Echos de l’Histoire : De l’importance de l’identité décentralisée

Le 26 janvier 2020, à l'occasion du 75ème anniversaire de la libération d'Auschwitz, Mark Rutte, le Premier Ministre des Pays-Bas, a présenté des excuses historiques pour la manière dont le pays avait failli vis-à-vis de ses citoyens juifs pendant la guerre, entrainant la déportation et le meurtre de plus de 100 000 d'entre eux par les nazis. Il a reconnu que les institutions publiques du pays avaient joué un rôle dans cette tragédie, en déclarant : « Lorsque l'État lui-même est devenu une menace, nos institutions publiques n'ont pas rempli leur devoir de gardiens de la justice et de la sécurité. Certes, au sein du gouvernement aussi, il y eut aussi de la résistance à titre individuel. Mais trop de fonctionnaires néerlandais ont simplement fait ce que les forces d’occupation leur demandaient¹. »

Une reconnaissance similaire avait été faite presque 25 ans plus tôt par le président français Jacques Chirac, qui déclarait que « Oui, la folie criminelle de l'occupant a été secondée par des Français, secondée par l'État français² ». En France, environ 76 000 Juifs français et étrangers ont été déportés par les nazis, dans le contexte d’une population nationale plus grande, comptant également davantage de Juifs.

Quand on regarde froidement les chiffres, la différence entre les pays est terrible : aux Pays-Bas, 75% des Juifs ont perdu la vie, contre 23% en France. La différence tient à la manière dont ces pays ont géré leur état civil et décidé d’enregistrer ou non. Étant donné que les régimes finissent toujours par changer, que les données passent inévitablement de main en main, ce type de considération est essentiel.

C’est encore particulièrement le cas aujourd'hui, alors que les changements de régime se produisent plus rapidement et favorisent les extrêmes. De nouveaux gouvernements s’emparent du pouvoir ou sont à sa porte, portés par des déclarations d’intolérance et de haine. L'exemple le plus récent est justement aux Pays-Bas, où l'islamophobe et isolationniste Geert Wilders et son parti PVV ont remporté suffisamment de voix pour espérer être nommé Premier Ministre³. Il a promis d'interdire le Coran, et on frémit à l'idée de ce qu'il pourrait faire avec les registres d’état civil des musulmans. Mais il est loin d'être le seul. Viktor Orbán, le Premier ministre autoritaire de Hongrie, a mené des attaques contre la communauté LGBT⁴. Marine Le Pen est de plus en plus proche de la présidence française, en tant que chef du Rassemblement National. Aux États-Unis, Donald Trump, la Cour d'appel du cinquième circuit et même la Cour Suprême ont attaqué les droits des personnes défavorisées. On voit ainsi réapparaître de nombreux phénomènes similaires à ceux observés avant et pendant la Seconde Guerre mondiale. Mais le danger s’est considérablement accru, à la mesure de nos capacités de collecte de données personnelles.

Nous devons tirer les leçons du passé, d’autant plus que les technologies relatives à l'identité numérique couvrent des dimensions allant au-delà de celles du monde physique. Nous devons en tenir compte dans le domaine de l'identité auto-souveraine, qui vise à protéger la dignité et l’autonomie de l’être humain dans le monde numérique. Nous devons aussi y veiller dès qu’il est question de la mise en place d’un système de gestion des identités. Il nous faut tenir compte des graves enseignements de l'histoire, afin de nous assurer que les technologies numériques de l’identité ne soient jamais mises au service d’un nouveau génocide.

–

Un registre impeccable : la contribution tragique de Lentz

L'histoire de l’état civil aux Pays-Bas pendant la Seconde Guerre mondiale est toujours visible à Amsterdam, au Monument National des Noms de l'Holocauste. C’est là que le Premier Ministre Mark Rutte a prononcé son célèbre discours en 2020. C’est aussi à quelques rues de là, à l'intersection de Plantage Kerklaan et de Plantage Middenlaan, que se trouvait autrefois le bâtiment municipal où les registres de la population de la région étaient conservés.

