Une forme d’identification numérique doit bénéficier des mêmes protections de confidentialité et de sécurité que les pièces d’identité physiques. D’autant plus que les normes qui les régissent sont très nouvelles et non testées. C'est au cœur des commentaires que l'EFF et d'autres ont soumis récemment. Pourquoi maintenant? Eh bien, en 2021, le DHS a lancé un appel à commentaires sur les permis de conduire mobiles (mDL). Depuis lors, la Transportation Security Administration (TSA) a entrepris un processus visant à faire des mDL une identification acceptable dans les aéroports, et de plus en plus d'États ont adopté les mDL avec soit une application sponsorisée par l'État , soit Apple et Google Wallet .
Avec les règles mDL proposées par la TSA, nous nous demandons : qu'est-ce qui est pressé ? La ruée de l’agence vers les mDL est peu judicieuse. Par exemple, de nombreux dispositifs de protection de la vie privée mDL ne sont pas encore bien pensés, les normes référencées ne sont généralement pas accessibles au public et la portée des mDL s'étendra au-delà du contexte d'une ligne de sécurité aéroportuaire.
Ainsi, l'EFF a soumis des commentaires à la TSA avec l'American Civil Liberties Union (ACLU), le Center for Democracy & Technology (CDT) et l'Electronic Privacy Information Center (EPIC). Nous nous opposons aux règles proposées par l'agence visant à renoncer aux réglementations actuelles en matière d'identification réelle pour les permis de conduire mobiles. Une telle action fédérale prématurée peut porter atteinte à la vie privée, à la sécurité de l’information, au contrôle démocratique et à la transparence dans le déploiement des mDL et autres identifications numériques.
Même si les organismes de normalisation comme l'Organisation internationale de normalisation (ISO) disposent de cadres pour les mDL, ils ne traitent pas divers problèmes, comme le fait qu'un mDL puisse potentiellement « téléphoner à la maison » à chaque fois qu'il est numérisé. Les dispositifs de protection de la vie privée font toujours défaut et il appartient à chaque État de les mettre en œuvre à sa manière. Avec le processus de dérogation proposé par la TSA, le développement de mDL sera probablement encore plus fragmenté, avec certaines implémentations meilleures que d'autres. Cela s’est produit avec les informations d’identification numériques pour les vaccins.
Une autre préoccupation est que les normes référencées dans les règles proposées par la TSA relèvent de groupes privés et fermés comme l'American Association of Motor Vehicle Administrators (AAMVA) et le processus ISO qui a généré sa spécification 18013-5: 2021 . Ces normes n’ont pas été éclairées par suffisamment de transparence et de contrôle public. En outre, il existe d’autres normes plus ouvertement discutées qui pourraient ouvrir la voie à l’interopérabilité. Le manque de conseils concernant les approches de provisionnement, de stockage et de préservation de la confidentialité est également une source de préoccupation majeure. La confidentialité ne devrait pas être une réflexion après coup, et nous ne devrions pas suivre le modèle de l’échec rapide avec des informations aussi sensibles.
Compte tenu de la mission et des méthodes de la TSA, cette agence ne devrait pas être à la tête de la création de règles mDL à l’échelle nationale. Cela pourrait conduire à un système national d'identité numérique, auquel l'EFF s'est longtemps opposée , dépassant ainsi la position de l'agence bien au-delà de l'aéroport.
Mis à part les intentions bien intentionnées visant à permettre aux États « d’innover », les mDL réalisés plus lentement et correctement constituent une plus grande victoire que la rapidité et potentiellement dangereuse. Les mesures de protection de la vie privée nécessitent également de l'innovation, et le risque pour la vie privée est immense lorsqu'il s'agit de documentation numérique.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2023/10/privacy-advocates-tsa-slow-down-plans-mdls le Wed, 18 Oct 2023 21:08:10 +0000.