Biométrie (Josef Zisyadis)

La biométrie entre à l’école

De plus en plus d’élèves introduisent leur main dans une machine pour accéder à la cantine scolaire. Difficile de dire combien, l’installation de système biométrique à l’école étant à l’initiative des seuls chefs d’établissement. La Cnil a émis en 2000 un avis défavorable concernant l’usage à l’école de la technique des empreintes digitales, jugeant qu’il n’est justifié « par aucun motif particulier de sécurité ». Seuls sont autorisés les dispositifs de reconnaissance du contour de la main, une empreinte biométrique qui ne peut être récupérée à l’insu de son propriétaire. La Cnil impose également aux chefs d’établissement une obligation de déclaration et exige que les représentants légaux des mineurs soient individuellement informés [1]. La pression des industries de surveillance à investir ce créneau rencontre toutefois de fortes résistances de la part des parents et des équipes éducatives. Certaines collectivités locales refusent également de subventionner de tels équipements.

Biométrie : à placer sous surveillance

La biométrie est en plein essor, tout comme les autres techniques de traçabilité. Mais, sous prétexte d’une société plus sûre et d’une vie plus confortable, faut-il accepter sans mot dire qu’elle rogne insensiblement nos libertés et nos vies privées ?

Aujourd’hui, il suffit de présenter un « passe » à une borne pour valider son trajet en métro, il n’est (presque) plus nécessaire de patienter pour faire contrôler son identité à l’aéroport et une simple identification du contour de la main permet d’accéder au restaurant scolaire... Présentant un aspect éminemment pratique, voire ludique, les technologies qui exploitent les traces laissées par chacun d’entre nous (empreintes digitales, enregistrement des caractéristiques du visage, informations personnelles enregistrées sur Internet, etc.) se banalisent. « La traçabilité des personnes est en augmentation, aussi bien dans l’espace, avec une multiplication des techniques, que dans le temps, avec des capacités de stockage sans précédent », note Gwendal Grand, responsable du service de l’expertise informatique à la Cnil (Commission nationale de l’informatique et des libertés). Leur finalité peut être d’ordre privé (ex. : mieux satisfaire les attentes des consommateurs) ou d’ordre public (ex. : assurer la sécurité des citoyens).

La fin justifie-t-elle les moyens ?

En théorie, nul ne peut utiliser nos traces sans notre consentement. Problème : le quidam « n’est pas toujours éclairé ni informé », dénonce Meryem Marzouki, chercheuse au CNRS [2]. En décembre dernier, le magazine le Tigre a publié la biographie d’un jeune homme réalisé uniquement à partir des informations personnelles qu’il a laissées, volontairement ou non, sur Internet [3]. « Ce consentement n’est pas non plus forcément libre, poursuit Meryem Marzouki. Le fait d’autoriser quelqu’un à utiliser des informations personnelles est souvent lié à l’obtention d’un service dit gratuit. »

Les Etats ne semblent pas être davantage protecteurs de nos données personnelles. Le Fichier national des empreintes génétiques (FNAEG), créé à l’origine pour recueillir l’ADN des délinquants et criminels sexuels, concerne aujourd’hui toute personne convaincue ou soupçonnée de délit contre les biens et les personnes. Le FNAEG contenait en octobre 2008 les profils génétiques de plus de 800 000 individus. Si leur enregistrement est toujours subordonné au consentement des personnes, le refus de se soumettre à un prélèvement ADN constitue en revanche une infraction...