Aujourd'hui, on ne voit rien d’exceptionnel là où se dressait ce bâtiment, à part une simple plaque commémorative fixée à un mur. Elle porte l'inscription : "27 Maart 1943: Vernieling Bevolkingsregister" : 27 mars 1943 : destruction du registre de la population. Pourtant, c'est ici que l’on retrouve la trace de l’ultime tentative de la Résistance néerlandaise pour détruire les informations permettant de localiser les Juifs d’Amsterdam, suite à leur collecte systématique par l’administration.

Comme l'a reconnu le Premier Ministre Rutte, cette histoire est très liée à celle de l'administration civile néerlandaise. Les nazis la saluaient comme "germanique" en raison de son ordre méthodique. À tel point que l’autorité allemande a laissé les cadres néerlandais gérer les affaires courantes. L’histoire commence avec l’un de ces fonctionnaires, du nom de Jacobus L. Lentz.

En 1932, Lentz est nommé à la tête de l'Inspection Nationale des Registres de la Population aux Pays-Bas. C’est un poste important dans les années 1930 en raison de la Grande Dépression : l'Inspection garantissait un accès équitable aux services de base à tous les citoyens. Son efficacité permit même à la petite nation d'aider ses citoyens à échapper à la pauvreté et de s'en sortir mieux que les plus grandes puissances européennes pendant les années 30. Cherchant à maintenir et à améliorer cette efficacité, le gouvernement néerlandais chargea Lentz d’instaurer cohérence et uniformité aux registres de la population dans tout le pays.

Lentz joua ainsi un rôle essentiel dans ce qui suivit. Dès 1936, un décret exige que chaque résident des Pays-Bas possède une carte d'identité personnelle, une copie devant être portée sur soi et un duplicata archivé dans les archives civiles. Ces archives contenaient également une mine d'informations sur l’identité des personnes, y compris le genre, la race, l'ethnie, la profession, le domicile, les relations familiales et la religion. Elles étaient centralisées dans un seul bureau pour chaque région des Pays-Bas et utilisaient les mêmes systèmes afin de rendre les données interopérables et de s’assurer de leur utilité dans le cadre de la planification et de la gestion administrative.

Lentz organisa la rationalisation et la standardisation des registres néerlandais conservés dans le bâtiment à l'intersection de Plantage Kerklaan et Plantage Middenlaan. Il créa même un modèle breveté d’armoires d’archives destiné à accélérer les recherches et les recoupements. Grâce à Lentz, les Pays-Bas apportèrent un soutien efficace à leurs citoyens lors de la plus grande crise économique de l'histoire du monde moderne. Le travail de Lentz, conforme à sa vision de créer un “homme de papier"⁵, fut reconnu au plus haut niveau par un prix décerné par la Reine elle-même.

Ces registres furent des cibles prioritaires pour les envahisseurs nazis suite à l’occupation du pays en mai 1940. Les nazis comprenaient leur immense valeur dans le cadre de la chasse aux Juifs et autres “indésirables”. Lentz lui-même fut identifié comme une ressource locale de grande valeur. Dès la capitulation du gouvernement, les autorités d’occupation lui demandèrent de créer une carte d’identité nationale difficile à altérer ou à contrefaire. Lentz menait un tel projet sur son temps personnel depuis des années, car l’un de ses supérieurs s’y opposait en le qualifiant de “non-néerlandais”. Et voilà qu’on lui demandait de le faire ! Il se lança dans le projet avec enthousiasme.

Très vite, Lentz disposa de cartes d’identité qui pouvaient être comparées aux fichiers correspondants du registre central de l’état civil, qu’il avait réorganisé afin d’en améliorer l’accès. Même si une carte était contrefaite, le registre servait de référence. Dès septembre 1941, les registres étaient mis à jour à partir d’un recensement minutieux des juifs néerlandais, chacun d’entre eux étant désormais porteur d’une carte arborant une grande lettre J.

Dans la nuit du 27 au 28 mars 1943, des résistants, dont les noms de certains figurent sur la plaque commémorative, se déguisèrent en officiers de police et tentèrent d’incendier le registre et tous les fichiers. Bien qu’elle fut très bien préparée et exécutée, l’attaque échoua à remplir tous ses objectifs. Environ 800,000 cartes d’identité furent détruites, mais cela ne représentait que 15% du registre. Il fut rapidement de nouveau opérationnel, et le génocide des Juifs s’accéléra.

