L’identification biométrique de 1,3 milliard d’Indiens. Milieux d’affaires, Etat et société civile

30/11/2020

Entretien avec Christophe Jaffrelot et Nicolas Belorgey, auteurs de la 251e Etude du CERI intitulée L’identification biométrique de 1,3 milliard d’Indiens. Milieux d’affaires, Etat et société civile (novembre 2020).

L’Inde a engagé́ dès 2009 un programme d’identification biométrique de sa population. Qui a porté ce projet dans le pays et à quels défis répondait-il ?

Le dispositif qui a été mis en place en 2009 est assez original dans la mesure où l’initiative est venue de Nandan Nilekani, l’un des fondateurs d’Infosys, l'une des grandes entreprises indiennes des technologies de l’information. Mais si le monde des entreprises du high tech a été le creuset de ce projet, sa mise en œuvre n’a été possible qu’à partir du moment où Nilekani a persuadé l’Etat de son intérêt et qu’a été créée la Unique ID Authority of India (UIDAI), une instance dont Nilekani est devenu le premier Président et R.S. Sharma, un haut fonctionnaire, le premier Directeur général. Cette UIDAI était alors un étrange animal : d’un côté, elle était liée de façon organique au gouvernement (Nilekani avait rang de ministre et un accès privilégié au Cabinet du Premier Ministre, Manmohan Singh - sinon à Singh lui-même) et à l’administration (comme en témoigne le profil de Sharma) ; d’un autre côté, l'UIDAI jouissait d’une très grande autonomie que Nilekani, homme d’entreprise avait négociée pied à pied et qu’il utilisait pleinement. C’est ainsi que l’UIDAI a sous-traité l’enregistrement des données à de nombreuses sociétés privées.

Les deux acteurs que constituaient le monde des affaires et des ingénieurs informaticiens d’un côté et le gouvernement de l’autre poursuivaient deux objectifs distincts. Les premiers cherchaient maximiser la ressource économique que constituaient les données privées (sur le mode du data is the new oil) et le recours au numérique en général (pour simplifier et sécuriser toutes sortes de transactions financières). Les seconds cherchaient d’une part, à faire des économies et à réduire la corruption dans les opérations de transferts sociaux (aide aux pauvres, rations alimentaires etc.) et, d’autre part, mais plus tard, à doter chacun des résidents de l’Inde, pays où beaucoup de gens ne disposaient d’aucune pièce d’identité, d’un numéro d’identité. Il n’est pas abusif de dire que le premier acteur a utilisé le second pour obtenir l’autorisation et l’aide nécessaire pour mener à bien le projet Aadhaar (lit. le fondement), nom qui a été donné au projet, sans que l’Etat n’ait clairement perçu les fins que poursuivaient les milieux d’affaires.      

Comment le programme a-t-il été mis en place dans un pays aussi vaste et aussi rural que l’Inde et quelles ont été les réactions de la population à cet enregistrement ?

Le défi était considérable car il n’était en effet pas du tout facile de recueillir les empreintes digitales et l’iris de l’œil de plus d’un milliard d’individus sur un territoire vaste comme l’Union européenne et disposant d’infrastructure de transports fort inégales - sans parler des coupures de courant à répétition. Pour ceux qui ont écrit l’histoire officielle de Aadhaar, une telle prouesse s’explique par la motivation de ses architectes, les moyens mis à leur disposition et le sens du jugaad (débrouillardise) dont les ingénieurs et autres opérateurs ont su faire preuve. Cette mise en récit doit néanmoins être relativisée car une autre des raisons qui explique qu’une telle « prouesse » a été possible tient au désir que les Indiens ont eu de s’enregistrer – ce qui rejoint la seconde partie de votre question. Or ce désir est marqué au coin de l’ambivalence. D’un côté, avoir un numéro Aadhaar rassurait ses titulaires : leur identité était reconnue, ils existaient aux yeux de l’Etat, ce numéro était un signe de reconnaissance. D’un autre côté, une partie de la population s’est enregistrée contrainte et forcée : les pauvres parce que c’était la seule façon pour eux de recevoir certaines prestations sociales, les retraités parce qu’ils n’auraient pas été en mesure de percevoir leurs pensions s’ils ne l’avaient pas fait, ceux qui payaient l’impôt sur le revenu, parce que c’était la seule façon de s’en acquitter, etc. A toutes ces contraintes légales s’en sont ajoutées d’autres, illicites, lorsque, par exemple, les banques ont exigé de connaître le numéro Aadhaar de leurs clients - voire de lier celui-ci à leur numéro de téléphone portable...                   

