Un membre de la Chambre des Lords a exprimé des préoccupations selon lesquelles les données du gouvernement britannique, y compris les dossiers des patients du NHS, sont stockées dans des juridictions étrangères sans protections adéquates en matière de cybersécurité, qualifiant cette pratique d'"inacceptable" alors que le gouvernement progresse dans ses plans pour un système d'identité numérique volontaire.
La baronne Manzila Uddin, qui copréside le groupe parlementaire multipartite sur l'identité numérique décentralisée, a déclaré lors d'une interview avec Yellow.com que des données gouvernementales critiques sont externalisées aux États-Unis et en Roumanie sans garanties de respecter les normes britanniques de protection des données.
"Beaucoup de données des patients des généralistes vont jusqu'en Amérique. Et je pense que c'est inacceptable", a déclaré la baronne Uddin. "Je sais que les Saoudiens, les Émiriens, Singapour et certains autres pays en Afrique ont veillé à ce que les données et toutes les informations restent locales dans leur propre cloud, cloud national. J'aimerais une certaine garantie à ce sujet et je pense qu'à l'heure actuelle, nous ne sommes pas en mesure de le garantir."
La baronne a spécifiquement cité l'infrastructure de Gov.UK comme étant externalisée sans surveillance suffisante.
"Si la principale source de collecte de données gouvernementales, Gov.UK, est exploitée ailleurs, disons, externalisée ailleurs, et que nous n'avons aucun contrôle et obligation de résilience en cybersécurité, de protection des données comme nous le ferions ici, je pense que c'est un souci", a-t-elle déclaré.
Elle a mentionné la Roumanie comme un lieu où les données gouvernementales britanniques sont stockées, se demandant si les considérations de coût prennent le pas sur les priorités de sécurité.
"Si tous les citoyens sont les clients du gouvernement, gov.uk, alors pourquoi est-ce en Roumanie ? Est-ce parce qu'ils ont simplement offert le prix le plus bas pour exécuter le contrat ? Et ce sont les questions que nous devons poser."
Ces commentaires interviennent alors que le gouvernement britannique poursuit ses propositions pour un système d'identité numérique volontaire, qui a rencontré du scepticisme public depuis qu'une tentative précédente par le gouvernement travailliste en 2008 a été rejetée.
La baronne Uddin a noté que l'opposition publique aux systèmes d'identification obligatoire demeure forte au Royaume-Uni.
"Comme vous le savez, je pense qu'en 2008, le gouvernement travailliste a essayé de mettre en œuvre une identité numérique et le contexte était très clair que notre public ne la soutenait pas", a-t-elle déclaré.
Elle a exprimé des préoccupations quant à la mise en œuvre actuelle qui se fait de manière incrémentale plutôt que par le biais d'une consultation publique transparente.
"Je sais que ça se fait presque par la porte arrière. Donc, par exemple, la proposition est que tous nos permis de conduire auront des empreintes numériques. Peut-être qu'après cela, il y aura une proposition pour que le prochain ensemble de passeports soit comme ça."
La baronne a souligné qu'elle n'a personnellement aucune objection aux systèmes d'identité numérique mais exige de la transparence concernant la gestion des données.
"En tant que personne qui copréside le groupe parlementaire sur l'identité numérique, je n'ai aucun problème à avoir une ID. Nous avons des identités pour tant d'aspects de notre vie maintenant. Je pense que ma préoccupation, et je pense qu'il y a beaucoup de préoccupations à l'échelle du public, est où vont ces données ?"
La baronne Uddin a cité une expérience personnelle récente qui illustre les vulnérabilités plus larges en matière de cybersécurité dans les services financiers.
"Dès que mon membre de famille a raccroché avec Amex, par exemple, il y a eu un appel immédiat de quelqu'un d'autre prétendant être Amex et ils avaient toutes les informations et c'est censé être un environnement sécurisé où l'on parle d'une interaction financière", a-t-elle déclaré, suggérant que les grandes entreprises manquent de gardes-fous suffisants contre les violations de données et la fraude.
Elle a soutenu que ni les grandes entreprises ni les entités gouvernementales locales ne disposent de ressources adéquates pour se protéger contre des acteurs malveillants sophistiqués.
"Que ce soit une facture énergétique ou un gouvernement local, il n'y a tout simplement pas assez d'incitations financières ou de ressources pour se protéger contre certains de ces mauvais acteurs très, très sophistiqués qui fraudent", a-t-elle déclaré.