La police néerlandaise arrêta Lentz en mai 1945 pour collaboration avec les Nazis. Il fut condamné à trois ans de prison. Mais c’était bien trop tard. L’état impeccable de son registre, la création d’un “homme de papier” permettant de corroborer l’identité d’un porteur de carte avec les données d’un registre central, furent des facteurs déterminants de la proportion élevée de Juifs néerlandais assassinés, à qui le Premier Ministre Rutte demanda pardon un jour d’hiver 2020.

Ce sombre chapitre de l’histoire devrait servir d’avertissement impérieux à tous ceux qui travaillent sur les systèmes d’identité — de même que nous devons nous souvenir que les choses peuvent être très différentes, comme l’illustre ce qui s’est passé en France à la même époque.

Systèmes subversifs : la résistance silencieuse de Carmille

En France, l'histoire commence avec René Carmille, ingénieur, officier de la Première Guerre mondiale, et espion pour le Deuxième Bureau pendant la guerre. Son activité relative à la gestion des identités n’avait pas comme origine la Grande Dépression, mais les besoins de l’armée.

Le travail de Carmille s’appuyait sur la technologie des cartes perforées, utilisée également aux Pays-Bas, mais qui était plus importante aux yeux de Carmille. Dès 1935, il développe un registre pour l'armée française, aux fins de conscription et de mobilisation. Carmille propose alors un numéro personnel à douze chiffres (passé à 13 chiffres après l'occupation et la division de la France). Ce numéro pouvait être utilisé pour déterminer la date et le lieu de naissance d'une personne, ainsi qu'un "profil personnel complet”⁶, incluant des détails sur les compétences professionnelles et d'autres attributs.

En 1940, les nazis tentent de recenser les Juifs français, mais ils rencontrent des obstacles notables. En particulier, les pouvoirs en place n’avaient pas collecté d’information sur les appartenances religieuses depuis 1872. Il n'y a également pas assez de tabulatrices (lecteurs de cartes perforées) pour consigner les informations sur l'immense population française : l’administration utilise plutôt des machines à écrire Remington, ou même des stylos et du papier pour une grande partie de ses registres.

C’est dans ce contexte que René Carmille intervient. En novembre 1940, il crée le "Service Démographique de Vichy", ouvre des bureaux des deux côtés de la ligne de démarcation, commande des tabulatrices pour 36 millions de francs, et annonce un nouveau recensement des citoyens français. Il compte remplacer l’approche "anarchique" de l’enregistrement des données du recensement par une méthodologie plus moderne ; à la suite de quoi, les citoyens français devraient avoir sur eux des "cartes d'identité uniformes", permettant d’accéder à des informations précises sur leur activité professionnelle. Le nouveau recensement de Carmille rectifierait également l'omission de longue date des données personnelles religieuses en France, en les incluant dans la "colonne 11" qui exigerait des Juifs participants de non seulement déclarer leur propre religion, mais aussi celle de leurs grands-parents. Comme Lentz, Carmille avait finalement sa propre version de l'homme de papier, en disant : "Nous ne traitons plus de recensements généraux, mais nous suivons vraiment des individus⁷."

Cela semblait être exactement ce que les nazis recherchaient.

Si Carmille avait compilé correctement ces données, les résultats auraient probablement été similaires à ceux des Pays-Bas : elles auraient été utilisées pour discriminer d’abord, puis pour exterminer. Mais cela ne s'est pas produit. Au lieu de cela, Carmille a programmé ses machines pour ne jamais perforer de données pour la colonne 11 et a dissimulé plus de 100,000 cartes perforées de Juifs dans son bureau. Appelez cela une forme précoce de minimisation des données et de divulgation sélective⁸. Carmille a veillé à ce que les données personnelles les plus susceptibles de nuire soient inaccessibles à ceux qui étaient les plus susceptibles de les utiliser à cette fin.

