Au cours des dernières années, des vagues d’abus choquants en matière de protection de la vie privée, de violations de données et d’abus se sont abattues sur les plus grandes entreprises du monde et sur des milliards de leurs utilisateurs. Dans le même temps, de nombreux pays ont renforcé leurs règles de protection des données.
La réaction de l’Inde, la plus grande démocratie du monde, a été curieuse et présente des dangers potentiels. L’Inde, qui est un nouveau géant de l’ingénierie, a un impact sur nous tous, et ses manœuvres en matière de cybersécurité ou de protection des données méritent toute notre attention. À première vue, le projet de loi indien sur la protection des données de 2019 semble s’inspirer de nouvelles normes mondiales, comme le droit d’être oublié. D’autres exigences, comme l’obligation de stocker des données sensibles dans des systèmes situés sur le sous-continent, peuvent imposer des contraintes à certaines pratiques commerciales et sont considérées comme plus controversées par certains.
Une caractéristique du projet de loi qui a été moins inspectée, mais qui est peut-être la plus alarmante de toutes, est la façon dont il criminaliserait la ré-identification illégitime des données des utilisateurs. Bien que cela semble prudent, cela pourrait bientôt mettre notre monde connecté en plus grand danger.
Qu’est-ce que la ré-identification ? Lorsque les données des utilisateurs sont traitées dans une entreprise, des algorithmes spéciaux découplent les informations sensibles comme les traces de localisation et les dossiers médicaux des détails d’identification comme les adresses électroniques et les numéros de passeport. C’est ce qu’on appelle la désidentification. Elle peut être inversée, de sorte que les organisations peuvent récupérer le lien entre l’identité des utilisateurs et leurs données lorsque cela est nécessaire. Cette ré-identification contrôlée par des parties légitimes est courante et parfaitement appropriée, pour autant que la conception technique soit sûre et solide.
L’Inde, peut-être en réponse directe à ces menaces, a l’intention d’interdire la ré-identification sans consentement (alias ré-identification illégitime) et de la soumettre à des sanctions financières ou à des peines de prison. Si l’interdiction d’actions potentiellement malveillantes peut sembler convaincante, notre réalité technologique est beaucoup plus complexe. Les chercheurs ont démontré les risques d’une ré-identification due à une conception négligente. Cette interdiction universelle et absolue de la réidentification peut même accroître le risque de violation des données, car les propriétaires peuvent se sentir moins incités à protéger la vie privée de leurs systèmes.