Absence de débat démocratique

«  L’adoption de mesures sécuritaires par les Etats s’effectue toujours dans un contexte d’urgence et émotionnel très fort », constate Meryem Marzouki. De fait, « les dispositifs biométriques sont mis en place beaucoup plus rapidement que le cadre juridique censé protéger les libertés individuelles et la vie privée », renchérit Pierre Piazza, maître de conférences en Science politique à l’université de Cergy Pontoise. Le Traité de Prüm, initialement signé en mai 2005 par sept Etats de l’Union européenne et instaurant la mise en réseau de bases de données biométriques, va être appliqué par l’ensemble des Etats membres, en l’absence de sérieux débats parlementaires. « N’y a-t-il pas ici un véritable déficit démocratique ?, s’interroge Pierre Piazza. En outre, si les autorités de protection de données existent bien, leurs moyens sont souvent limités. » En France, la Cnil, autorité administrative indépendante [4], disposant à la fois de pouvoirs de régulation, de contrôle et de sanction, compte quelque 120 personnes... contre 400 en Allemagne ! « Bon nombre des conséquences induites par la mise en place des dispositifs biométriques d’envergure n’ont pas été rigoureusement évaluées, pointe encore Pierre Piazza. Selon les pouvoirs publics qui les mobilisent, ces procédés servent à lutter contre la fraude identitaire, la délinquance, l’immigration clandestine, le crime organisé, le terrorisme, etc. Mais les principes de proportionnalité et de finalité qui sont supposés être au coeur de la protection des données à caractère personnel ne sont pas toujours respectés. »

Les fiascos de la biométrie

De plus, nul n’a encore vérifié leur fiabilité. Pourtant, leurs défaillances sont légion : le taux d’identification des visages par les caméras de surveillance ne dépasse pas 60% en journée et 20% dans l’obscurité, les systèmes d’identification sont incapables de faire la différence entre un doigt de chair et un autre de silicone. Leur efficacité est loin d’être démontrée. Selon un rapport officiel émanant des services du New Scotland Yard, seuls 3% des vols auraient été résolus grâce aux images capturées par les caméras de surveillance de Londres. Les failles de ces dispositifs tiennent également à leur utilisation. « Pour fonctionner correctement, un fichier nécessite une certaine énergie pour l’entretien et la vérification des informations », rappelle Gwendal Le Grand. La Cnil a constaté que 17% seulement des fiches des personnes enregistrées dans le fichier de police Stic (Système de traitement des infractions constatées) sont exactes. Or, ces inscriptions erronées peuvent entraîner de graves préjudices pour les personnes concernées. Alors que ce fichier est consulté 20 millions de fois par an, aucun système d’alerte ne permet de détecter une utilisation anormale. Autre hic : l’interconnexion des bases de données entre elles et leur commercialisation à tout va. Les puces RFID [5], qui envahissent notre quotidien (passe Navigo de la RATP, carte Vélib, clés sans contact des voitures, etc.), sont aussi suspectées de nous géolocaliser à notre insu. Pour Gwendal Le Grand, « la miniaturisation et l’éparpillement de ces technologies en rendent le contrôle très difficile. »

Surtout, la toute confiance dans ces technologies risque de modifier les pratiques policières et, au-delà, le contrat social, en faisant primer la technique sur le contact humain. Les spécialistes appellent donc de leurs voeux des procédures davantage démocratiques et transparentes et une plus grande vigilance citoyenne.

Les origines de la biométrie

La biométrie est l’héritière de l’anthropométrie, inventée en 1882 par le criminologiste français Alphonse Bertillon, permettant la reconnaissance des personnes arrêtées et condamnées sur
la base de photos et d’informations signalétiques (mensurations osseuses, signes particuliers). Adopté par la plupart des services de police européens et américains, ce système a été ensuite abandonné en raison de son manque de précision.

Ce qui est « biométrisable »...

La reconnaissance des empreintes digitales est l’une des méthodes biométriques les plus anciennes et la plus efficace (moins de 1% d’erreurs). La reconnaissance faciale s’appuie sur les principales caractéristiques du visage (distance entre les yeux, le nez, les coins de
la bouche). La forme de la main peut être scannée pour en extraire les principaux paramètres. L’iris de l’oeil, spécifique à chaque personne, peut servir à l’identification, mais son acquisition reste malaisée. L’analyse d’ADN, à partir d’un fragment de peau ou d’une goutte de salive, est parfaite en théorie mais demande encore des heures de décryptage.

La reconnaissance de la voix, de la démarche, de l’odeur corporelle... relève encore du stade
de l’expérimentation.

« Les citoyens sont insuffisament informés »

Comment garantir un développement de ces technologies de l’identification au service de la société ? Réponses de Stéphanie Lacour, juriste au Centre d’études sur la coopération juridique internationale.