Il existe des controverses sur le rôle de Carmille dans le gouvernement de Vichy et sur les dommages qu'il aurait pu y causer. Cependant, les données historiques semblent indiquer qu’il a continué d’agir en tant qu'officier de contre-espionnage, et qu'il a saboté à dessein le recensement des Juifs, tout en utilisant son système de collecte de données pour constituer une liste de 800,000 soldats français prêts à se soulever contre l'occupation allemande, dont 300,000 prêts pour une mobilisation presque instantanée. Ce qui est exactement ce qui s'est passé : le 5 décembre 1942, les troupes françaises prirent possession du bureau du Service National de Statistique de France à Alger et utilisèrent les données de Carmille pour mobiliser des milliers de soldats français.

René Carmille fut arrêté par les nazis en février 1944, soumis à l’interrogatoire par un tortionnaire nazi, et envoyé à Dachau, où il mourut en janvier 1945. Son action a peut-être sauvé la vie de dizaines, voire de centaines de milliers de Juifs en France, et l’a conduit au sacrifice ultime.

Une fois que nous collectons des données personnelles, leur utilisation est pratiquement inévitable. Lutter contre une telle force est l’œuvre de héros.

Deux Modèles, Une Vérité

L'identité décentralisée est ambivalente.

D'un côté, il existe clairement un besoin de disposer d’identités mieux définies. C'était le principal objectif de l'identité “auto-souveraine” lorsqu'elle a été discutée pour la première fois à RWOT2 et ID2020 en 2016. À l'époque, l'un de nos principaux cas d'utilisation était celui du réfugié apatride qui pouvait se voir refuser l'accès aux services publics. Cela faisait écho au défi auquel Jacobus Lentz fut confronté dans les années 1930, lorsqu'il a mis en place un système afin que tous les Néerlandais puissent avoir accès au soutien de l’Etat pendant la Grande Dépression.

Inversement, nous avons la responsabilité de minimiser l’accès aux données d'identité. Il y a là une question dont l’enjeu historique et éthique est crucial : quel accès minimal aux données personnelles devons-nous autoriser afin de pouvoir faire des choses, sans pour autant empiéter sur la vie privée, la dignité et l’intégrité des personnes ? Cette question est inspirée par la réalisation de René Carmille lorsqu’il a exclu volontairement les informations religieuses de son recensement : les informations personnelles peuvent être dangereuses, dommageables, ou même mortelles.

Nous donnons accès à nos informations personnelles et à notre identité, en commettant souvent l’erreur de partager trop de données, en raison de la confiance que nous plaçons dans ceux qui les collectent. Les approches contrastées de Lentz et Carmille montrent pourquoi cela n'est pas souhaitable : le régime politique peut toujours changer. Nos attentes concernant la manière dont nos données sont utilisées peuvent être trompeuses. Les données de Lentz collectées lors de la Grande Dépression ont été utilisées par les nazis pour commettre un génocide. Les nazis n’imaginaient pas que les données du recensement français auraient pu être utilisées par Carmille pour lever une armée contre eux. Et tout ceci ne concerne pas qu’un passé lointain. Lorsque l'administration Trump a tenté d’abolir le programme en faveur des résidents entrés illégalement aux Etats-Unis en tant que mineurs, une grande inquiétude a saisi tous ceux qui avaient fourni leurs informations personnelles afin de bénéficier du programme.

Il faut reconnaître que les données personnelles peuvent être utilisées de la pire manière possible, en totale contradiction avec le motif original de leur collecte. En tant que concepteurs de systèmes d'identité décentralisée de nouvelle génération, nous devons privilégier la capacité des utilisateurs à contrôler pleinement leur identité. Nous devons réfléchir à des stratégies de minimisation des données et de divulgation sélective. Nous devons considérer quelles données doivent être collectées et lesquelles ne le doivent pas l’être. Nous ne voulons pas créer un nouvel “homme de papier numérique”.

Nous devons plutôt nous souvenir du temps où l'identité a été utilisée comme une arme et que plus de six millions de personnes en sont mortes. Il nous faut opérationnaliser ce souvenir en passant de la réflexion à une vision pour le présent et pour le futur. Que notre mémoire serve à préparer notre avenir.

