Micropuce implantable de la société américaine VeriChip. Cette puce, approuvée par la FDA, contient les informations médicales de la personne et peut être utilisée en cas d’urgence pour traiter rapidement le patient.

• Dans votre expérience de terrain, avez-vous le sentiment que la convergence de certaines technologies crée un risque d’atteinte aux libertés publiques et à la vie privée ?

La Ligue des droits de l’homme (LDH) travaille sur ces sujets depuis la loi Informatique, fichiers et libertés de 1978. Sa commission « Libertés et informatique » intervient aujourd’hui en collaboration avec de nombreuses organisations syndicales et associatives dès lors qu’il s’agit de se mobiliser pour protéger les libertés publiques et les droits de l’homme. Nous n’avons pas d’à priori négatif contre les nouvelles technologies ; nous estimons au contraire qu’elles peuvent se révéler très utiles dans certains domaines, par exemple avec les possibilités d’interventions chirurgicales à distance, les outils de communication sur Internet, etc.

En revanche, nous estimons qu’il y a une vraie accélération des risques d’atteinte aux droits de l’homme en raison d’une part de la conjonction de techniques qui peuvent concourir à l’interconnexion des informations concernant les individus, d’autre part de conditions socio-politiques et juridiques qui favorisent, au nom de la lutte contre le terrorisme, la tendance à la constitution de méga-fichiers de données personnelles. Notre rôle consiste donc notamment à alerter l’opinion dès que l’utilisation d’une technologie, quels que soient les avantages qu’elle confère, crée un trouble dans les libertés publiques ou une atteinte à la vie privée. Le confort et le plaisir que peut donner une nouvelle technologie a toujours un prix, qui peut être un amoindrissement des libertés.

Par ailleurs, nous subissons une lourde ambiance sécuritaire : dans ce contexte , la loi relative à la lutte contre le terrorisme [2] autorise désormais de filmer les manifestations, ce qui permet de collecter des données personnelles pour alimenter les procédures judiciaires. Dans ce cas, l’utilisation d’une technologie de vidéo numérique permet, en toute légalité, de porter atteinte aux libertés publiques et à la vie privée des personnes puisque les gens sont filmés et que des fichiers contenant leur image sont créés à leur insu, alors qu’ils exercent le droit fondamental de manifester et d’être ensemble pour afficher une opinion.

• La nouvelle loi Informatique et libertés du 6 août 2004 [3] permet-elle de telles pratiques ? Et qu’en est-il de la convention européenne des droits de l’homme ?

La loi d’août 2004 ne nous satisfait pas car elle a réduit le niveau de protection des droits qui existait jusqu’alors. La directive européenne 95/46/CE du 24 octobre 1995 [4] - dont cette loi est la transposition en droit français - précisait que les Etats membres de l’Union ne devaient pas abaisser le niveau de protection de leur législation. Or d’un côté, le texte a renforcé les pouvoirs de la Commission nationale de l’Informatique et des libertés (CNIL) en créant un régime d’autorisation pour que des outils biométriques puissent être utilisés dans une entreprise privée. Mais de l’autre, elle a diminué ses pouvoirs en ce qui concerne les projets de l’Etat : un décret créant un nouveau traitement des données personnelles n’a plus besoin de bénéficier d’un avis conforme de la CNIL mais seulement d’un avis motivé ; un ministère peut donc imposer une utilisation biométrique dans ses propres services.

Quant à la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, elle comprend des phrases magnifiques, mais les droits s’y inscrivent dans les limites de ce qui est supportable par une société démocratique. Les droits et les libertés peuvent donc souffrir certaines restrictions. J’ajoute que le traité de l’Union Européenne a une lecture particulière du terme « libertés » selon laquelle ce ne sont pas les libertés publiques qui sont prioritaires mais la liberté économique et la liberté d’entreprendre.

Dans l’état des textes, un salut vient parfois du juge constitutionnel. Ainsi, en décembre 1998, le Conseil constitutionnel a suivi la position de la LDH en n’autorisant le transfert de données nominatives entre administrations, autrement dit l’interconnexion entre données fiscales et sociales (numéro de sécurité sociale), qu’à la seule fin d’empêcher une erreur d’identité, et non pas pour croiser des fichiers distincts et en extraire des données pour d’autres fins [5].

• Quelle est votre position sur l’utilisation de l’identification par radio-fréquence (RFID) ?