A-t-on observé des oppositions au projet de la part de politiques ou d’institutions (judiciaire ou législative) ?

Aadhaar a très vite rencontré l’opposition des ONG qui ont fait valoir que ce dispositif allait poser de nombreux problèmes aux pauvres. Dans l’étude, nous montrons qu’Aadhaar reposait sur une utopie technologique dans la mesure où le dispositif ne pouvait fonctionner que si le réseau numérique (et électrique !) fonctionnait - ce qui est rarement le cas au fin fond des campagnes indiennes. En outre, cette dystopie technologiste a empêché l’accès à leurs allocations des personnes dont les empreintes digitales étaient effacées ou l’iris de l’œil endommagé par la cataracte - ou de celles qui ne pouvaient se déplacer pour se faire identifier (un problème qui n’existait pas auparavant, lorsque les droits sociaux n’étaient pas individualisés mais familiaux). 

L’opposition des ONG représentantes des pauvres n’a pas, quant à elle, rencontré beaucoup d’écho. La contestation n’est véritablement devenue audible sur la scène publique qu’à partir du moment où des membres de la classe moyenne se sont sentis pris au piège et obligés de s’inscrire sur Aadhaar pour payer leurs impôts, par exemple. C’est alors que la justice a été saisi du dossier. Mais la bataille judiciaire a tourné court : premièrement, la Cour suprême a tellement peu fait du dossier une priorité que lorsqu'elle a enfin statué, les juges ont été mis devant le fait accompli car tous les enregistrements avaient été réalisés, ou presque. Deuxièmement, la Cour a validé la création de cette méga base de données, mais elle a néanmoins indiqué que, contrairement aux allégations du gouvernement, le respect de la vie privée constituait un droit fondamental. A ce titre, elle a cassé certaines dispositions de la loi, comme celle qui permettaient de communiquer les données de la base Aadhaar aux banques et aux opérateurs téléphoniques. Le gouvernement a toutefois contourné l’obstacle en amendant par voie d’ordonnance deux lois, le Prevention of Money Laundering Act et le Telegraph Act, de manière à ce que ces données puissent in fine être communiquées. Si la Cour suprême n’a donc pas été un rempart suffisant, le parlement non plus. En fait, il a réussi à faire passer le Aadhaar Bill comme une money bill, une loi financière pour l’adoption de laquelle le parti au pouvoir n’avait pas besoin de l’aval de la chambre haute où il ne disposait pas de la majorité. L’opposition a bien sûr saisi la justice en arguant du fait que la loi comportait bien d’autres dispositions que celles présentant un caractère financier, mais la Cour suprême n’a rien trouvé à y redire… à un moment où, de toute façon, les juges évitent toute confrontation avec l'exécutif.      

 
Quid de la sécurité des données recueillies ?

A ce jour, la base de données biométrique nationale proprement dite ne semble pas avoir été piratée. Elle est en effet stockée sur un serveur centralisé pour l'Inde entière, ce qui rend le dispositif à la fois très contrôlé et très fragile. Ces données font l'objet d'un haut niveau de sécurisation, mais l'enjeu est tel que, selon certains spécialistes, le vol de ces données ne serait qu'une question de temps. Le World Economic Forum lui-même n'a-t-il pas indiqué que les risques de cyber-attaque et de vol de données étaient parmi les plus élevés au niveau mondial pour les années à venir ?

En attendant, des fuites partielles de données ont été constatées à de multiples occasions, mettant parfois à mal la vie privée des personnes. D'un côté, l'identité des personnes a pu être usurpée, qu'il s'agisse de leur numéro, sous la forme de fausses cartes vendues pour quelques roupies, ou de leurs empreintes digitales, reproduites par des gangs dans de la cire... ou même par des banques qui les stockaient sur des terminaux de lecture analogues à des smartphones. Le recours massif aux intermédiaires privés pour faire fonctionner la chaîne de l'identification, depuis l'enregistrement initial jusqu'aux opérations d'authentification, n'a pas contribué à sécuriser l'ensemble. D’un autre côté, le rapprochement entre l'identifiant unique et d'autres informations dans des bases de données plus ou moins publiques ont permis à tout un chacun de recouper des informations personnelles. A un moment, des milliers de bases de données contenant un identifiant ainsi que le nom, le numéro de téléphone, la religion, et toute une série de caractéristiques d’une personne se retrouvaient ainsi en accès libre sur Internet.

