1
De quoi s'agit-il et où en est-on ?
La biométrie consiste à transformer les caractéristiques
physiques d'une personne (iris ou rétine, voix, empreintes
digitales, forme de la main ou du visage, etc
) en une
empreinte numérique. A chaque fois que cette personne
doit s'authentifier, un capteur saisit une empreinte de
la caractéristique physique considérée, et le système
opére une comparaison statistique entre l'empreinte numérique
captée et une empreinte de référence, correspondant à
celle que la personne en cours d'authentification prétend
être.
C'est
là une caractéristique fondamentale des systèmes biométriques
: l'empreinte est obtenue par la transformation d'une
donnée physique (susceptible d'altérations) en un fichier
numérique. On n'obtient donc jamais deux fois le même
fichier lors de la "capture" de la donnée en question.
La comparaison entre l'empreinte capturée et l'empreinte
stockée est obtenue grâce à un procédé statistique qui
comporte une marge d'erreur, que l'on peut réduire en
croisant plusieurs données biométriques de type différent.
Ces technologies
sont encore coûteuses. Selon une source Meta Group de
juin 2001, un système de reconnaissance d'empreinte
digitale coûterait de 100 à 200 dosslars par utilisateur,
et les plus chers des systèmes, basés sur la reconnaissance
de l'iris, ne sont pas accessibles à moins de 3.000
dollars par utilisateur. Ces coûts sont néanmoins en
train de baisser considérablement, et de nombreux systèmes
ayant atteint leur maturité industrielle et un degré
de fiabilité très satisfaisant sont maintenant disponibles
sur le marché.
2
- A quoi ça sert ?
La biométrie
est une technique d'"authentification", qui permet d'associer
la personne qui entend procéder à une action (rentrer
dans un système informatique, passer une frontière,
entrer physiquement dans une zone à accès restreint,
effectuer un paiement, ou encore signer numériquement
un document...) à une identité.
A
titre d'illustration, les actions précédentes peuvent
être réalisées en fournissant à un système informatique
des identifiants (numéro NIR, date de naissance, etc
)
et un mot de passe, ou encore en s'authentifiant grâce
à une carte à puce, ou en montrant un document officiel
d'identité comportant une photo. Mais tous ces systèmes
sont falsifiables, avec plus ou moins de facilité :
le fraudeur peut posséder les identifiants numériques
et les mots de passe, ou de dérober la carte à puce
avec son code pin, ou encore fabriquer de faux papiers
d'identité.
La technique biométrique
est considérée comme plus sûre dans la mesure où elle
permet d'authentifier une personne non pas grâce un
élément qui lui est extérieur, mais grâce à une partie
d'elle même. Bien sûr, les aficionados de James Bond
se souviendront que dans "Opération Tonnerre", le méchant
se fait greffer un iris pour pénétrer dans la zone protégée.
Mais il s'agit là d'une fraude qui n'est pas à la portée
de tout le monde... Pour autant, il serait inexact de
prétendre que les techniques biométriques sont infalsifiables.
Les chercheurs japonais ont récemment pu feinter un
lecteur d'empreintes digitales avec une solution gélatineuse.
Il y en matière de biométrie une gradation dans les
niveaux de sécurité, à mettre en adéquation avec l'enjeu
considéré.
La biométrie, en résumé,
n'a donc pour autre fonction que d'authentifier un individu
à partir d'une de ses caractéristiques physiques. C'est
la dernière partie de la proposition précédente qui
différencie la biométrie de n'importe quelle autre technique
d'authentification, et il semblerait que ce soit là
que siège les angoisses qu'elle génère : pour la plupart
d'entre nous, seul un besoin de sécurité particulièrement
élevé justifierait que l'on stocke et transmette des
données concernant notre propre corps.
3
- Les dangers attribués aux techniques biométriques
La CNIL considère la plupart
des techniques biométriques comme "porteuses de sécurité,
mais redoutables pour nos libertés". Elle y consacre
une partie importante de son 22ième rapport annuel d'activité,
présenté le 10 juillet 2002, en des termes qu'il nous
paraît intéressant de rapporter car ils ont le mérite
de faire le point sur les risques de dérive liés à ces
techniques sans excès d'émotion, travers qui tend à
décrédibiliser certaines des critiques adressées à la
biométrie.
