Le Gsara, à travers sa campagne « Numérisation des services publics : L’envers du décor », a, cette année, voulu mettre en lumière l’écart existant entre les modalités actuelles de la numérisation des services publics et les besoins et vécus des citoyens. Un nouvel exemple a récemment réactualisé le propos : le projet d’Ordonnance Bruxelles numérique, préparé par le cabinet de Bernard Clerfayt, Ministre bruxellois en charge de la Transition numérique. Celui-ci a rencontré une vive et large réaction de la part de nombreuses associations. Elise Degrave, chercheuse à l’Université de Namur et spécialiste de l’e-gouvernement, a répondu à nos questions sur la question.
Dans sa réponse à la carte blanche qui dénonce le projet d’ordonnance Bruxelles numérique en préparation, Bernard Clerfayt insiste sur l’automatisation des droits, qui est l’un des objectifs affichés de la continuation de la numérisation des services publics régionaux selon les modalités actuelles. Cette automatisation est vue comme un mécanisme dont les effets sont uniquement positifs. Vous estimez pourtant que ce n’est pas forcément le cas.
Elise Degrave : Il faut commencer par ce que signifie l’automatisation des droits. C’est le fait, pour une personne, d’obtenir un droit que lui octroie la loi sans avoir à le demander. C’est très positif dans la mesure où cela permet de recevoir automatiquement de l’argent sur son compte en banque, que ce soit une allocation ou une réduction sur une charge, comme par exemple le tarif social énergie, qui est le droit le plus automatisé. On parle d’ailleurs beaucoup de ce tarif social pour le moment avec la crise énergétique, mais il faut savoir que ce n’est pas nouveau puisqu’il s’agit du premier droit que l’on a automatisé dans les années ‘90, et qui a servi d’argument pour convaincre les administrations et les politiques de s’engager dans la numérisation administrative. Grâce à des croisements de données réalisés à l’avantage des citoyens, on a pu mettre en avant la facilitation que cela représentait pour ces derniers en termes de démarches. De manière générale, cela fonctionne très bien. Mais la question qui demeure, c’est la qualité des données.
L’automatisation du tarif social énergie est rendue possible grâce à l’échange de données entre plusieurs administrations. Mais si une donnée est affectée par une erreur, se produit alors ce qu’on appelle un effet domino. C’est-à-dire que l’erreur va contaminer toute la chaîne de décisions. Au final, le fournisseur d’énergie qui devra refuser l’octroi du tarif social le cas échéant ne pourra pas répondre au citoyen sur les raisons du refus puisque l’information lui vient d’ailleurs.
Du point de vue technique, les fournisseurs d’énergie envoient leur infos au SPF Economie. Celui-ci confronte le nom des clients au registre national avant d’envoyer le fichier à la Banque carrefour de la sécurité sociale qui est l’institution qui organise le croisement de données entre les administrations de sécurité sociale. C’est cette dernière qui vérifie qui a droit au tarif social énergie, avant de renvoyer l’information au fournisseur d’énergie, qui appliquera donc automatiquement la décision.
Le fait qu’il y ait tellement de données qui sont traitées par l’État, doublé du fait que la transparence des données n’est pas bien organisée, revient, lorsque l’on veut rechercher une erreur dans le parcours des données, à chercher une aiguille dans une botte de foin. Ce qui se joue ici est donc la traçabilité des données.
Vous dites qu’un État qui se numérise totalement est un État qui s’asphyxie. Qu’entendez-vous par là ?
E.D. : Dans les administrations, on va de plus en plus supprimer l’humain. On le voit, il est de plus en plus souvent remplacé par des écrans. L’argument avancé est que l’humain est subjectif, qu’il va être confronté à des dilemmes moraux, qu’il va poser des questions sur les règles qu’il doit appliquer, qu’il risque de les remettre en question.