Le programme a-t-il tenu ses promesses ? Quels sont ses apports pour la population ? pour l’Etat indien

Le programme a surtout permis aux grosses firmes du secteur digital d'augmenter considérablement leur chiffre d'affaire, en abaissant leurs coûts d'acquisition de clients et leurs coûts de transaction. La firme de téléphonie Jio est ainsi devenue en quatre ans le leader en la matière, grâce également à une féroce guerre des prix contre les tenants du marché. Du point de vue des entreprises, l'UID se présente en effet comme une externalisation vers l'Etat de la fonction d'identification des clients, avec tous les coûts et les risques qu'elle comporte - on pense justement à la responsabilité des entreprises en cas de vol de données personnelles, introduite dans l'Union européenne par le RGPD. A l'heure actuelle, cette hausse des chiffres d'affaires ne s'est pas (encore) traduite par des profits très importants, mais elle constitue plutôt un investissement de long terme dans la collecte de données personnelles. Le soutien financier apporté récemment par certains Gafam à un Jio très endetté est venu conforter cette analyse.

De son côté, l'Etat indien - ou plutôt les Etats indiens - ont tiré deux grands bénéfices du programme. D'une part, ils ont accru leur capacité de surveillance sur la population, comme l'illustre de manière emblématique le développement d'un système de pointage biométrique pour les fonctionnaires sur leur lieu de travail, dans un pays où l'absentéisme de ces derniers est déploré par de nombreuses personnes. D'autre part, le nettoyage des bases de données publiques a permis de réaliser des économies budgétaires. Ce dernier argument, qui a largement servi de justification au lancement du programme dans les années 2010, doit cependant être revu à la baisse car ce « nettoyage » s'est en effet souvent traduit par... la suppression pure et simple de leurs droits sociaux d’un certain nombre de bénéficiaires, à leur grand désespoir. 

En effet, le résultat de ce programme est très problématique pour la population. Certes, beaucoup de personnes ont bénéficié de smartphones possédant une mémoire importante et de grandes capacités de stockage à prix réduit, en échange du partage de leurs données. Certains membres des classes moyennes apprécient aussi une plus grande efficience dans leurs démarches administratives. Les coupes effectuées dans les droits sociaux ont toutefois eu des effets dévastateurs, en particulier pour les franges les plus précaires des classes populaires, où on dénombre même des cas de morts de faim consécutifs à l’entrée en vigueur d'Aadhaar. De plus, la mise en base de données de la population fait peser de lourdes menaces sur les libertés publiques et politiques. Outre la question de l'intégrité des données personnelles, que nous avons déjà évoquée, il ne faut pas oublier la lutte qui s'est déroulée devant la Cour suprême. La justice a tenté – en vain - de défendre la protection du droit à la vie privée, mis en doute par un des Etats indiens. Ce droit est néanmoins - très - formellement reconnu aujourd’hui. Le fait qu'une loi de protection des données personnelles soit toujours en gestation, plus de dix ans après le lancement d'un programme qui menace directement la sécurité de ces dernières, est à lui seul révélateur de la situation. Enfin, le contexte politique ne doit pas être négligé. Alors que l'UID a été lancé par une coalition progressiste, les nationalistes hindous désormais au pouvoir pourraient utiliser les capacités de fichage de la population du programme contre leurs opposants. Ainsi, dans le « registre des citoyens » actuellement en cours de constitution sur la base d'Aadhaar, les musulmans pourraient désormais avoir à fournir la preuve de leur nationalité.

En quelques mots, quel bilan tirez-vous de ce programme ?

Il faut espérer qu'Aadhaar ne serve pas un jour d'illustration à la théorie des effets involontaires : conçu dans une optique au mieux inclusive, au pire purement marchande, l'UID pourrait aujourd'hui instaurer une forme de surveillance analogue à celle étudiée par Michel Foucault pour l'époque moderne et encore amplifiée par la puissance de l'informatique.

Propos recueillis par Corinne Deloy

Cliquez sur l'image ci-dessous pour lire l'Etude n°251 du CERI 

Retour en haut de page