211service.com
Le Brésil glisse dans le techno-autoritarisme
Stuart Bradford
Pendant de nombreuses années, la plus grande démocratie d'Amérique latine a été un chef de file en matière de gouvernance des données. En 1995, elle a créé la société brésilienne Comité de pilotage Internet , une instance multipartite pour aider le pays à établir des principes de gouvernance de l'internet. En 2014, poussé par Les révélations d'Edward Snowden sur la surveillance par la National Security Agency des États-Unis de pays dont le Brésil, le gouvernement de Dilma Rousseff a été le pionnier de la Cadre civil (Civil Framework), une déclaration des droits sur Internet saluée par Tim Berners-Lee , l'inventeur du World Wide Web. Quatre ans plus tard, le congrès brésilien a adopté une loi sur la protection des données, la LGPD, étroitement calquée sur le RGPD européen.
Récemment, cependant, le pays s'est engagé dans une voie plus autoritaire. Même avant la pandémie, le Brésil avait commencé à créer une vaste infrastructure de collecte de données et de surveillance. En octobre 2019, le président Jair Bolsonaro a signé un décret obligeant tous les organismes fédéraux à partager la plupart des données qu'ils détiennent sur les citoyens brésiliens, des dossiers de santé aux informations biométriques, et à les consolider dans une vaste base de données maîtresse, le Registre de base des citoyens (Registre de base du citoyen). Sans débat ni consultation publique, la mesure a surpris plus d'un.
Cette histoire faisait partie de notre numéro de septembre 2020
- Voir la suite du problème
- S'abonner
En abaissant les obstacles à l'échange d'informations, le gouvernement dit qu'il espère accroître la qualité et la cohérence des données qu'il détient. Cela pourrait, selon la ligne officielle, améliorer les services publics, réduire la fraude électorale et réduire la bureaucratie. Dans un pays qui compte quelque 210 millions d'habitants, un tel système pourrait accélérer le versement de la protection sociale et des avantages fiscaux, et rendre les politiques publiques plus efficaces.
Mais les critiques ont averti que sous la direction d'extrême droite de Bolsonaro, cette concentration de données sera utilisée pour abuser de la vie privée et des libertés civiles. Et la pandémie de covid-19 semble accélérer le glissement du pays vers un état de surveillance. Bien qu'il soit lui-même brièvement tombé malade et que le nombre de morts au Brésil ait dépassé les 90 000 fin juillet, Bolsonaro a constamment minimisé la gravité de la maladie. Pourtant, cela ne l'a pas empêché d'utiliser la crise pour justifier des saisies de données encore plus agressives.
L'instinct de centralisation
Selon Rafael Zanatta, directeur de Confidentialité des données Brésil , une ONG, le discours du gouvernement sur l'utilisation des données pour améliorer les services publics est étonnamment similaire à la façon dont la dictature militaire des années 1970 justifiait ses propres efforts pour créer un système unifié. Ce projet, connu sous le nom de Renape, a fait l'objet de critiques au sein de l'armée et d'un contrecoup de la part des techniciens gouvernementaux qui le construisaient en raison de son manque de transparence et des menaces qu'il représentait pour la liberté et la vie privée. Il a finalement été mis en veilleuse.
le S'inscrire peut être né de bonnes intentions, déclare Ronaldo Lemos, avocat et directeur de l'Institut pour la technologie et la société de Rio. En effet, la pandémie a rapidement révélé la nécessité d'une sorte de système d'identité numérique à l'échelle nationale : fin avril, 46 millions de travailleurs informels, auparavant invisibles pour le gouvernement fédéral, s'étaient inscrits en ligne pour recevoir une aide financière d'urgence.
Mais Lemos, l'un des auteurs du Cadre civil , dit que sa nature centralisée est inquiétante . Il a longtemps plaidé pour un modèle proche de celui utilisé en Estonie, un pays largement considéré comme un parangon de la gouvernance numérique. Le gouvernement estonien stocke un large éventail de données sur les citoyens, mais aucune agence gouvernementale ne détient à elle seule tous les œufs de son panier institutionnel. Les Estoniens doivent autoriser une agence à accéder aux données qu'une autre agence détient sur eux, et ils peuvent savoir qui consulte leurs données. Avec ce décret, dit Lemos, le Brésil fait exactement le contraire.
Démantèlement des garanties
En vertu du décret d'octobre, tout organisme fédéral pourrait commencer à demander et à recueillir des données auprès d'autres. Documents fuite à The Interceptin June a révélé que UNE POUBELLE , l'agence nationale de renseignement du Brésil, avait déjà utilisé le décret pour demander à Serpro, une société de données appartenant à l'État, les dossiers des 76 millions de citoyens brésiliens titulaires d'un permis de conduire. De tels exemples signifient que les données des citoyens pourraient commencer à apparaître dans de nombreux nouveaux ensembles de données à leur insu.
