Le 3 août 2022, la cheffe du gouvernement tunisien, Najla Bouden a lancé le programme « Mobile ID » ou « e-houwiya » à titre expérimental jusqu’à la fin de l’année 2022, donnant à chaque citoyen tunisien disposant d’un numéro de téléphone mobile la possibilité d’obtenir une identité légale électronique. La méthode d’identification à deux facteurs utilise un couple login-mot de passe, composé d’un identifiant de 10 chiffres et d’un code secret. Chaque fois que l’identifiant est utilisé, il doit être vérifié par un SMS d’authentification envoyé au numéro de téléphone mobile de l’utilisateur. L’ID mobile peut ensuite être utilisé pour accéder à des plateformes telles que le portail « e-bawaba.tn » pour les documents électroniques officiels et les services administratifs numériques ou la plateforme « e-barid.tn », qui fournit aux citoyens une adresse électronique officielle pour communiquer avec les autorités et les institutions publiques.
Cependant, fait observer le site accessnow, les services fournis par ces multiples plateformes impliquent la collecte et le traitement de grandes quantités de données sensibles, ce qui crée des défis techniques et juridiques et menace de porter atteinte à la protection et à la sécurité des données personnelles. Plus les données sont collectées et plus les parties prenantes sont nombreuses, plus le risque d’utilisation abusive, de fuite ou de piratage des données est grand, et plus le risque de préjudice pour les personnes réelles est élevé, explique le site, citant le cas de pays comme l’Inde et l’Argentine qui ont mis en œuvre des systèmes analogues
Au demeurant, le programme Mobile ID risque de creuser les inégalités sociales en Tunisie, car l’utilisation de ces services exige un niveau minimum de connaissances numériques, ainsi que l’accès à des technologies de plus en plus coûteuses telles que les smartphones et la connectivité Internet.
De faibles règles de protection des données
La législation tunisienne en matière de protection des données, la loi organique 63/2004 sur la protection des données à caractère personnel, aurait dû être mise à jour depuis longtemps pour répondre aux engagements internationaux du pays envers la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe (traité n° 108) et son protocole additionnel 181. L’indépendance (ou le manque d’indépendance) de l’autorité de contrôle de la loi, l’Autorité indépendante pour la protection des données personnelles (INPDP), suscite des inquiétudes, tout comme les exemples clairs d’acteurs des secteurs public et privé qui bafouent la loi sans répercussion. Par exemple, le décret-loi 54 sur les systèmes d’information et de communication, récemment adopté par la Tunisie sans aucune consultation de l’INPDP, permettra aux autorités de stocker et d’accéder aux enregistrements de toutes les communications électroniques sur la base de motifs vagues – une menace claire pour la liberté d’expression, affirme accessnow.
C’est, ajoute-t-il, dans ce contexte inquiétant que le ministère tunisien des TIC a lancé le projet Mobile ID ; un contexte où la protection des données et la vie privée des utilisateurs figurent au bas de la liste des priorités. Il n’est donc pas étonnant qu’à la fin de l’année 2022, seuls 36 466 citoyens aient adhéré au programme et que I Watch Organization, un organisme tunisien de surveillance de la corruption, remette en question la légalité et la sécurité de la plateforme « e-barid.tn » et déconseille aux citoyens de l’utiliser.
La société civile superbement ignorée !
Comme pour le lancement de tout programme numérique ayant un impact sur les droits fondamentaux des personnes, les autorités tunisiennes auraient dû consulter la société civile, des experts indépendants et le grand public à chaque étape de la conception, du développement et du déploiement du programme Mobile ID. Une telle consultation est essentielle pour favoriser la transparence et la confiance, et pour garantir la protection des droits de l’homme. Pour la même raison, des études proactives d’impact sur la protection des données et la sécurité numérique auraient dû être menées afin d’évaluer les menaces et les risques pour les utilisateurs, et de comprendre le montant des ressources nécessaires pour garantir des niveaux élevés de protection et d’efficacité.
Cela ne semble pas avoir été le cas jusqu’à présent et , à ce jour, les autorités tunisiennes ont également ignoré une demande de la société civile, cosignée par Access Now, le Forum tunisien des droits sociaux et économiques, la Ligue tunisienne des droits de l’homme, Al Bawsala et Avocats Sans Frontières, qui souhaitait obtenir des éclaircissements supplémentaires sur plusieurs éléments clés du programme, notamment des informations sur le type de données personnelles collectées et traitées, les normes de sécurité numérique utilisées, les institutions qui peuvent accéder aux données et si des études d’impact ont effectivement été menées.
Si le gouvernement tunisien souhaite renforcer la confiance du public dans son programme de transformation numérique, il doit ouvrir la « boîte noire » du Mobile ID et révéler ses rouages à la société civile, aux experts indépendants et au grand public, recommande accessnow. Le gouvernement doit mener des consultations ouvertes et transparentes non seulement sur le programme Mobile ID, mais aussi sur tous les projets susceptibles d’avoir un impact sur la vie privée des Tunisiens, la protection des données ou les droits à la sécurité numérique. « Dans le même esprit, nous encourageons les autorités tunisiennes à saisir cette opportunité pour réformer les règles existantes de protection des données, et à placer les droits de l’homme à la base de toutes les réformes numériques en Tunisie », indique accessnow.
