[Helpc] La biométrie : meilleur ou pire des mondes ?
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Thu, 17 Oct 2002 23:23:08 +0200
La biométrie : meilleur ou pire des mondes ?
par
Isabelle Renard,
Avocat associée August&Debouzy
1 De quoi s'agit-il et où en est-on ?
La biométrie consiste à transformer les caractéristiques physiques d'une
personne (iris ou rétine, voix, empreintes digitales, forme de la main
ou du visage, etc…) en une empreinte numérique. A chaque fois que cette
personne doit s'authentifier, un capteur saisit une empreinte de la
caractéristique physique considérée, et le système opére une comparaison
statistique entre l'empreinte numérique captée et une empreinte de
référence, correspondant à celle que la personne en cours
d'authentification prétend être.
C'est là une caractéristique fondamentale des systèmes biométriques :
l'empreinte est obtenue par la transformation d'une donnée physique
(susceptible d'altérations) en un fichier numérique. On n'obtient donc
jamais deux fois le même fichier lors de la "capture" de la donnée en
question. La comparaison entre l'empreinte capturée et l'empreinte
stockée est obtenue grâce à un procédé statistique qui comporte une
marge d'erreur, que l'on peut réduire en croisant plusieurs données
biométriques de type différent.
Ces technologies sont encore coûteuses. Selon une source Meta Group de
juin 2001, un système de reconnaissance d'empreinte digitale coûterait
de 100 à 200 dosslars par utilisateur, et les plus chers des systèmes,
basés sur la reconnaissance de l'iris, ne sont pas accessibles à moins
de 3.000 dollars par utilisateur. Ces coûts sont néanmoins en train de
baisser considérablement, et de nombreux systèmes ayant atteint leur
maturité industrielle et un degré de fiabilité très satisfaisant sont
maintenant disponibles sur le marché.
2 - A quoi ça sert ?
La biométrie est une technique d'"authentification", qui permet
d'associer la personne qui entend procéder à une action (rentrer dans un
système informatique, passer une frontière, entrer physiquement dans une
zone à accès restreint, effectuer un paiement, ou encore signer
numériquement un document...) à une identité.
A titre d'illustration, les actions précédentes peuvent être réalisées
en fournissant à un système informatique des identifiants (numéro NIR,
date de naissance, etc…) et un mot de passe, ou encore en
s'authentifiant grâce à une carte à puce, ou en montrant un document
officiel d'identité comportant une photo. Mais tous ces systèmes sont
falsifiables, avec plus ou moins de facilité : le fraudeur peut posséder
les identifiants numériques et les mots de passe, ou de dérober la carte
à puce avec son code pin, ou encore fabriquer de faux papiers
d'identité.
La technique biométrique est considérée comme plus sûre dans la mesure
où elle permet d'authentifier une personne non pas grâce un élément qui
lui est extérieur, mais grâce à une partie d'elle même. Bien sûr, les
aficionados de James Bond se souviendront que dans "Opération Tonnerre",
le méchant se fait greffer un iris pour pénétrer dans la zone protégée.
Mais il s'agit là d'une fraude qui n'est pas à la portée de tout le
monde... Pour autant, il serait inexact de prétendre que les techniques
biométriques sont infalsifiables. Les chercheurs japonais ont récemment
pu feinter un lecteur d'empreintes digitales avec une solution
gélatineuse. Il y en matière de biométrie une gradation dans les niveaux
de sécurité, à mettre en adéquation avec l'enjeu considéré.
La biométrie, en résumé, n'a donc pour autre fonction que d'authentifier
un individu à partir d'une de ses caractéristiques physiques. C'est la
dernière partie de la proposition précédente qui différencie la
biométrie de n'importe quelle autre technique d'authentification, et il
semblerait que ce soit là que siège les angoisses qu'elle génère : pour
la plupart d'entre nous, seul un besoin de sécurité particulièrement
élevé justifierait que l'on stocke et transmette des données concernant
notre propre corps.
3 - Les dangers attribués aux techniques biométriques
La CNIL considère la plupart des techniques biométriques comme
"porteuses de sécurité, mais redoutables pour nos libertés". Elle y
consacre une partie importante de son 22ième rapport annuel d'activité,
présenté le 10 juillet 2002, en des termes qu'il nous paraît intéressant
de rapporter car ils ont le mérite de faire le point sur les risques de
dérive liés à ces techniques sans excès d'émotion, travers qui tend à
décrédibiliser certaines des critiques adressées à la biométrie.
S'agissant de la technologie de reconnaissance des visages, la CNIL
considère que celle-ci comporte deux risques sérieux : le premier serait
la tentation des services de police de ficher non seulement des
personnes recherchées, mais également des personnes non suspectes mais
connues de leurs services, à des fins de prévention. On peut
effectivement considérer que la liberté d'aller et venir de tout un
chacun serait quelque peu émoussée, dès lors que l'on aurait eu un seul
contact avec les services de police. Le second risque, lié au premier,
serait l'augmentation du nombre des caméras de vidéo surveillance dans
les lieux publics.
Un autre risque est celui lié à la conservation des bases de données
d'éléments biométriques. La CNIL considère en effet que le risque de
détournement de la base à d'autres fins que celles ayant justifié sa
création est majeur lorsque l'élément en question "laisse des traces"
dans la vie courante. Il en est ainsi de l'ADN (que l'on trouve sur les
cheveux), de l'empreinte digitale, du visage. Le développement massif de
telles bases offrirait ainsi des moyens tout à fait considérables
d'investigation policière.
