Plus que jamais, besoin d’ un état tiers de confiance fort : Le confinement a rappelé à tout le monde qu’il faut avoir un tiers de confiance, si possible choisi démocratiquement qui prend les bonnes décisions pour la communauté et les impose dans des diktats parfois liberticides. Fort de ce rappel, l’état devrait rattrapper son retard (par rapport aux directives européennes notamment) pour reprendre ce rôle régalien de Tiers de confiance digital. (…)
Ce Tiers de Confiance régalien doit pouvoir garantir notre identité numérique et l’utilisation faite de nos données personnelles. C’est un pré-requis notamment avant de se lancer dans du contact tracking à grande échelle ou encore en période de relance pour verser rapidement des allocations personnelles en évitant de la fraude massive. La solution estonienne Xroad a démontré son efficacité aussi bien au niveau technique qu’au niveau de sa gouvernance …. et elle est peu coûteuse. Dans une période frugale, montrons à notre ministre Cédric O qui vient de relancer le chantier le chemin à suivre en apprenant à copier un membre de l’EU qui ne demande que cela.
Au cours de plusieurs voyages en Estonie, nous avons pu voir comment un petit État de 1,4 millions d’habitants complètement fauché après plus de 40 ans d’occupation soviétique, a pu construire à partir de 1999 une plateforme tiers de confiance digitale. Avec la X-Road, la vie des Estoniens au niveau administratif est simplifiée et l’état fait des économies monumentales ( et à réussi à combattre voire éradiquer la corruption locale). Alors que nous sortons d’une crise dans laquelle l’Etat a dû prendre des mesures liberticides de façon très rapide, il lui manquait l’appui et la crédibilité d’une plateforme digitale tiers de confiance pour être plus efficace sur deux sujets:
- l’application de contrat de tracking
- les plans de relance vers les individus, vers les Français en pouvant rapidement injecter du cash dans l’économie sans avoir à subir des tas de fraudes comme aujourd’hui.
Pourquoi et comment le gouvernement estonien sans beaucoup de moyens a réussi à mener à bien ce projet surtout d’un point de vue de la gouvernance ? Il y a eu à l’origine deux promesses très fortes qui ont été tenues :
- la première c’est « Only Once » : je vous demanderai qu’une seule fois une information administrative et pas deux fois, et l’administration fera en sorte qu’elle soit partagée par les services compétents qui en a besoin ;
- et la deuxième promesse c’est la transparence ;
Et l’une va avec l’autre.
Rapidement en termes d’architecture, pour chaque information, l’Etat décide quelle administration centrale est la plus légitime pour la demander une seule fois au citoyen et la conserver de façon sécurisée. Ensuite les autres administrations, suivant le travail qu’ils ont à faire pour le citoyen, peuvent avoir accès à cette information. La demande transit – de façon visible par chaque citoyen sur les information le concernant – par le bus central de connectivité (Xroad) reliant toutes ces bases de données. L’administration demanderesse a interdiction de stocker la data qu’il demande : une fois utilisée, ils la détruisent. Ceci a pour merveilleuse conséquence que finalement en regardant ce qui se passe sur ce bus de transfert, le citoyen consommateur, tous les jours, peut voir l’activité de l’Etat sur sa propre personne et éventuellement soulever des objections.
Depuis 2004 et petit-à-petit, 400 services administratifs ont été proposés au citoyen Estonien qui va en moyenne 4 fois par an sur la plateforme et arrive à faire pratiquement tous les process de sa vie, … à l’exception de 2 process qu’ils ont considéré hors limite et qu’on doit encore faire en physique, à savoir le mariage d’un côté, et l’achat de la résidence principale de l’autre. Mais sinon tout le reste vous les faîtes que cela soit pour déclarer une nouvelle situation de chômage, que vous partiez au service militaire et que vous avez droit à telle ou telle allocation… tout se fait sur la XRoad.
L’Etat tiers de confiance a dû faire une promesse forte et la graver dans le marbre en disant que toute transaction faite sur la XRoad avec l’identifiant unique, sous forme de carte d’identité digitale insérée dans le port USB de n’importe quel ordinateur, prévalait par rapport à toute signature physique sur du papier. L’Etat a donc pris au sérieux son rôle de tiers de confiance responsable pour tous les problèmes d’escroquerie, de cyberattaque etc. Il a pris son rôle régalien au sérieux en disant « je vous garantie l’identité digitale de celui qui est à l’autre bout de l’Internet en train de faire cette transaction avec vous ».
Quels sont les obstacles à franchir ? Pourquoi les Estoniens sont arrivés, je dirai, aussi bien et de façon aussi économique … alors que nous, nous sommes toujours là à en discuter ?
- Premier argument : ils partaient d’une feuille blanche, d’une administration quasi inexistante après le départ des Soviétiques 10 ans plus tôt, alors que nous, nous avons déjà des tas de systèmes. En résumé, chaque Français a, ou plutôt peut avoir, 3 identifiants digitaux pour la sécurité sociale, pour les allocations et encore pour la poste et les impôts… autant dire aucun… et de plus ils ont dû faire frugal étant sans ressources ce qui est toujours un bon moteur pour l’innovation.