• Valeurs Mutualistes : Pourquoi tes technologies de surveillance sont-elles aussi bien acceptées ?

Stéphanie Lacour : Depuis septembre 2001, nos pays ont adopté des stratégies de protection contre le terrorisme, présentées au grand public comme impliquant nécessairement plus de surveillance de chaque individu. Un tel lien de cause à effet n’a pas cniLfr été démontré de manière scientifique, mais il n’en demeure pas moins que ces technologies sont devenues « à la mode » sous l’exemple et parfois la pression américaine : nous devons ainsi à la précédente administration du président Bush la généralisation des passeports biométriques.
Dans le même temps, nos concitoyens ne sont pas suffisamment informés de l’existence même de ces technologies d’identification. Les puces RFID, par exemple, sont potentiellement invisibles. Parmi les nouveautés que présentent ces technologies, leur discrétion est sans doute l’une des plus inquiétantes. L’attachement des Français aux institutions de protection des données personnelles et à la possibilité de sauvegarder leur vie privée est bien réel, comme le prouve la récente mobilisation contre la mise en place des fichiers Edvige. S’ils n’expriment pas les mêmes craintes à l’égard des nouvelles technologies de surveillance, c’est parce qu’ils n’en mesurent pas l’impact, en termes d’atteintes à la vie privée notamment.

• En quoi cette situation est-elle dangereuse ?

La diffusion massive de technologies d’identification dans notre paysage social pourrait entraîner l’impossibilité de protéger nos données à caractère personnel et nos vies privées de manière satisfaisante, et de faire respecter les droits que nous tenons de la loi. D’autant que ces technologies ne sont absolument pas mûres pour être généralisées dans le respect des droits fondamentaux. Les chercheurs se penchent encore aujourd’hui sur les moyens d’assurer la confidentialité des données qu’elles véhiculent, les systèmes actuels n’étant pas totalement fiables.

• L’encadrement juridique est-il suffisant ?

La protection de la vie privée et des données à caractère personnel fait l’objet d’une réglementation qui a, en grande partie, été inspirée au niveau communautaire par le droit français issu de la loi « Informatique et libertés » de 1978. Mais si ce droit existe, il n’a pas été conçu pour prendre en charge ces nouvelles technologies, et il ne semble pas être toujours très adapté à leurs spécificités. Notre réglementation est notamment très liée à des notions telles que le consentement des personnes dont les données sont traitées. Or, en matière de biométrie pour partie, et quant aux RFID de manière systématique, ce consentement est très difficile à obtenir, puisque ces technologies le rendent superflu...

• Comment y remédier ?

La loi « Informatique et libertés » offre des garanties concernant la faculté de chacun d’évaluer, face à une sollicitation ou une utilisation précise de ses données personnelles, l’intérêt qu’il peut trouver à autoriser une éventuelle restriction de sa vie privée. Pour le moment, ces nouvelles technologies ne sont pas assez bien conçues pour permettre que cet équilibre soit sauvegardé. Pour y parvenir, l’une des clés les plus prometteuses consiste à associer étroitement la société civile et les chercheurs qui réfléchissent aux impacts de ces technologies. Je verrais là un premier pas vers un développement technologique responsable.

Que dit la Cnil ?

Dans son rapport annuel de 2006, la Cnil relève que les demandes d’autorisation pour des dispositifs biométriques ont été multipliées par dix en un an. Face au progrès
technologique, « de plus en plus complexe à maîtriser » et à « la vague normative liée à la lutte antiterroriste », la Cnil a lancé une « alerte à la société de surveillance » en 2007. Aujourd’hui, elle plaide pour une publication systématique de ses avis. Uniquement consultatifs, ils ne peuvent être en effet rendus publics sans l’aval du gouvernement.

En s@voir +

• edps.europa.eu (contrôleur européen de ta protection des données).
• ec.europa.eu (Groupe de travail Article 29 sur la protection des données).
• iris.sgdg.org (association « Imaginons un réseau Intemet solidaire »).

Le passeport biométrique fait polémique

Le 28 juin 2009, les nouveaux passeports délivrés en France seront biométriques [6]. Le dispositif n’est pas sans susciter des interrogations.

Le futur passeport biométrique se veut ultra sécurisé. Comme le passeport numérique actuel, il comportera une puce lisible à distance (RFID) contenant la photo numérisée de son titulaire. S’ajoutera l’enregistrement numérisé des empreintes digitales de deux de ses doigts. Les pouvoirs publics entendent ainsi lutter contre la fraude documentaire et l’usurpation d’identité, mais aussi contre l’immigration illégale. Une façon aussi de se plier aux directives des Etats-Unis qui conditionnent l’entrée des étrangers sur leur territoire à la détention de passeports biométriques.

Les réserves de la CNIL non entendues

Bien que la directive européenne ne le prévoie pas, la France procèdera également à la collecte des données biométriques des enfants de plus de six ans, et recueillera au total tes empreintes de huit doigts. Le ministère de l’Intérieur conservera toutes ces données pendant quinze ans dans une base centralisée. Par un avis du 11 décembre 2007, la Cnil a dénoncé le fait que les autorités françaises soient allées au-delà des exigences européennes et qu’elles aient procédé par décret, alors que « l’ampleur de la réforme et l’importance des questions qu’elle pouvait soulever nécessitait l’intervention du législateur. »
 [7] Elle a de même estimé que « le ministère n’avait pas apporté d’éléments convaincants de nature à justifier la constitution d’un tel fichier centralisé. » Avis sans effet. Se posent aussi des interrogations concernant la fiabilité du système. Les données contenues dans les puces RFID peuvent être copiées et reprogrammées. En septembre dernier, un passeport portant l’identité d’Elvis Presley a ainsi été accepté à l’aéroport d’Amsterdam. De nombreux incidents liés à la sécurité des bases de données sont également apparus : pertes de cédéroms ou d’ordinateurs contenant des données de plusieurs millions de Britanniques, diffusion sur le Net de données personnelles de six millions de personnes à la suite du hacking de plusieurs systèmes d’informations de l’Etat chilien, etc. Surtout, les empreintes digitales sont aisément falsifiables. Un système de contrôle biométrique installé à l’aéroport de Tokyo a récemment été berné par un simple morceau de ruban adhésif !

Identité réduite au corps ?

Il est pour le moins paradoxal de fonder son identité sur une donnée, l’empreinte digitale, qui, au contraire d’un code secret, peut être laissée sur toute chose, et de la considérer comme irrévocable, alors qu’elle peut être subtilisée. Pour les opposants à la biométrie, son utilisation comme fondement de l’identité rompt la relation de confiance censée exister entre le citoyen et l’Etat. « Jusqu’à présent, l’identité était déclarative, souligne la chercheuse Meryem Marzouki. Désormais, votre corps va dire qui vous êtes de manière irréfutable. » Cela représenterait également une atteinte aux libertés individuelles. L’histoire l’a démontré : le caractère démocratique d’un Etat n’étant jamais garanti dans le temps, tout système de sécurité doit pouvoir être contourné en cas de force majeure. « L’absence de possibilité de transgresser ou de contourner les lois s’apparente à un système totalitaire », selon Meryem Marzouki. Une menace combattue aujourd’hui par diverses organisations, tels la Ligue des droits de l’homme et le Syndicat de la magistrature, réunis en collectif [8] pour s’opposer au projet INES (Identité nationale électronique sécurisée) de future carte d’identité biométrique.

Un marché mondial

Le marché mondial de la biométrie s’est élevé à 3 milliards de dollars en 2007. Il devrait atteindre les 7,5 milliards en 2012. Les empreintes digitales constituent près de 50% du chiffre d’affaires et la reconnaissance du visage représente 12% du marché. Le groupe français Sagem Sécurité occupe la position de leader sur ce marché.

Source : International Biometric Group.

A lire

• La sécurité de l’individu numérisé, réflexions prospectives et internationales, sous la direction de Stéphanie Lacour, éditions L’Harmattan, 2009.
• Du papier à la biométrie : identifier les individus, sous la direction de Xavier Crottiez et Pierre Piazza, éditions des Presses de Sciences po, 2006.