Coupe du monde et données personnelles – Les logiciels Hayya et Ehteraz, des “espions” de nos données personnelles ? 

Publié par le dans , , | Consulté 187 Fois

L’évènement de la Coupe de monde de football au Qatar, déjà fortement critiqué pour son impact écologique et la considération des droits humains, soulève une nouvelle question épineuse : la gestion des données personnelles des supporters se rendant sur le terrain. 

Le coup d’envoi des matchs de la Coupe du Monde était le dimanche 20 novembre. Alors qu’un million de supporters sont attendus au Qatar, la France fait partie des pays ayants acquis le plus de billets pour assister aux rencontres des joueurs français. 

Outre les nombreuses règles établies pour pouvoir entrer sur le territoire, l’une semble particulièrement critiquable au regard de la protection des données personnelles. Selon le guide du supporter français du ministère des affaires étrangères, seuls les visiteurs détenteurs de l’application Hayya et Ehteraz seront autorisés à entrer sur le territoire du Moyen-Orient. Officiellement, la première sert de passe permettant aux supporters d’accéder aux stades ainsi qu’aux transports publics gratuitement.

La deuxième a pour principe de tracer la prolifération du Covid-19 au Qatar.

« Après confirmation de l’achat de vos billets et de votre hébergement, vous devez demander une carte Hayya sur le portail dédié. Cette carte fera office de permis d’entrée au Qatar. La carte Hayya vous permettra également d’accéder aux stades et aux transports publics gratuitement »

Guide du supporter français du ministère des affaires étrangères

Un risque pour la sécurité des données personnelles des supporters ?

L’installation de l’application Hayya est donc un prérequis obligatoire pour entrer sur le territoire des Qataries. Effectivement, cette dernière permet d’accéder aux stades, d’utiliser le réseau gratuit de transports publics, d’accéder aux fan zones, de bénéficier de prix réduits sur certains services, ainsi que d’obtenir une carte SIM gratuite. 

Cependant, en contrepartie, l’application demande l’accès au partage d’informations personnelles avec peu de restriction. Elle permet à la fois de déterminer l’emplacement exact du mobile, ainsi que de visualiser les connexions au réseau de ce dernier.

L’application Ehteraz de son côté, s’avère être la plus envahissante en ce qu’elle demande l’accès pour lire, modifier ou supprimer tout le contenu du mobile mais aussi de l’empêcher de rester inactif. Elle demande aussi l’accès pour gérer d’autres applications.

“Personnellement, je n’apporterais jamais mon téléphone portable lors d’une visite au Qatar.”

Un conseil prodigué par le responsable de la sécurité du plus grand groupe de média norvégien NRK. 

Selon certains experts en cybersécurité, cette application pourrait s’apparenter à des logiciels d’espionnage. Elle fournirait aux autorités qataries un large accès aux données personnelles des usagers. 

L’intervention du gendarme des données personnelles 

Le risque de ces applications est d’autant plus important du fait de leur nouveauté. En effet, c’est ce qu’affirme Loïc Guézo, expert dans le domaine de la sécurité de l’information et de la gestion des risques, concernant l’application Hayya.

« Cette application est nouvelle, donc il y a plus de risques, car on n’a pas eu la possibilité de l’étudier en détail […].  L’autre problème, c’est aussi que ces applications demandent souvent des mises à jour. Le supporter n’est pas à l’abri, car ça peut donner accès à ses données, son carnet d’adresses, ses connexions à des systèmes de banque, ses messages, sa géolocalisation… »

Ainsi, le porte-parole est intervenu en proposant des recommandations, relayées par le Journal Politico

Premièrement, la CNIL conseille de se munir d’un téléphone vierge, ou plus spécifiquement d’un téléphone jetable. Le téléphone vierge ne contient par conséquent aucune donnée personnelle.  Concernant la recommandation d’utiliser un téléphone jetable, la raison semble évidente. En effet, il « suffit » de se débarrasser de l’objet au moment du départ. 

À cela, l’autorité de protection des données recommande aux voyageurs d’installer l’application juste avant leur départ et de la supprimer dès leur retour en France. 

L’intérêt est de conserver l’application pour les durées strictement nécessaires. 

Dans la même réflexion, les supporters sont également encouragés à “limiter au strict minimum la connexion en ligne aux services nécessitant une authentification”, à garder leur smartphone sur eux en permanence et à disposer d’un mot de passe fort

Ainsi, les supporters doivent veiller à limiter les autorisations « système » à celles strictement nécessaires.

De ce fait, le supporter supporte le risque et se doit d’être averti et vigilant sur l’utilisation de son smartphone, mais aussi sur son propre comportement. 

Au-delà de l’impact sur les données personnelles, le contrôle du comportement des supporters ? 

Récemment, la CNIL a publié une série de bonnes pratiques à suivre pour voyager en dehors de l’Union européenne et sécuriser les appareils électroniques. Ainsi, le 14 novembre, le gendarme des données personnelles rappelle également d’être vigilant sur les photographies prises dans un pays hors de l’Union. 

« Une vigilance particulière sera à apporter aux photos, vidéos, ou œuvres numériques qui pourraient vous placer en difficulté vis-à-vis de la législation du pays visité ». 

La limite porte sur aussi sur la considération des droits de l’Homme, et la conception de certaines libertés pourtant reconnues en France. Alors que le Qatar soulève l’indignation morale sur les sujets des droits de l’Homme, la question de l’homosexualité et des droits LGBTQ+ est au centre des condamnations. Alors que les vêtements abordant les couleurs de l’arc-en-ciel sont contrôlés et interdits, la CNIL avertit le spectateur sur la nécessité, que son téléphone soit en ligne ou hors ligne, de ne pas dévoiler sur celui-ci « son orientation sexuelle » ainsi que ses « opinions politiques et religieuses ». 

Au-delà du risque pour les données personnelles, ce sont les valeurs, opinions et idées des individus qui sont contrôlées. 

Un écho avec l’affaire du logiciel espion Pegasus ?

Concernant le projet Pegasus, les enquêtes dévoilent un scandale de surveillance numérique ciblée mondiale. 

Ce logiciel de pointe, de la société israélienne NSO Group, a été vendu à des États qui ont utilisé Pegasus pour cibler illégalement tout type de personnalité. En passant par des journalistes, des militants, des avocats ou encore des responsables politiques, cet outil initialement prévu pour la lutte contre le terrorisme et le crime organisé, a été détourné pour espionner.

Alors que ce scandale vient questionner sur l’urgence d’un besoin de réglementation sur les technologies de renseignements, les questionnements portant sur les applications Hayya et Ehteraz risquent de relancer les débats. 

La responsabilité de l’État face à cette atteinte aux droits fondamentaux ?

Alors que le Président français Emmanuel Macron affirmait qu’il ne fallait pas lier la politique avec le sport, le fait d’autoriser les spectateurs à se rendre au Qatar, malgré les menaces et risques pesant sur leurs données personnelles et plus largement leurs droits fondamentaux, et leur vie privée, le gouvernement n’a-t-il pas une certaine responsabilité ? 

Si en effet, il s’avère que cette application est effectivement un logiciel-espion, et si des données personnelles sont utilisées par les services qataries, une responsabilité ne pourrait-elle pas être recherchée ? 

À cela, outre les problèmes écologiques que l’organisation sportive engendre, la CNIL invente le concept de “smartphone à usage unique”. Cette autorité demande donc explicitement de mobiliser le système productif pour extraire, transformer, assembler et transporter les nombreux métaux qui composent un smartphone pour seulement 58 jours avant de le jeter.