Sur ce point, la LDH a une position « dure » : dès que l’on met le doigt dans l’utilisation de la biométrie, c’est-à-dire de techniques d’identification des gens sur des critères biologiques, on entre dans une logique qui pose problème. D’abord pour des raisons éthiques, car réduire l’homme à son corpus biométrique va à l’encontre de la dignité humaine. Ensuite, parce que cette technologie pose à l’évidence un problème de « traçage » des personnes : les puces RFID appliquées à l’identification permettront de suivre dans le détail les activités et les transactions réalisées par un individu, même si l’administration ne les conçoit pas pour cela au départ, bien entendu. Il y a là simplement un risque de dérive.

On est là comme un petit mur face à de grosses vagues du Pacifique, car les entreprises demandent ces instruments d’identification et de contrôle des salariés ; certaines personnes les réclament pour gagner du temps dans les aéroports ou au péage des autoroutes ! Ce qu’ils ne voient pas, c’est que ces identifiants biométriques vont permettre, plus que d’autres, de créer des interconnexions entre les données. C’est moins le fait que des fichiers comprennent des informations qui est effrayant que le fait qu’un identificateur unique et pérenne de la personne puisse permettre de créer des interconnexions fiables entre fichiers, avec des utilisations ultérieures sur lesquelles elle n’aura aucun contrôle. Ce n’est pas un « Big brother » qui nous attend, mais des « Big brothers ».

Vous me direz que chaque personne est déjà fichée des centaines de fois par le seul jeu de ses activités quotidiennes normales. Certes, et donc le vrai combat à venir est bien d’empêcher les interconnexions entre ces fichiers et ces données. C’est dans ce cadre que la LDH combat, au sein du collectif DELIS (Droits et libertés face à l’informatisation de la société), le projet de carte d’identité électronique, INES (Identité nationale électronique sécurisée). Ce projet de loi, qui devrait être adopté en juin prochain, vise à rendre obligatoire – directement ou, plus subtilement, en la rendant indispensable – une carte équipée d’une puce électronique, lisible sans contact par radio-fréquence, et qui contiendrait des éléments d’identification personnels (empreintes digitales et photographie numérisée).

Le problème, c’est que l’Etat disposera ainsi pour chacun de nous d’un identificateur biométrique qui pourrait permettre le traçage et le rapprochement de l’ensemble de nos transactions électroniques (banque, déclaration d’impôts, assurance maladie, réservation de loisirs, etc.). Sous prétexte d’une facilitation de la vie quotidienne, on prend le risque d’atteintes graves et irréversibles à la vie privée et aux libertés individuelles.

• L’argument n’est-il pas aussi de dire : si vous n’avez rien à vous reprocher, si vous voulez plus de sécurité, vous n’avez pas de raison de refuser ce type d’identification ?

Avec ce langage, on créée une société de suspects : ce n’est plus à l’accusateur de montrer la culpabilité de quelqu’un, c’est à la personne de montrer qu’elle n’est pas coupable ! Il faut faire très attention à ce renversement de la charge car il caractérise une société de type policier. De plus, ce discours pêche car se pose la question de savoir où est sa limite : puisque vous êtes un bon citoyen qui n’avez rien à cacher, la police devrait pouvoir aller chez vous, regarder comment vous vivez, qui vous hébergez, ausculter votre compte en banque, regarder ce que vous avez déclaré comme impôts, etc. Lorsque l’on fait le test (pour rire bien sûr) avec des personnes « qui n’ont rien à cacher » pour voir jusqu’où elles accepteraient d’être transparentes, on s’aperçoit rapidement que leur détermination à tout montrer fond plutôt rapidement. Et c’est bien ainsi : la liberté exige que chacun conserve une vaste sphère de secret et de vie privée.

Quant à l’argument sécuritaire, il ne tient pas longtemps sous l’analyse. Par exemple, lorsque les compagnies aériennes ont été contraintes par l’administration Bush, après le 11-Septembre, de communiquer les informations personnelles concernant leurs voyageurs (PNR, personal name records) pour pouvoir continuer d’atterrir outre-Atlantique, la Commission européenne a donné son feu vert – décision attaquée par le Parlement européen d’ailleurs. Or l’Etat français ne sait toujours pas ce que font les Etats-Unis des PNR communiquées. En clair : transmettez des informations personnelles, vous en perdrez très vite le contrôle. Qui plus est, la lutte contre le terrorisme n’a rien à espérer d’une surveillance généralisée des populations.

