La lecture, hier, de l’article de Kristine Schachinger, intitulé Real Names: Google+, Government & The Identity Ecosystem, m’a fortement interpellé !
Kristine y associe de récentes déclarations d’Eric Schmidt, selon qui « Google+ is an identity service », à un document officiel du gouvernement américain, publié au mois d’avril dernier, intitulé « National Strategy For Trusted Identities In Cyberspace » (NSTIC).
En clair, les États-Unis y formalisent un partenariat public-privé pour collaborer à la gestion des « identités fiabilisées » (trusted identities), afin d’accroître le niveau d’identification certaine des individus, des organisations, des réseaux, des services et des dispositifs impliqués dans les transactions en ligne :
The National Strategy for Trusted Identities in Cyberspace (NSTIC or Strategy) charts a course for the public and private sectors to collaborate to raise the level of trust associated with the identities of individuals, organizations, networks, services, and devices involved in online transactions.
Autrement dit, tout ce qui bouge sur Internet devra pouvoir être identifié – et donc localisé – sans l’ombre d’un doute. Ce qui dépasse bien évidemment – et de loin – les seules transactions…
La convergence entre Google (Google+ … essentially provides an identity service) et la stratégie gouvernementale U.S. de mise en place de cet écosystème identitaire est claire :
In order to fulfill the vision of this Strategy, the Nation must achieve the following goals:
- Develop a comprehensive Identity Ecosystem Framework
- Build and implement interoperable identity solutions
- Enhance confidence and willingness to participate in the Identity Ecosystem
- Ensure the long-term success and viability of the Identity Ecosystem
(sic) The private sector will be the primary developer, implementer, owner, and operator of the Identity Ecosystem, which will succeed only if it serves as a platform for innovation in the market. The Federal Government will enable the private sector and will lead by example through the early adoption and provision of Identity Ecosystem services. It will partner with the private sector to develop the Identity Ecosystem, and it will ensure that baseline levels of security, privacy, and interoperability are built into the Identity Ecosystem Framework.
En français :
- Élaborer un cadre de développement complet de cet écosystème identitaire
- Concevoir et mettre en œuvre des solutions d’identité interopérables
- Renforcer la confiance et la volonté de participer à l’écosystème identitaire
- Assurer le succès et la viabilité à long terme de l’écosystème identitaire
Tout en déléguant les tâches essentielles au secteur privé (!), qui sera le principal développeur, implémenteur, propriétaire et gestionnaire de l’écosystème identitaire, à condition qu’il soit en mesure de concevoir une plateforme suffisamment innovante pour le marché. Ainsi, pour donner l’exemple, le gouvernement fédéral sera le premier utilisateur des services fournis dans le cadre de cet écosystème, de même qu’il s’associera au secteur privé pour le concevoir et faire en sorte que les niveaux standard de sécurisation, de confidentialité et d’interopérabilité soient bien élaborés dans le cadre de développement de l’écosystème identitaire.
* * *
Le cadre étant posé, je voudrais ouvrir une petite parenthèse sur le contrôle d’Internet par les gouvernements, qui passe nécessairement par le contrôle des identités…
Dans nos sociétés actuelles, le citoyen lambda n’existe pas « légalement » sans ses papiers, qui sont seuls censés justifier de son identité auprès de la loi, bien plus que sa parole ! Et il ne viendrait à l’idée de personne de contester le flic de service qui vous demande vos papiers en lui opposant votre droit à la « privacy »…
En Italie, lorsqu’un enfant naît, le premier document qu’il reçoit, dans les jours qui suivent sa naissance, est son « code fiscal », un identifiant qui suivra le bienheureux toute sa vie durant…
Donc, jusqu’à présent, tout citoyen reconnaissait implicitement à l’État le droit de connaître sa véritable identité, et à vrai dire les États ne se sont jamais privés de gérer la chose comme bon leur semblait.
Mais que se passera-t-il si l’État transfère ce « droit » au secteur privé ? Pour l’heure nous ne parlons que des États-Unis, mais vu comment les États français ou italien (je parle d’eux parce que c’est ceux que je connais le mieux) tentent par tous les moyens d’étendre leur mainmise sur Internet pour contrôler le réseau, il est à prévoir que la chose fera vite tâche d’huile et s’étendra à 99,99% des États de la planète…
Les innombrables questionnements qu’à ce jour les internautes ont soulevé contre Google, Facebook, Microsoft, Yahoo, Apple, etc. sur le respect de leur vie privée et de leur droit à la confidentialité des données personnelles, ont montré combien les gens étaient sensibles à cette part de « secret » qu’ils souhaitent conserver.
Mais qu’en sera-t-il maintenant ?
* * *
La question est posée, j’espère qu’un débat enrichissant lui fera suite. Je conclurai sur l’analyse du document U.S., dont j’ai réalisé le nuage sémantique des 25 termes significatifs plus fréquents :
Un autre terme non représenté dans le nuage mais cité plus d’une vingtaine de fois sous ses différentes déclinaisons (trustmark/ed) est celui de la création d’une « marque de confiance », servant à certifier que les labellisés adhèrent aux règles de l’écosystème identitaire (“trustmark,” which certifies that it adheres to the rules of the Identity Ecosystem), afin d’aider les individus et les organisations à faire des choix « informés » (The trustmark helps individuals and organizations make informed choices about the Identity Ecosystem-related practices of the service providers and identity media they select).
Le tout s’articulant autour de huit principes FIPP (Fair Information Practice Principles) destinés à faire l’objet d’un large consensus pour minimiser l’impact sur les questions de confidentialité / vie privée : transparence, participation individuelle, spécification des finalités, minimisation des données, limitation des usages, qualité et intégrité des données, sécurité, reddition de comptes et audits (transparency, individual participation, purpose specification, data minimization, use limitation, data quality and integrity, security, and accountability and auditing)…
Un document encore à approfondir, j’espère que ce billet donnera à d’autres l’envie de le faire. Notamment au niveau de l’implication de l’utilisation de services comme Google+ et … Facebook !
À noter que Google participe déjà aux tests d’interopérabilité de la stratégie NSTIC (pour Facebook je l’ignore, mais j’imagine qu’ils participent également), et héberge une version européenne de la chose
Quoi qu’il en soit, comme le dit fort justement Kristine dans son article, à chacun/e la liberté de se faire son idée, mais je recommande la conclusion, plus particulièrement là où Eric Schmidt nomme explicitement l’éventualité d’un Identity Rank…
J-M
P.S. Ceci étant, il est probable que toutes les tentatives de contrôle des internautes par les pouvoirs en place seront toujours compensées par des solutions techniques d’anonymisation, de plus en plus poussées.
Authors: