Un accord entre le ministère de l’Économie et l’Association brésilienne des banques (ABBC) a motivé une note de l’Idec (de l’Institut brésilien de protection des consommateurs) envoyée à l’ANPD (Autorité nationale de protection des données). Le partenariat permet l’utilisation de l’ICN (National Civil Identity), une sorte de carte d’identification biométrique basée sur le CPF, par les institutions financières. Selon l’institut pro-consommateur, l’accord peut violer la LGPD (Loi générale sur la protection des données).
Les banques auront une « dégustation expérimentale » de la base de données des services du gouvernement fédéral (Image : Banco do Brasil/ Disclosure)
Contents
« Dégustation expérimentale »
L’accord de coopération a été signé par le Secrétariat du gouvernement numérique (SDG), lié au ministère de l’Économie, avec ABBC, qui regroupe des entreprises telles que Banco BMG, C6 Bank et XP Investimentos.
Le document prévoit une « dégustation expérimentale » des API utilisées par le gouvernement pour valider l’identité des utilisateurs accédant à la plateforme Gov.br. La base de données, l’ICN, contient des informations considérées comme sensibles selon la LGPD, telles que la biométrie pour la validation dans des applications telles que e-Título.
Du côté des banques, l’utilité serait d’améliorer leurs applications. L’utilisateur pourrait se connecter en utilisant les informations de Gov.br, comme cela se fait déjà par certaines institutions. De plus, les actions liées à l’application peuvent utiliser des API du gouvernement fédéral, tant qu’elles portent le logo Gov.Br.
L’équipe Idec, dans une lettre envoyée au ministère de l’Économie, estime que l’accord de coopération peut violer la LGPD, car il n’y a aucune preuve que le partenariat suit les critères établis par la loi. Dans le document, il est explicite que les “aspects techniques” de l’utilisation des API gouvernementales “seront traités directement entre le SGD et les Banques”.
Dans la note envoyée à l’ANPD, Idec demande des justifications sur les points suivants :
- La délimitation de la base juridique du traitement de ces données ;
- Justifications d’intérêt public ;
- Le droit à l’autodétermination informationnelle des personnes concernées ;
- Et des garanties concernant la sécurité des données.
Les données ICN sont utilisées dans ConectSUS et Enem
L’ICN est une base de données gouvernementale qui comprend des informations provenant de l’e-Título, du Système national d’information sur l’état civil (Sirc). Le comité derrière l’ICN est responsable de la création du Document d’Identité National (DNI), qui sera produit par Serpro en collaboration avec le TSE.
Les données ICN sont utilisées sur la plate-forme Gov.br elle-même, qui recueille des informations provenant de services tels que ConectSUS, INEP – base de données d’Enem, Sisu, Prouni et Fies -, Digital Traffic et Digital Work Cards, en plus des informations du Federal Revenue Services. .
Mon application gov.br (Image : Gabrielle Lancellotti/)
Récemment, le gouvernement fédéral a publié un décret pour remplacer le comité ICN par le CEFIC, la Chambre exécutive fédérale pour l’identification des citoyens.
Plusieurs banques disposant déjà de leurs propres systèmes biométriques clients, Idec a émis des doutes sur l’usage privé de ces données. L’institut n’a pas reconnu les intérêts du gouvernement dans la promotion et la fourniture des API de reconnaissance aux banques. Idec a ajouté dans la lettre envoyée au ministère de l’Économie :
“Ce sont des objectifs extrêmement larges et abstraits, qui utilisent les données personnelles des citoyens collectées initialement dans le but de mettre en œuvre des politiques publiques d’amélioration des applications gouvernementales, mais aussi pour une amélioration injustifiée et non transparente des applications bancaires.”
Le manque de transparence publique pour exécuter l’accord, sans consultation publique, atteste du manque de contrôle des titulaires sur leurs propres données, tant sensibles que non sensibles, indique l’Idec.