Le champ d'application de l'acquisition de données en vertu du décret est large. En plus des informations de base telles que le nom, l'état civil et l'emploi, le S'inscrire inclura des données biométriques telles que des profils faciaux ; scans de la voix, de l'iris et de la rétine ; empreintes digitales et palmes; même démarche. Il n'y a aucune limite à la façon dont les données de santé peuvent être partagées, et la liste comprend même des séquences génétiques. Le plan, dit Lemos, utilise la génomique, les visages et les empreintes digitales comme une forme d'identification facile des personnes, sans qu'elles sachent exactement comment, ce qui est assez effrayant.
Centraliser autant de données présente un énorme risque pour la sécurité, déclare Verónica Arroyo, associée politique au sein du groupe de défense Access Now. Un piratage ou une fuite pourrait exposer les citoyens au vol d'identité, à la fraude ou pire. En 2016, la mairie de São Paulo accidentellement exposé les données personnelles – y compris certains dossiers médicaux – de 365 000 patients du système de santé publique. En 2018, les numéros d'identification fiscale et d'autres informations sur 120 millions de personnes, soit plus de la moitié de la population, ont été dévoilés sur Internet pendant des semaines, après que le serveur les hébergeant ait été renommé de manière incorrecte.
le S'inscrire sera réglementé par un Comité central de gouvernance des données . Cette instance, composée de représentants du gouvernement fédéral, décidera de la sensibilité des données et statuera sur les éventuelles controverses. Cela contraste fortement avec le Comité directeur de l'Internet créé en 1995, dont les membres comprennent des représentants du gouvernement, des entreprises, de la société civile et du milieu universitaire. Vous n'avez pas de citoyens, vous n'avez pas de communauté technique, vous n'avez pas de société civile - ce n'est même pas censé être une commission indépendante, déclare Danilo Doneda, avocat civil et conseiller du Comité directeur de l'Internet.
On ne sait pas non plus comment la base de données principale sera compatible avec la LGPD, la nouvelle loi sur la protection des données. Il y a des incohérences flagrantes - par exemple, les données biométriques sont considérées comme sensibles en vertu de la LGPD, mais dans le nouveau décret, elles relèvent d'une catégorie moins protégée. Le nouveau décret ignore fondamentalement la législation sur la protection des données, déclare Doneda. Le gouvernement agit toujours comme si ce n'était pas un problème.
En fait, le sort du LGPD est toujours en suspens. Il devait initialement entrer en vigueur en août, mais ses protections avaient déjà été édulcorées à la fois par Bolsonaro et par le Congrès sous son prédécesseur, Michel Temer. En avril, cependant, le gouvernement s'est faufilé une extension retarder la mise en œuvre jusqu'en mai 2021.
Tous ces efforts peuvent conduire à une forte asymétrie des pouvoirs entre les citoyens et l'État.
Il y avait sans doute de bonnes raisons de reporter le LGPD, car les perturbations causées par le covid-19 ont rendu plus difficile l'adaptation des entreprises. Mais certains soupçonnent que le véritable motif du gouvernement est de reporter le contrôle accru que le LGPD apporterait à la campagne politique. Les élections municipales devraient avoir lieu plus tard cette année, et les tribunaux électoraux pourraient utiliser la nouvelle loi pour enquêter sur les partis politiques pour accumulation et utilisation inappropriées de données, selon Zanatta de Data Privacy Brasil.
Il y a de bonnes raisons de craindre de tels abus. Lors de l'élection présidentielle de 2018 qui a porté Bolsonaro au pouvoir, WhatsApp est devenu une plate-forme de désinformation généralisée, la plupart favorisant Bolsonaro, selon une analyse du Guardian. Certains pensent que le S'inscrire pourrait ouvrir la porte à des campagnes de propagande plus ciblées. Le profilage avancé, y compris les données recueillies pendant la pandémie, pourrait identifier les électeurs les plus susceptibles de croire et de diffuser des informations erronées, qui pourraient ensuite être utilisées à leur insu pour les diffuser, explique Zanatta. L'un des fils de Bolsonaro est actuellement sous enquête pour avoir prétendument organisé un stratagème criminel pour diffuser de fausses nouvelles.