Il y a aussi le fait qu’il pourrait être un lanceur d’alerte, c’est déjà arrivé, notamment en matière de protection des données. Rôle par ailleurs essentiel, aussi en ce qu’il est crucial pour la recherche. L’humain n’est donc pas à considérer comme un bug dans la matrice, mais a au contraire un rôle très important à jouer, en ce qu’il interprète les règles de droit, pour les appliquer de manière raisonnable et pour constater parfois que la règle ne va pas et qu’elle devrait être modifiée. Or, en supprimant l’humain, on risque de créer un État qui tourne sur lui-même, puisqu’un algorithme[1] ne fait qu’exécuter la manière dont on l’a paramétré. Imaginons un exemple : on est dans une smartcity[2], des puces sont installées sur des bulles à verres. Il est prévu qu’une fois que l’une est remplie, la puce envoie un signal afin qu’un petit camion autonome arrive pour la vider. Certains s’en montreraient très satisfaits, du fait que le problème des déchets est pris en charge, les bulles ne restant jamais pleines. Or au contraire, un des effets de la chose sera, du fait de l’invisibilisation de ce traitement, une disparition de la question des déchets dans le débat public.
Le droit organise pourtant lui-même sa remise en question, notamment via la Cour constitutionnelle. Il a prévu qu’il se pouvait qu’une règle ne soit pas bien faite et qu’il était important de pouvoir la contester. Mais dans un système automatisé, la contestation n’a pas sa place. Or, la critiquer est une tendance actuelle. Je pense par exemple au Bourgmestre de Bruxelles qui a dit récemment que les recours citoyens au Conseil d’État étaient le frein au développement de la Ville. C’est-à-dire qu’on considère la contestation citoyenne comme un obstacle plutôt que comme une force.
Pour finir sur la question de l’automatisation, encore deux remarques. Premièrement, il est important de souligner que tous les droits ne sont pas automatisables. Par exemple, cela n’a pas de sens d’automatiser la réduction d’un abonnement Internet, puisqu’il y a beaucoup de personnes qui n’en ont pas, entre autres parce qu’elles n’ont pas les moyens. Il s’agira donc là d’être proactif afin de communiquer l’existence du droit à une réduction tarifaire, afin d’encourager, plutôt que d’automatiser. Ensuite, afin de permettre au citoyen de garder une prise sur l’administration et son fonctionnement, il faut bien veiller à garder conscience de nos droits, à s’assurer que l’État les respecte. Et pour cela, quand un droit est automatisé, il s’agit de bien communiquer auprès du citoyen sur celui-ci. Surtout dans le cas où l’automatisation concerne une réduction, et n’est pas aussi visible qu’une allocation versée sur son compte.
Comment fonctionne cette automatisation des droits ? Comment est-elle rendue dans notre administration ? Notamment en termes d’algorithme public et de croisement des bases de données. Par rapport à ce dernier, quelles questions sont posées à cet égard du point de vue juridique ? Et en quoi est-ce susceptible de poser des questions sensibles à l’endroit de la protection de la vie privée et des données ?
E.D. : Le modèle belge est tout à fait original, et d’autres pays étrangers nous l’envient, notamment la France. Il a été mis en place dans les années ‘90, ce qui fait de nous des pionniers en termes d’administration numérique. L’idée a été de ne pas mettre tous les œufs dans le même panier. La question s’est posée un moment de faire une grande base de données à partir de toutes les données des citoyens. Devant la vulnérabilité que représentait le modèle en cas d’attaque, nous avons organisé une décentralisation des données, c’est-à-dire que l’on enregistre une donnée une seule fois dans l’administration dont c’est la compétence. Par exemple, les données d’identité sont enregistrées au Registre national, celles des enfants dans la base de données des allocations familiales, … Et puis, on a mis en place un système pour les faire circuler au sein de l’administration. Nous avons donc un modèle d’administration en réseaux. On identifie des administrations qui ont un point en commun, par exemple la sécurité sociale, on les regroupe en sein d’un réseau, le réseau de la sécurité sociale. Et au milieu de ce réseau, on place une administration, ici la Banque carrefour de la sécurité sociale. C’est cette dernière qui va être chargée de faire circuler les données d’une base de données vers une autre. Par exemple, si le SPF Finances a besoin de l’adresse d’une personne pour envoyer la déclaration fiscale, c’est la Banque carrefour qui va chercher l’information au Registre national, et qui va la lui envoyer. Ce système permet donc de ne pas enregistrer toutes les données au même endroit, en même temps qu’il permet aux administrations de les utiliser. C’est une concrétisation avant l’heure de ce qu’on appelle la « privacy by design », c’est-à-dire tenir compte de la vie privée dès l’architecture de l’administration. C’est un modèle qui fonctionne bien, mais qui pose plusieurs problèmes. Dans un État de droit, le citoyen doit être protégé d’une administration toute puissante, qui prend des décisions très importantes à son égard, et qu’il est susceptible de ne plus comprendre. À cet égard, il y a trois piliers à respecter que sont la transparence, la légalité et le contrôle.
