mai 2006

L'imprécision des listes de surveillance des passagers aériens

L'association américaine EPIC (Electronic Privacy Information Centre) vient d'obtenir par le biais de la Loi sur l'accés à l'information des documents venant corroborer les inquiétudes sur les risques d'erreurs que recèlent les listes de surveillance des passagers aériens. Ces dernières contiennent les noms de terroristes et de criminels recherchés par les forces de police et les services de renseignement. Elles recèlent plus de 200.000 noms qui sont comparés avec les listes de passagers transmises par les compagnies aériennes, afin d'interdire de vol les personnes suspectées de terrorisme ou de crimes connexes. Bien entendu, les homonymes des personnes figurant sur ces listes, à tort ou à raison d'ailleurs, souffrent souvent des imprécisions et des nombreuses inexactitudes qu'elles recèlent.

Les documents obtenus par l'EPIC de la part de l'agence de la sécurité du transport aérien (TSA) montrent ainsi que ces erreurs n'épargnent pas les employés du gouvernement américain participant activement à la lutte contre le terrorisme. Le site Wired détaille ainsi le profil de certains voyageurs qui ont fait l'objet de contrôles approfondis, malgré l'immunité qu'est censée leur procurer leur emploi: on y trouve des agents secrets disposants d'habilitation secret défense et top secret, de hauts gradés militaires voyageant avec des billets réservés et payés par l'armée américaine, de diplomates du Département d'État, ainsi que des employés de compagnies aériennes voyageant en tant que passagers... En tout, près de 28.000 personnes auraient déposé une plainte formelle auprès de la TSA afin de faire retirer leur nom de la liste en question, sans que l'on sache exactement combien y sont parvenues. On peut imaginer que si de nombreuses personnes font l'objet d'un contrôle inutile, d'autres qui figurent légitimement sur la liste ne devraient pas avoir de mal à se faufiler à travers les mailles du filet électronique.