Une partie importante des inquiétudes de la baronne Uddin était centrée sur l'exclusion numérique et l'éducation publique inadéquate sur les droits des données.
Elle a noté qu'environ un million de foyers britanniques n'ont pas accès à Internet et aux smartphones, ce qui les rend vulnérables à l'exclusion des services numériques.
"Lorsque l'exclusion se produit, nous parlons uniquement d'exclusion pour pouvoir soutenir que nous devons avoir une plus grande portée pour inclure les gens dans ce marasme de collecte de données volontaire", a-t-elle déclaré, suggérant que l'exclusion numérique est utilisée comme justification pour élargir la collecte de données plutôt que de protéger les populations vulnérables.
Elle a insisté sur la nécessité d'une éducation complète en matière de littératie numérique dès l'enfance.
"Dans de nombreux pays comme le Japon et ailleurs, on apprend très tôt aux enfants à se protéger sur Internet. Et je pense que c'est quelque chose de très critique, non seulement l'éducation de nos membres au parlement, mais aussi des membres qui ne sont pas dans cet espace, car tous ces entrepreneurs et entreprises gagnent de l'argent sur les pratiques mal informées de nous tous", a-t-elle déclaré.
La baronne a cité une récente expérience avec le groupe parlementaire multipartite sur les enfants où les jeunes ont démontré une compréhension sophistiquée des risques numériques.
"Nous avons eu des enfants qui sont venus ici agissant dans leur rôle de parlementaires, posant des questions d'experts. Et ce sont des questions très perspicaces, ils sont beaucoup plus conscients que notre génération ou peut-être même votre génération. Donc, l'envie d'apprendre est là."
La baronne Uddin a soutenu que les cadres réglementaires actuels ne peuvent pas suivre le rythme des avancées technologiques.
"Dès que vous sécurisez un cadre, un autre apparaîtra et il sera hors de notre contrôle. Donc, il doit être très fluide, toute notre législation doit être très fluide pour répondre aux exigences de la technologie avancée."
Elle a noté que les réglementations existantes, y compris le RGPD, n'ont pas empêché la collecte excessive de données ou la vente non autorisée de données.
"En ce moment, de nombreuses institutions, y compris les institutions gouvernementales, des organisations du secteur privé demandent des données excessives. Et ce n'est pas nécessaire. Ma crainte est que lorsqu'on recueille ce niveau de détails, qui l'héberge ? Où est-ce que c'est conservé ? Qui le surveille ?
Qui le suit ? Et est-ce que cela va finir sur le dark web et être utilisé un jour contre nous, citoyens individuels ?", a-t-elle demandé.
La baronne a déclaré qu'à l'heure actuelle, les organisations peuvent acheter les données des citoyens aux gouvernements locaux sans restrictions suffisantes.
"Les gens peuvent acheter auprès du gouvernement local une masse de nos données, ils peuvent l'acheter. Parce qu'à l'heure actuelle, il n'y a pas de restriction. Donc le RGPD a évidemment des limites, mais les gens collectent encore et exploitent nos données pour leur bien", a-t-elle déclaré.
Interrogée sur les systèmes d'identité décentralisés basés sur la technologie blockchain, la baronne Uddin a exprimé son soutien aux approches qui donnent aux citoyens le contrôle de leurs propres données.
"La promesse de la nouvelle technologie numérique, y compris le Web3 et l'IA et tout cela, est que nous aurons un système démocratique d'échange d'informations, de sorte qu'il devienne nos propres sources privées d'information et que nous, en tant qu'individus, décidions si nous voulons donner accès ou non", a-t-elle déclaré.
Cependant, elle a souligné que tout système doit prioriser la souveraineté des données des citoyens.
"Si nous allons continuer avec cette tendance, où sont mes données ? Qui les détient ? Pourquoi ne sont-ils pas responsables ? Pourquoi les donnent-ils à des gens qui peuvent les acheter ?"
Elle a soutenu que les solutions basées sur la blockchain pourraient offrir une alternative aux modèles actuels de stockage externe des données.
"La promesse de nouvelles technologies émergentes est la démocratisation de l'information pour que vous ayez beaucoup plus à dire sur la façon dont les informations vous concernant sont conservées, envoyées, données, peu importe. Cela doit être le principal, l'un des principaux engagements du gouvernement", a-t-elle déclaré.