- Ensuite pour certains, “faire quelque chose à 1,4 millions d’habitants c’est beaucoup plus facile qu’à 60 millions… ce n’est pas comparable, on ne doit pas copier: il faut faire la “french road! “ Le contre argument pour tout cela c’est de dire qu’un autre pays l’a fait avec une autre culture et pour 1,4 Milliard de Chinois. Ils ont pu le faire, donc ce n’est pas une question de milliards ou de millions, c’est une question de volonté politique et de gouvernance adaptée
- Enfin, certains ont peur d’un Etat qui potentiellement pourrait voir toutes les transactions. Et là, il faut montrer le mérite du principe de transparence. Les Estoniens racontent comment ce controle marche par un fait divers ; une femme qui venait de se séparer de son conapgnon commisaire de police, regarde le trafic qu’il y a eu sur son compte, voit que la sécurité sociale lui a fait un remboursement – très bien – mais s’aperçoit que le commissariat de police à l’autre bout du pays vient de s’enquérir de sa nouvelle adresse. Et là, horreur, elle reconnaît l’origine qui est son ex compagnon, qui usurpe ses droits de commissaire de police pour régler des problèmes personnels. Elle le dénonce et le commissaire de police s’est retrouvé en prison pour 3 semaines.
En France, suite à la seconde guerre mondiale et aux rafles juives faites par la consolidation de tous les fichiers de l’administration française, la loi de 1945 interdit toute nouvelle consolidation de fichiers administratifs… ce qui fait que sur ce sujet là, les Français sont assez chatouilleux. Mais aujourd’hui, c’est un peu naïf et hypocrite de croire qu’il n’y a pas – quand il le faut – une consolidation des informations personnelles pour venir trouver les resquilleurs. Tout cela ne marche pas très bien, on le voit en action, par exemple, sur l’anti blanchiment : il y a des bons résultats mais ne sont pas systématiques. De plus, les GAFAM en exploitant un consentement moux de votre part, ont un profil sur votre vie impressionnant de précision comme l’a démontré Roger McNamee dans son livre Zucked.
Une conséquence de la démonstration faite par les sénateurs américains de la très facile interférence d’un état étranger dans une élection locale* est que l’internet occidental est en fait un internet américain construit sur des valeurs américaine (first amendment garantissant jusqu’à l’absurde le droit d’expression et la liberté garantissant l’anonymat) non compatible avec le droit européen marqué par les tragédies du XX ème siécle qui arrête la liberté à l’incitation à la haine. En bref, l’internet occidental est construit “cul par dessus tête” avec un double principe d’anonymat et la défiance alors que nos relations dans le vie de tous les jours sont basé sur la connaissance de l’autre et la confiance. Avec un Tiers de Confiance régalien retrouvé, il est possible de le reconstruire sur des bases plus saines.
La France, avec un Etat fort et contrôlé démocratiquement devrait avoir cette vision pour assurer justement son rôle de tiers de confiance.
Rappelons également que nous sommes rentrés depuis plusieurs années en cyber guerre qui est une guerre qui se joue entre géants experts et que l’Etat se doit d’être parmi les meilleurs en cyber défense pour protéger nos vies. Il faut bien croire qu’il y aura moins d’incidents de hacking que dans les sociétés privées comme Equifax aux USA qui s’étaient vu volé le profil avec sécurité sociale, adresse, date de naissance de centaines de millions d’Américains.
En conclusion, oui nous sommes rentrés dans un monde digital où nous sommes un peu tout nu. L’Etat doit jouer ce rôle de tiers de confiance en nous donnant notre identité digitale, de même qu’il nous donne notre « identité papier », si j’ose dire ou « identité physique »… et être capable de la défendre.
Les gains pour la nation sont très importants. Ainsi les Estoniens qui dont un tout petit pays paradoxalement ont deux fois moins de fonctionnaires ou assimilés par habitant que la France, ceci d’après les chiffres européens. Ce qui montre la performance atteinte.
Dans l’industrie, nous avons vu aussi les gains de productivité qui peuvent être fait. A l’époque où en France dans l’immobilier on parle beaucoup de la BIM, les Estoniens s’y sont mit il y a 4 ou 5 ans, une fois que toutes les parties prenantes entre les architectes, les syndics, les promoteurs, etc… jusqu’au citoyen consommateur comprennent le gain qu’ils pouvaient avoir sur une BIM unique avec un standard unique et que chacun arrête de faire sa petite guerre de standard.
Ensuite et pour conclure, et en revenant à la pandémie : dans le système estonien, il y a bien sûr tout l’historique de santé qui est préservé. Ce qui permet une efficacité redoutable, une facilité dans les usages quand je vais à la pharmacie pour retirer un médicament… et ceci aussi, pas uniquement quand je suis en Estonie mais aussi en Finlande. Et c’est pour cela que les Estoniens rêvent que leur standard devienne le standard européen et que ceci puisse se passer à travers toute l’Europe. Mais surtout quand vous avez un tiers de confiance bien en place, faire du contact tracking ne pose aucun problème et peut enrayer l’épidémie de façon plus efficace que quand on doit le faire à la main comme en France aujourd’hui comme en témoigne le chiffre de 4,5 mort covid pour 100 000 habitants comparé à nos 45 morts francais/100 000.
De plus, un tel système transparent freine énormément, voir arrête la corruption. Quand on compare les 3 pays baltes entre eux – Lettonie, Estonie et Lituanie – partis dans les mêmes conditions après la chute du mur de Berlin, seule l’Estonie est arrivée à se sortir de ce système quasi mafieux de corruption grâce à la XRoad.
Rappelons-nous, en France, la cour des comptes chaque année hurle sur toutes les inefficacités et toutes les fraudes notamment sur les allocations familiales, sur la sécurité sociale étant donné que l’on n’a pas ce système d’identifiant unique contrôlé par l’Etat.