Conclusion

Le moment d'agir est maintenant. Les rêves d'identité auto-souveraine imaginés pour la première fois à RWOT2 et ID2020 sont devenus des réalités, grâce à des normes telles que les DIDs⁹ et les Verifiable Credentials¹⁰. De nombreuses entreprises ont émergé pour implémenter ces normes, tandis que les gouvernements commencent à les adopter. Parallèlement, l'Union européenne est en train de déployer l'eIDAS¹¹ en tant qu’écosystème de l’identité électronique. Nous entrons dans la phase finale de l’établissement des normes de l'identité du futur.

À ce carrefour critique, nous pourrions choisir la voie de la collecte abusive des informations personnelles. Nous pourrions constituer de vastes bases de données dont les régimes politiques à venir useront et abuseront — sans parler des criminels. En enregistrant notre genre, notre orientation sexuelle, notre religion, notre affiliation politique, ou même juste nos livres, films et chansons préférées, nous nous rendrions ainsi vulnérables aux politiques de discrimination, ou bien pire encore. C’est la voie de Lentz.

Mais il y a un autre chemin, celui qui revendique la minimisation de l'information. En tant que concepteurs de systèmes d’identité auto-souveraine, nous devons permettre à la personne représentée par une identité de décider elle-même des informations qu’elle souhaite divulguer. Nous devons également faire le maximum pour influencer la conception d’eIDAS et d'autres systèmes plus centralisés afin d’adopter des règles de minimisation des données et de divulgation sélective. C’est la voie de Carmille.

Nous sommes à un point de basculement crucial dans la conception de l'identité numérique. Si nous figurons dans les livres d'histoire de l’avenir, que ce soit en tant que successeurs de Carmille, et non de Lentz.

***

Cet article a été publié initialement en tant que document préparatoire au séminaire RWOT12, à Cologne (Allemagne). Il a été ensuite édité et publié par Chris Allen sur le site Blockchain Commons. Article traduit en français par PhilH et Frédéric Martin.

Notes

^{Uncredited. 2020. “Prime Minister of the Netherlands Issues Historic Apology”. International Holocaust Remembrance Alliance. https://www.holocaustremembrance.com/news-archive/prime-minister-netherlands-issues-historic-apology.↩}

^{Simons, Marlise. 1995. “Chirac Affirms France’s Guilt in Fate of Jews”. New York Times. https://www.nytimes.com/1995/07/17/world/chirac-affirms-france-s-guilt-in-fate-of-jews.html.↩}

^{Faiola, Anthony, EMily Rauhala, and Loveday Morris. 2023. “Dutch Election Shows Far Right Rising and Reshaping Europe”. Washington Post. https://www.washingtonpost.com/world/2023/11/25/europe-far-right-netherlands-election/.↩}

^{Beauchamp, Zack. 2021. “How hatred of gay people became a key plank in Hungary’s authoritarian turn”. Vox. https://www.vox.com/22547228/hungary-orban-lgbt-law-pedophilia-authoritarian.↩}

^{Rood, Juriën. 2022. Lentz, msp. 45. English translation of the original Dutch manuscript of a book in progress.↩}

^{Black, Edwin. 2001. IBM and the Holocaust: The Strategic Alliance between Nazi Germany and America’s Most Powerful Corporation, p. 321. ↩}

^{Black, Edwin. 2001. IBM and the Holocaust: The Strategic Alliance between Nazi Germany and America’s Most Powerful Corporation, p. 323-324. ↩}

^{Allen, Christopher. 2023. Musings of a Trust Architect: Data Minimization & Selective Disclosure. https://www.blockchaincommons.com/musings/musings-data-minimization/ ↩}

^{W3C. 2022. DIDs v1.0. https://www.w3.org/TR/did-core/. ↩}

^{W3C. 2022. Verifiable Credentials Data Model. https://www.w3.org/TR/vc-data-model/. ↩}

^{European Commission. Retrieved 2023. eIDAS Regulation. https://digital-strategy.ec.europa.eu/en/policies/eidas-regulation. ↩}