On nous dit que les techniques qui serviront pour INES seront bridées, donc protectrices des libertés individuelles. Mais l’histoire récente de l’informatique montre qu’un outil bridé est fait pour être débridé : chaque fois qu’on a installé un système de fichage, cela s’est vérifié. Par exemple, le STIC (Système de traitement des infractions constatées) répertorie désormais toutes sortes de délits et est devenu consultable par des personnes qui s’ajoutent sans cesse à celles qui avaient initialement été définies restrictivement : on a vu les abus que ce système entraîne, avec des personnes fichées empêchées d’obtenir un emploi ou un logement. La même dérive peut être constatée pour le fichier des empreintes génétiques (FNAEG, Fichier national automatisé des empreintes génétiques), réservé à l’origine aux auteurs de crimes sexuels, et que la loi Perben 2 du 9 mars 2004 a étendu aux auteurs de délits les plus courants. On peut craindre de même que d’une version « light » de INES, on passe progressivement à une utilisation beaucoup plus policière à laquelle le progrès technique apportera sans nul doute un soutien actif dans une ambiance sécuritaire lourde et pesante. Il faut donc s’opposer avec la plus grande vigueur à INES, pour notre liberté et celles des générations à venir.

Au Japon, la société Secom propose un robot garde d’enfants qui, informé par RFID de leur éloignement d’une zone de sécurité ou de la présence d’un étranger à proximité, peut intervenir en projetant une fumée blanche sur l’agresseur potentiel.

L’identification par radio-fréquence (RFID)

Née durant les années 1960 aux Etats-Unis, une technologie de communication « sans fil », la RFID (radio-frequency identification), soit l’identification par radio-fréquence ou radio-identification, a le vent en poupe. Certaines projections lui promettent un marché mondial de plusieurs milliards de dollars en 2010, contre 900 millions en 2004.

Un système RFID basique comporte deux composants : une étiquette (tag, marqueur ou transpondeur), c’est-à-dire une puce électronique fixée sur un objet, et un lecteur, capable de récupérer les données du tag et de les transmettre à un ordinateur. Ces composants possèdent chacun une antenne et communiquent l’un avec l’autre par liaison radio, avec des fréquences variables selon les systèmes.
Les systèmes RFID peuvent être actifs ou passifs. Les tags passifs reçoivent l’énergie nécessaire via le champ électromagnétique du lecteur. Moins l’étiquette consomme d’énergie, plus le lecteur peut être éloigné. Les tags actifs sont équipés d’une pile et transmettent des données même si aucun lecteur n’est présent ou détecté.

• Et les nanotechnologies dans l’affaire ?

Actuellement, les nanotechnologies sont vues comme le moyen qui permettra d’abaisser les coûts de production des systèmes RFID, qui tiennent essentiellement à l’assemblage du tag et de l’antenne. Elles permettront en effet de réaliser des antennes à base de nanoparticules, d’augmenter la mémoire vive des puces et de se passer de silicium, en divisant le coût de fabrication par dix d’ici 2015.

Cette diminution du coût est stratégique. Car si la RFID était à l’origine destinée à la distribution commerciale, pour le remplacement des codes barres, son utilisation a gagné quasiment tous les secteurs industriels parallèlement à la diversification des tags : chaînes logistiques, gestion des stocks, bibliothèques, antivols, contrôle d’accès, lutte contre la contrefaçon, cartes de transport public, traçage des bagages dans les aéroports, suivi du traitement des patients, suivi et identification des animaux d’élevage et de compagnie, etc. Les tags haut de gamme, dits « intelligents », sont équipés d’un microprocesseur et d’un système d’exploitation, et peuvent exécuter des programmes. Ils sont utilisés pour le contrôle d’accès, dans les passeports biométriques, les cartes d’identité ou d’assurance maladie, les visas et les permis de séjour, etc.

• Quelle sécurité ?

Cependant, certains produits RFID offrent encore peu de sécurité, c’est-à-dire que l’information qu’ils contiennent peut être facilement piratée. Aux Etats-Unis, seules les tags de classes 3 (semi passif) et 4 (actif) définies par la norme EPC (Electronic product code) présenteraient un niveau de sécurité satisfaisant.

La liberté individuelle n’est pas non plus à l’abri des excès de cette technologie. Selon une étude du Government Accountability Office [6], les administrations américaines n’ont généralement pas pris sérieusement en compte les risques de la RFID en matière de sécurité et d’atteinte à la vie privée. De même, le groupe d’analyse RAND a révélé que parmi six grandes entreprises qui utilisent un système RFID dans leurs locaux, une seule avait formulé par écrit les règles d’emploi du système, à la seule attention de son service de sécurité, laissant les autres employés dans l’ignorance [7].