Éthique : de la cybersécurité à l’échec de la loi sur l’e-ID
Markus Christen explique pourquoi les questions d’éthique concernent aussi bien l’e-ID que les cyberattaques.
Tout faire avec un seul identifiant – de la saisie de la déclaration d’impôts à la réservation d’un voyage – telle était la promesse de l’identité électronique (e-ID). Or, cette proposition de loi vient d’être rejetée. En comprenez-vous les raisons ?
Ce qui est problématique, c’est que l’idée de pouvoir réaliser toutes les démarches numériques de manière univoque est déjà erronée en soi. Lorsque des personnes communiquent leurs données, elles le font toujours dans un contexte précis. Les gens partagent par exemple des informations sensibles dans le cadre d’une étude sur la santé parce qu’ils espèrent ainsi apporter une aide à la science – mais ils attendent parallèlement que ces données ne soient pas exploitées dans un autre contexte, par exemple par une assurance. Nous appelons cela l’intégrité contextuelle. La notion de violation de la sphère privée apparaît dès lors que des données sont utilisées dans un contexte qui diffère de celui consenti.
Comment cela influe-t-il sur l’e-ID ?
Dans le cas de l’e-ID, j’interagis avec l’État en tant que citoyen. Si une société privée, qui me vend aussi un contrat de téléphonie mobile, diffuse l’e-ID avec laquelle je fais ma déclaration d’impôts, le contexte « citoyen-État » n’est plus respecté. Ce qui m’amène à penser que la sécurité de mes données personnelles n’est plus assurée et que mon fournisseur de services de téléphonie sait à combien s’élève le montant de mes impôts. Même si l’e-ID est configurée de façon à ce qu’il soit techniquement impossible d’accéder à ces informations, il en résulte tout de même une violation symbolique de la sphère privée, raison pour laquelle de nombreuses personnes se sont prononcées contre cette loi.
Comment le problème pourra-t-il être résolu à l’avenir ?
Je pense que l’e-ID sera au final mise en place par l’État, car cette solution permettra de garantir l’intégrité du contexte « citoyen-État ».
Le projet que vous poursuivez dans le cadre du PNR 77 s’intéresse également aux questions d’éthique, en particulier celles relatives à la cybersécurité. Quelles sont par exemple les questions qui se posent ?
Lorsqu’il s’agit de repousser des attaques cybernétiques, il existe toujours des situations dans lesquelles des décisions doivent être prises très rapidement. Celles-ci peuvent induire un dilemme éthique. Par exemple, lorsqu’une « Incident Response Team » identifie une menace de cette nature après avoir procédé à une analyse approfondie. La question est alors de savoir comment approcher la victime potentielle, avec laquelle aucune relation de confiance n’a encore été établie et qui pourrait peut-être même entretenir un lien avec l’attaquant. Si l’équipe informe la victime, elle met en danger le succès de ses propres mesures de protection, parce que le hacker est alerté et qu’il peut adapter sa tactique. Si l’équipe renonce à l’informer, elle accepte de fait qu’une autre organisation, ou un autre pays, subisse des dommages qui auraient pu être évités.
En quoi vos recherches peuvent-elles contribuer à résoudre ces problèmes ?
Nous visons à élaborer des directives générales réglant la gestion des problèmes éthiques posés par la cybersécurité, par exemple, dans le cas de l’exemple susmentionné. Ceci correspond à une partie de notre projet. Dans la seconde partie, nous souhaitons formuler des recommandations afin que d’éventuelles lacunes réglementaires en matière de cybersécurité puissent être comblées.
Quelles lacunes réglementaires pourrait-il exister ?
Prenons l’exemple d’un prestataire privé de services de cybersécurité qui protège des infrastructures critiques, comme celles d’un hôpital ou d’une centrale électrique. Si ces infrastructures font l’objet d’une cyberattaque, il la repoussera. Néanmoins, ses ressources étant limitées et ses expert·es ne pouvant protéger les deux infrastructures en même temps, il va devoir privilégier l’une d’entre elles : l’hôpital ou la centrale électrique. Quel choix le prestataire doit-il faire ? Dans de tels cas, il n’existe pas de dispositions réglementaires. Nous voulons étudier les domaines dans lesquels le droit présente des lacunes et établir des recommandations sur la manière de les combler.