Au niveau de la transparence tout d’abord, il faut savoir que le dossier du citoyen n’existe plus. Ni en papier, ni numériquement, puisqu’il est éclaté. Chaque citoyen est considéré comme une somme de données dispersées. Le RGPD octroie le droit à chacun de savoir où sont ses données. C’est ce qu’on appelle le droit d’accès. C’est important pour vérifier qu’il n’y a pas d’erreur, mais aussi pas d’abus, comme ça a déjà pu arriver, du fait d’agents administratifs. Or, pour le moment, il y a un problème de traçabilité : c’est très difficile de savoir où sont nos données, et par où elles sont passées. Ce qui peut paraître assez paradoxal, quand on voit par exemple à quel point il nous est facile de suivre le parcours d’un colis acheminé par la poste.
Sur l’enjeu de la légalité, il s’agit de s’interroger sur qui décide de ce croisement des données, du réseau d’administrations, et des outils qui sont mis en place. À cet égard, la technocratie est l’une des grandes menaces qui pèsent sur la démocratie. C’est-à-dire que bien souvent aujourd’hui ces décisions sont initiées par des ministres qui travaillent avec des sociétés de consultance qui conçoivent les outils. S’ensuit le vote au Parlement majorité contre opposition sans réel débat démocratique au motif que c’est trop technique. Or ce n’est pas aussi radical : quand on se plonge dans la matière, on la comprend. Il est essentiel que le législateur reprenne la main pour encadrer ces outils, les ancrer dans des lois. Celles-ci doivent contenir les éléments essentiels des traitements : qui a accès à quoi ?, pour quoi faire ?, pendant combien de temps ? Ce sera une manière de savoir ce qui se passe, voire aussi éventuellement contester ce qui est mis en place. Il faut bien veiller à cette occasion à ne pas détricoter les balises qui ont par ailleurs été mises en place entre les différentes bases de données, afin d’éviter des utilisations abusives de données. Or, c’est une tendance actuelle, et on l’a vu clairement pendant le Covid. La loi Pandémie comportait par exemple initialement une disposition concernant les données à caractère personnel que l’on peut résumer en une phrase, malgré qu’elle apparaissait très touffue : en cas de crise, était prévu que tout soit permis avec les données : mélanger les bases de données, collecter de nouvelles données, … Le danger étant qu’une fois qu’on aurait mélangé les données, on ne serait jamais revenu à un état antérieur. C’est-à-dire que c’était la porte ouverte à une centralisation des données. Heureusement, ce n’est pas passé, du fait de la vigilance de certains chercheurs, mais ça montre qu’il faut pour le moins rester attentif à ce que le débat existe.
Le dernier enjeu est celui du contrôle : on ne peut pas exiger des citoyens qu’il contrôle eux-mêmes les algorithmes, les croisements de données, … Il faut des autorités qui les aident. Et ça ne peut pas seulement être le fait de juridictions. Parce que c’est difficile d’agir en justice, ça coûte cher, ça met du temps. C’est pour ces raisons qu’on a mis en place l’Autorité pour les données. Elle a pour rôle d’agir comme un chien de garde en ce qui concerne les données mais qui a dernièrement posé beaucoup de problèmes dans son fonctionnement.