La baronne Uddin a exprimé sa préférence pour aligner les normes de données britanniques avec l'Union européenne plutôt qu'avec les États-Unis.
"Je sais qu'il y a des discussions sur avec qui nous alignons et j'aurais préféré que nous nous alignions sur l'UE parce qu'ils sont nos voisins, ils sont nos frontières", a-t-elle déclaré.
Elle a exprimé sa préoccupation concernant la dépendance croissante aux entreprises technologiques américaines pour les infrastructures critiques.
"Je suppose que nous devons nous assurer que nous n'allons pas vers les États-Unis pour tout. Juste parce qu'ils sont notre relation spéciale et que nous avons l'obligation de faire ABC, peu importe. Récemment, il y a eu des discussions sur une grande entreprise particulière prenant en charge notre sécurité. Cela me préoccupe beaucoup", a-t-elle ajouté.
La baronne a soutenu que maintenir la souveraineté des données au Royaume-Uni est essentiel pour préserver la réputation du pays en tant que centre financier sûr.
"Je veux que la fuite des cerveaux revienne ici et m'assurer que quel que soit ce que nous finissons par faire en termes de si c'est l'ID numérique, c'est souverain, numériquement souverain au Royaume-Uni, c'est vraiment critique pour moi. Si c'est numériquement souverain au Royaume-Uni, alors ce sera numériquement souverain pour l'individu parce que nous respectons les droits individuels", a-t-elle déclaré.
Interrogée sur les affirmations selon lesquelles les systèmes d'identité numérique accéléreraient la croissance économique, la baronne Uddin a exprimé son scepticisme.
"Je ne pense pas que nous ayons prouvé le cas", a-t-elle déclaré. "Je sais que certains des parties prenantes ont de l'expérience. La Suède a été citée comme une bonne pratique, l'Utah, le Wyoming. Mais je ne pense pas que nous ayons quelque chose jusqu'à présent au Royaume-Uni pour démontrer soit la croissance économique soit l'utilisation comme un gain positif pour les citoyens ordinaires. Je pense que les grandes entreprises continuent de bénéficier."
La baronne Uddin a mis en doute la capacité du gouvernement à mettre en œuvre des systèmes d'identité numérique compte tenu des niveaux actuels de méfiance publique.
"Dans le cadre actuel de méfiance du public envers le gouvernement, comme vous le savez, le gouvernement a été la cible d'un grand nombre de critiques avec diverses politiques. Donc, je ne sais pas si nous pouvons vraiment prétendre à la confiance du public. Donc à la lumière de cela, je ne sais pas comment ils vont gérer." Sure, here is the translated content with markdown links skipped:
Il n'y a pas de claire indication sur la manière dont ils ont l'intention de gagner la confiance du public pour une identité numérique.
Elle a mis en garde contre la mise en œuvre de systèmes par des mesures d'urgence comme cela s'est produit pendant la COVID-19. "Je pense que le public a l'impression d'être contraint de donner autant d'informations que possible parce que les gens pensent, si je n'ai rien à cacher, rien à perdre. Mais ce n'est pas le cas parce que les informations que vous donnez deviennent l'actif de quelqu'un d'autre."
La Baronne a conclu en soulignant la nécessité de cadres réglementaires basés sur la confiance. "Tout ce que nous faisons concernant tout cadre réglementaire proposé doit être basé sur la confiance et la confiance. Cela va sans dire, et je pense que c'est là que réside le problème."
Elle a appelé à établir des normes qui protègent les droits individuels tout en permettant l'innovation technologique. "Si nous voulons avoir une identité numérique, nous devons avoir un héritage de confiance et de confiance, puis nous assurer que le cadre est suffisamment flexible pour que les gens puissent venir travailler avec nous."
La baronne Uddin a déclaré que la réputation réglementaire du Royaume-Uni pourrait établir des références mondiales si la souveraineté des données est priorisée.
"Je pense que nous pouvons établir un excellent point de référence pour que d'autres puissent suivre, y compris les États-Unis. Je pense que nous avons une quantité suffisante de crédibilité et de nombreuses institutions sont issues de la Grande-Bretagne et opèrent maintenant à Dubaï, Singapour et aux États-Unis", a-t-elle déclaré.