A contrario, La CNIL considère que le risque social est bien moindre
lorsque le gabarit de reconnaissance biométrique n'est pas stocké dans
une base de données centralisée, mais demeure sur soi, procédé qui
comporte de nombreuses applications : inclusion d'un dispositif de
reconnaissance vocale sur un téléphone portable pour empêcher qu'il ne
soit utilisé par un tiers, utilisation des empreintes digitales pour
s'assurer que seul son propriétaire pourra accéder à son ordinateur,
inclusion du gabarit de l'empreinte dans la puce d'une carte bancaire
permettant, par comparaison d'un doigt que l'on présente dans le lecteur
associé au guichet automatique et de l'empreinte figurant dans la puce,
de s'assurer que l'utilisateur de la carte est son titulaire.
En résumé, la CNIL considère que les technologies biométriques révèlent
trois enjeux :
- Le premier est celui de la systématisation de la "logique des traces"
(ADN, empreintes digitales, empreintes vocales...), qui conduirait au
développement, à des fins plus ou moins avouables, de méthodes de
recherche et de d'identification des traces humaines à grande échelle.
- Le deuxième est lié à l'affaiblissement de l'espace public anonyme,
qui pourrait conduire à menacer la liberté fondamentale d'aller et
venir, ou de manifester.
- Le dernier est lié à l'idée que les empreintes biométriques tendent à
nous attribuer une "identité biologique" unique, ce qui va à l'encontre
d'une certaine aspiration à la fragmentation des identités, où se niche
semble-t-il notre idée de la liberté.
En tout état de cause, les angoisses provoquées par les techniques
biométriques seront à la fois cristallisées et, d'une certaine façon
jugulées, par notre future loi sur la protection des données
personnelles, puisque le projet de loi de transposition de la directive
européenne soumet à un régime d'autorisation tous les traitements de
données personnelles incluant des données biométriques.
4 - Perspectives et encadrement
Des développements qui précèdent ressortent trois propositions :
- 1. L'authentification par utilisation d'une ou plusieurs techniques
combinées de biométrie est considérée comme plus fiable que toute autre
technique actuellement utilisée. En cela, elle est une candidate idéale
à toutes les applications où l'authentification d'un individu est
associée à un fort besoin de sécurité.
- 2. Les techniques biométriques sont maintenant bien maîtrisées et d'un
coût abordable, ce qui en rend possible l'utilisation à grande échelle à
court terme.
- 3. Mais elles soulèvent des craintes pour le respect des libertés
individuelles, dès lors que leur utilisation déborderait les
applications initialement prévues, notamment au regard de ses
perspectives en matière d'investigation policière.
Il est évident que l'on ne saurait ignorer un tel risque, surtout
s'agissant d'applications qui nécessitent le stockage centralisé des
informations biométriques de référence (telles que celles relatives aux
contrôle des frontières ou à la vidéo surveillance par exemple). Il faut
cependant être conscient que dans certains pays, où le besoin de
sécurité est plus qu'un simple concept, de tels systèmes ont été
effectivement mis en œuvre : par exemple le contrôle par reconnaissance
des visages des travailleurs journaliers palestiniens aux points de
passage à la frontière d'Israël. Enfin, ce serait une erreur de
considérer que la biométrie est l'ultime grand Satan en matière de
procédés liberticides : que dire alors de la localisation par GSM, des
écoutes téléphoniques et du suivi à la trace de la navigation des
internautes?
Nous vivons en ce moment un double mouvement : l'un est lié à un besoin
renforcé de contrôle d'accès physique des individus, liés à la menace du
terrorisme ; l'autre est le basculement, en quelques décennies, des
supports de transaction qui avaient une réalité physique vers des
supports et des flux totalement numériques, donc considérablement plus
difficiles à appréhender. Ces deux mouvements imposent aux civilisations
démocratiques de se doter d'outils fiables d'authentification, afin de
lutter tant contre le danger extrême que représente le terrorisme, que
contre la faible résistance des transactions numériques aux
détournements frauduleux.
La France est sur le point d'adopter un régime d'autorisation par la
CNIL qui n'a pas son équivalent dans les autres pays européens, même si
leurs autorités respectives en matière de protection des données
personnelles ont eu à connaître de problématiques similaires. Plutôt que
de créer une nouvelle exception française, il est permis de se demander
si d'autres solutions ne sont pas envisageables (qui devraient être
harmonisées au niveau européen faute de rester d'une efficacité très
limitée), telles que :
- liberté de l'utilisation des techniques biométriques si les éléments
de référence ne sont pas conservées dans une base de donnée mais stockés
sur un objet personnel à l'utilisateur ;
- Obligation d'un contrôle permanent des systèmes requérant la mise en
place de bases de données centralisées afin d'éviter les risques de
détournement des bases de leur finalité première.
Quoiqu'il en soit, l'utilisation à grande échelle de techniques
biométriques n'est pas anodine. Il faut en comprendre les vrais enjeux,
afin d'en encadrer strictement l'utilisation mais sans la diaboliser à
outrance, car il s'agit d'un outil puissant de sécurisation de notre
espace tant physique que virtuel. Il sera pour cela nécessaire de mettre
en place des dispositifs juridiques pragmatiques, adaptés, et cohérents
au niveau européen.
--->
Shaka( Rudy)
Helpc list owner
<mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx
Other related posts:
- » [Helpc] La biométrie : meilleur ou pire des mondes ?
