La biométrie rencontre le grand public

Le 1er avril 2010 la Commission Nationale de l'Informatique et des Libertés a autorisé la Banque Accord à expérimenter un système de paiement avec authentification du réseau veineux du doigt. Un premier pas vers un usage de masse de la technologie biométrique ?

Longtemps la biométrie a été l'apanage de la science-fiction. En raison de leurs caractères hautement graphiques, le procédé se limitait bien souvent à l'analyse rétinienne, des empruntes digitales ou à la forme de la main.

Mais en matière de biométrie, le terme "fiction" est en passe de se désolidariser définitivement de celui de "science". En effet, la biométrie s'infiltre lentement - mais sûrement - dans la vie courante : le 1er avril de cette année (et il ne s'agit nullement d'humour piscicole), la Commission Nationale de l'Informatique et des Libertés (CNIL) a autorisé la Banque Accord à expérimenter un système de paiement avec authentification du réseau veineux du doigt.

La CNIL, dont il faut nécessairement l'autorisation pour utiliser un procédé biométrique, a pour mission de veiller à la protection des données personnelles. Ainsi, sans être opposée à cette technologie, elle s'est toujours montrée vigilante, voire méfiante, son souci étant de limiter la constitution de bases de données reposant sur des données biométriques. Pour Alex Türk, président de la CNIL depuis 2004, l'évolution technologique ne doit pas se faire au détriment des droits de l'homme.

La Commission explique que "la biométrie recouvre l'ensemble des procédés tendant à identifier un individu à partir de la "mesure" de l'une ou de plusieurs de ses caractéristiques physiques, physiologiques ou comportementales. Il peut s'agir des empreintes digitales, de l'iris de l'oeil, du contour de la main, de l'ADN ou d'éléments comportementaux (la signature, la démarche)..." Au sein de ces procédés il convient de distinguer ceux "avec traces" et ceux "sans trace".

Sont dites "à traces", les biométries faisant appel à des données pouvant être plus ou moins aisément capturées. Ainsi dans le cas des empreintes digitales, un individu en laisse les traces partout où il passe (par exemple sur les poignées de portes).

Aux yeux de la CNIL ces dispositifs ne sont justifiés que "s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes" :

Finalité : le dispositif doit "être limité au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme". C'est pour cette raison que l'utilisation des empreintes digitales a été rejetée à maintes reprises par la CNIL [1]

Proportionnalité : un système adapté ou LE mieux adapté à la poursuite de la finalité envisagée au regard des risques qu'il comporte en matière de protection des données personnelles. 

Fiabilité et sécurité du dispositif : il se doit de permettre une identification / authentification fiable tout en garantissant la protection des données personnelles.

Information des personnes concernées [2] : les usagers du dispositif biométrique doivent être informés de la destination des données récoltées, de l'usage qui en est fait, et le cas échéant pouvoir y apporter modification.

La CNIL ne donne que rarement son aval en matière d'empreintes digitales. L'autorisation s'obtient par demande auprès de la CNIL laquelle statue au cas par cas. Toutefois dans le cas "de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée pour contrôler l'accès aux locaux professionnels", une simple déclaration de conformité auprès de la Commission suffira [3].

A contrario les dispositifs "sans trace", sont ceux faisant appel à des données ne pouvant être captées à l'insu de la personne. C'est le cas de la forme de la main, du réseau veineux, etc. qui nécessitent la présence du porteur.

La reconnaissance du réseau veineux du doigt de la main est actuellement au banc d'essai en vue d'une utilisation de masse. La Commission a attribué cinq autorisations concernant ce procédé dont la finalité est l'accès à des locaux ou systèmes d'information. La véritable nouveauté provient toutefois de l'expérimentation du dispositif par la Banque Accord (filiale du groupe Auchan). Il s'agit d'un système de paiement avec authentification via le réseau veineux du doigt qui sera à l'essai pour six mois. A l'issue de cette période, la Commission recevra un bilan concernant l'utilisation du réseau veineux du doigt de la main comme moyen de paiement.

Pour l'heure la procédure est la suivante [4]. En premier lieu, un gabarit du réseau veineux de deux doigts du titulaire de la carte visa doit être créé. Le gabarit est alors enregistré sur la carte en question, et sur celle-ci seulement. 

Afin de payer, l'acheteur, pose son doigt sur le terminal de paiement électronique (TPE) qui recherche la présence des cartes Paiement d'un Geste (P1G) alentours.

S'amorce alors la phase de "reconnaissance mutuelle" : le TPE et le P1G s'identifient l'un l'autre. Le TPE compare alors le gabarit biométrique du P1G avec celui qui lui est présenté. Si les deux gabarits correspondent, le P1G renvoie alors un certificat au TPE. Le paiement est ainsi validé.

Pour le client l'intérêt du procédé semble se limiter au nombre de gestes nécessaires au paiement (plus besoin de taper son code, plus besoin de le mémoriser), il sera toujours nécessaire de transporter une carte (le P1G en question). On peut toutefois imaginer qu'une même carte ait plusieurs usages (carte de paiement et de fidélité par exemple).  Pour l'heure le véritable avantage de cette technologie est d'optimiser le temps de passage en caisse, pour un meilleur rendement des magasins de grande distribution.

Si le bilan de ce test grandeur nature s'avère positif, il se pourrait bien que l'empreinte du réseau veineux permettent une avancée considérable en matière de dématérialisation [5].

Ainsi la CNIL a autorisé le recours à ce système biométrique pour lutter contre la fraude à un examen mondial (le "Graduate Management Admission Test").

Dans la mesure où la technologie utilisée présente les garanties de sécurité posées par la CNIL (sous réserve que le test ne révèle pas de faille dans la pratique), l'expansion de l'usage du réseau veineux dépendra donc principalement de la finalité du traitement et de la proportionnalité du moyen mis en oeuvre pour accéder à cette finalité. Pour autant, la CNIL semble sensible au fait que ces technologies soient proposées sur une base de volontariat.

- - -

[1] 26 juin 2008, refus concernant l'utilisation des empreintes pour contrôler l'accès à un établissement scolaire ; le 30 mai 2006 refus de 5 autorisations portant sur le contrôle de l'accès par empreinte digitale.

[2] peut avoir conjointement trait à la loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 et au code du travail. 

[3] Déclaration n°AU-008 - Délibération n°2006-102 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail.

[4] Des informations techniques plus détaillées sont disponibles à l'adresse suivante : http://www.futurquantique.org/?p=4077

[5] On notera cependant l'autorisation récemment accordée à expérimenter un dispositif biométrique permettant de contrôler l'identité des patients pris en charge en radiothérapie. Dans ce cas "le choix de la technique des empreintes digitales avec base centralisée est dicté par les contraintes liées à la maladie ou au traitement des patients... l'option consistant à utiliser le réseau veineux se heurte au fait que la chimiothérapie souvent associée à la radiothérapie dégrade ce réseau [...]"