Dans sa réponse, Bernard Clerfayt oppose la numérisation à la fracture numérique. À la condition de la continuation de l’une, il insiste sur le nécessaire accompagnement de la réduction de l’autre. La numérisation n’excède-t-elle pas la question de l’accessibilité dans ce qu’elle induit des points de vue social et culturel ?
E.D. : Quand on parle d’administration numérique, on parle essentiellement de deux choses. On vise les démarches des citoyens face à l’administration, et aussi ce qui se passe en coulisses. L’administration numérique, ce n’est pas une simple modernisation de l’administration papier. Il est clair qu’une base de données soulève d’autres enjeux qu’un fichier papier, notamment en termes de réutilisation des données. En interne, il y a un vrai bouleversement au niveau du fonctionnement de l’administration. Le numérique a fait réaliser aux administrations qu’elles pouvaient collaborer, d’où le fait d’échanger des données. C’est pourquoi on décloisonne de plus en plus ces administrations. Si certains estiment qu’ils n’ont rien à cacher, qu’ils donnent déjà tout à Google, et que ce n’est donc pas grave, il s’agit de se rendre compte que la crainte ne se situe pas là, mais dans le fait de se trouver dans une situation où l’on ne comprendrait plus rien. Le danger serait de se retrouver face à une administration kafkaïenne, qu’on ne comprendrait plus alors même qu’elle deviendrait de plus en plus puissante grâce aux outils numériques. On donne à l’État des informations concernant toutes les facettes de notre vie : notre situation familiale, fiscale, de santé, patrimoniale, ceci se faisant sous le coup de devoirs, d’obligations, et sous la menace d’une contrainte de sa part dont elle a le monopole (police, prison, …). Son rôle dépasse donc largement les GAFA, qui canalisent pourtant toute notre attention. C’est pourquoi il est important de le contrôler, et de s’assurer que son pouvoir est utilisé correctement.
Vous avez travaillé sur les questions relatives au droit à la protection de la vie privée par rapport à la carte d’identité électronique. Le Secrétaire d’état chargé entre autres de la Protection de la vie privée, Mathieu Michel, a annoncé pour 2023 l’arrivée d’un portefeuille électronique. Quelles sont vos réactions face à cette annonce ?
E.D. : L’idée du portefeuille électronique est avant tout européenne. Il s’agit de créer un espace personnel en ligne avec nos documents administratifs. Ça peut paraître séduisant mais il faut faire attention, considérant surtout notre modèle d’administration. Le risque de piratage serait de nouveau accru en cas de centralisation de nos données. Au niveau de l’utilisation de la carte d’identité, il s’agit aussi d’être vigilant. Il existe déjà en Belgique une société qui propose d’utiliser la carte d’identité comme une carte de fidélité. À mon sens, c’est très problématique parce qu’est proposé de faire un usage commercial d’une carte qui contient nos données administratives. Or, le client ne sait pas lesquelles de ses données sont prélevées lors de cette opération. Or il y en a beaucoup, y compris sa photo, et, pendant un temps, le numéro de registre national, avant qu’une condamnation judiciaire ait empêché cette dernière d’être encore saisie dans ce cadre. Ensuite, ces données se retrouvent dans la base de données de la société en question. Donc, au départ des données administratives combinées aux achats effectués, un profilage à des fins commerciales devient possible. Quoi qu’on en pense, il s’agit d’en être a minima informé au moment où notre carte est insérée dans le terminal. Cette même société prévoit actuellement d’étendre encore l’usage de la carte d’identité pour en faire une carte de paiement, ce qui accroîtrait encore les données saisies, puisqu’elle aurait aussi, en plus de tout le reste, des données financières en sa possession.
Interview réalisée et mise en forme par Nadid Belaatik
[1]Suite d’instructions mathématiques exécuté par un programme informatique et utilisé de plus en plus souvent pour mettre en œuvre des règles de droits, en organisant par exemple les croisements de données
[2]Terme très à la mode, qui vise à automatiser toute une série de choses par le numérique