Justifier la surveillance
La pandémie de covid-19 a produit une preuve supplémentaire de l'intention du président d'utiliser les données comme instrument de pouvoir. En avril, lorsque le gouverneur de São Paulo a lancé un projet utilisant des données téléphoniques pour suivre dans quelle mesure les gens respectaient les mesures d'isolement, le fils de Bolsonaro, Eduardo, l'a qualifié d'invasion des droits, et le président a rapidement mettre un terme à un plan similaire du ministère des sciences. Pourtant, il n'a apparemment pas eu de tels scrupules une semaine plus tard lorsqu'il signé un décret obligeant les télécoms à transmettre des données sur 226 millions de Brésiliens à l'IBGE, l'agence statistique du gouvernement, apparemment pour enquêter sur les ménages pendant la pandémie. Les critiques ont déclaré que la saisie de données était inconstitutionnel et disproportionné, et il a finalement été frappé par la cour suprême.
Comme de nombreux pays, le Brésil utilise de plus en plus la technologie pour suivre ses citoyens. Les réseaux de caméras de surveillance installés pour la Coupe du monde de 2014 et les Jeux olympiques de 2016 sont restés en place après la fin de ces événements. Plusieurs forces de police ont utilisé un logiciel de reconnaissance faciale pendant le carnaval de cette année pour parcourir les foules à la recherche de criminels . Et une série de factures à la fois permettant et exigeant l'adoption généralisée de la technologie - sur transport public , par exemple, ont fait leur chemin lentement à travers le congrès du Brésil. L'année dernière, la police brésilienne a arrêté 151 personnes qui avaient été identifiées à l'aide de la reconnaissance faciale, dont un homme voulait pour meurtre qui était habillée en femme pour le carnaval. En décembre, des caméras de reconnaissance faciale ont été mettre en place près de la frontière avec le Paraguay, un point chaud pour le trafic de drogue et d'autres crimes organisés.
La criminalité est un gros problème au Brésil, où le taux de meurtres est environ cinq fois supérieur à la moyenne mondiale. Une position ferme a été la clé de la montée au pouvoir de Bolsonaro. Mais le Registre de base des citoyens et la technologie de surveillance de masse forment une combinaison terrible, prévient Arroyo : Tous ces efforts peuvent conduire à une forte asymétrie des pouvoirs entre les citoyens et l'État. Et la peur du crime pousse les Brésiliens à renoncer à la confidentialité de leurs données en échange de la sécurité, déclare Doneda : Les gens ont vraiment peur.
STUART BRADFORDLes lacunes de la technologie de reconnaissance faciale sont bien documentées, en particulier le fait que les systèmes existants, pour la plupart développés dans des pays à majorité blanche, mal identifier les gens de manière disproportionnée de couleur. César Muñoz, chercheur à Human Rights Watch, affirme que cela pose un problème particulier au Brésil, où plus de la moitié des la population est noire ou brune . Près de la moitié de ces personnes travaillent dans l'économie informelle et environ un tiers vivent sous le seuil de pauvreté. Si vous êtes une personne noire sans aucun moyen de trouver un avocat et que vous êtes détenu sur la base de la reconnaissance faciale, ce sera difficile, dit Muñoz.
En théorie, les réglementations qui se créent aujourd'hui sont réversibles. Mais une fois que la technologie de surveillance et les masses de données sont entre les mains des autorités, il est difficile de les reprendre. Si la police achète le kit, ils vont l'utiliser jusqu'à ce qu'il cesse de fonctionner, dit Doneda.
Comparé à d'autres parties du monde, le Brésil est riche en ONG dédiées à la confidentialité et aux droits des données. Il est également relativement facile de lancer des actions collectives en justice, ce qui facilite l'application de la pression publique. Et comme l'a montré la pandémie, la Cour suprême peut encore tenir tête au gouvernement fédéral. Début juin, il forcé le ministère de la santé de recommencer à publier des données complètes sur les décès dus au covid-19, après que le ministère a cessé de le faire dans ce qui était largement considéré comme une tentative de dissimuler le nombre de morts en augmentation rapide.
Lemos pense qu'une culture de la protection des données pourrait encore s'épanouir au Brésil, dans un développement similaire au changement de paradigme qui s'est produit après un code de protection des consommateurs a été présenté en 1990 et les gens ont commencé à exercer leurs nouveaux droits. Beaucoup dépendra du moment où la LGPD entrera en vigueur et si elle est soutenue par une autorité de données crédible et indépendante.
Mais certains observateurs pensent que l'autorité pourrait être dominée par l'armée, dont les membres occupent environ la moitié des 22 sièges du cabinet de Bolsonaro. Les dictatures militaires sont un souvenir pas trop lointain en Amérique latine. Selon Katitza Rodríguez, une Péruvienne qui est directrice des droits internationaux pour l'Electronic Frontier Foundation : L'histoire nous a appris que nos démocraties ne sont pas si fortes.