S'agissant de la technologie
de reconnaissance des visages, la CNIL considère que
celle-ci comporte deux risques sérieux : le premier
serait la tentation des services de police de ficher
non seulement des personnes recherchées, mais également
des personnes non suspectes mais connues de leurs services,
à des fins de prévention. On peut effectivement considérer
que la liberté d'aller et venir de tout un chacun serait
quelque peu émoussée, dès lors que l'on aurait eu un
seul contact avec les services de police. Le second
risque, lié au premier, serait l'augmentation du nombre
des caméras de vidéo surveillance dans les lieux publics.
Un autre risque est celui
lié à la conservation des bases de données d'éléments
biométriques. La CNIL considère en effet que le risque
de détournement de la base à d'autres fins que celles
ayant justifié sa création est majeur lorsque l'élément
en question "laisse des traces" dans la vie courante.
Il en est ainsi de l'ADN (que l'on trouve sur les cheveux),
de l'empreinte digitale, du visage. Le développement
massif de telles bases offrirait ainsi des moyens tout
à fait considérables d'investigation policière.
A contrario, La CNIL considère
que le risque social est bien moindre lorsque le gabarit
de reconnaissance biométrique n'est pas stocké dans
une base de données centralisée, mais demeure sur soi,
procédé qui comporte de nombreuses applications : inclusion
d'un dispositif de reconnaissance vocale sur un téléphone
portable pour empêcher qu'il ne soit utilisé par un
tiers, utilisation des empreintes digitales pour s'assurer
que seul son propriétaire pourra accéder à son ordinateur,
inclusion du gabarit de l'empreinte dans la puce d'une
carte bancaire permettant, par comparaison d'un doigt
que l'on présente dans le lecteur associé au guichet
automatique et de l'empreinte figurant dans la puce,
de s'assurer que l'utilisateur de la carte est son titulaire.
En résumé, la CNIL considère
que les technologies biométriques révèlent trois enjeux
:
- Le premier est celui de la systématisation de la "logique
des traces" (ADN, empreintes digitales, empreintes vocales...),
qui conduirait au développement, à des fins plus ou
moins avouables, de méthodes de recherche et de d'identification
des traces humaines à grande échelle.
- Le deuxième est lié à l'affaiblissement de
l'espace public anonyme, qui pourrait conduire à menacer
la liberté fondamentale d'aller et venir, ou de manifester.
- Le dernier est lié à l'idée que les empreintes biométriques
tendent à nous attribuer une "identité biologique" unique,
ce qui va à l'encontre d'une certaine aspiration à la
fragmentation des identités, où se niche semble-t-il
notre idée de la liberté.
En tout état de cause,
les angoisses provoquées par les techniques biométriques
seront à la fois cristallisées et, d'une certaine façon
jugulées, par notre future loi sur la protection des
données personnelles, puisque le projet de loi de transposition
de la directive européenne soumet à un régime d'autorisation
tous les traitements de données personnelles incluant
des données biométriques.
4
- Perspectives et encadrement
Des développements qui précèdent
ressortent trois propositions :
- 1. L'authentification par utilisation d'une ou plusieurs
techniques combinées de biométrie est considérée comme
plus fiable que toute autre technique actuellement utilisée.
En cela, elle est une candidate idéale à toutes les
applications où l'authentification d'un individu est
associée à un fort besoin de sécurité.
- 2. Les techniques biométriques sont maintenant bien
maîtrisées et d'un coût abordable, ce qui en rend possible
l'utilisation à grande échelle à court terme.
- 3. Mais elles soulèvent des craintes pour le respect
des libertés individuelles, dès lors que leur utilisation
déborderait les applications initialement prévues, notamment
au regard de ses perspectives en matière d'investigation
policière.
Il est évident que l'on
ne saurait ignorer un tel risque, surtout s'agissant
d'applications qui nécessitent le stockage centralisé
des informations biométriques de référence (telles que
celles relatives aux contrôle des frontières ou à la
vidéo surveillance par exemple). Il faut cependant être
conscient que dans certains pays, où le besoin de sécurité
est plus qu'un simple concept, de tels systèmes ont
été effectivement mis en uvre : par exemple le contrôle
par reconnaissance des visages des travailleurs journaliers
palestiniens aux points de passage à la frontière d'Israël.
Enfin, ce serait une erreur de considérer que la biométrie
est l'ultime grand Satan en matière de procédés liberticides
: que dire alors de la localisation par GSM, des écoutes
téléphoniques et du suivi à la trace de la navigation
des internautes?
Nous vivons en ce moment
un double mouvement : l'un est lié à un besoin renforcé
de contrôle d'accès physique des individus, liés à la
menace du terrorisme ; l'autre est le basculement, en
quelques décennies, des supports de transaction qui
avaient une réalité physique vers des supports et des
flux totalement numériques, donc considérablement plus
difficiles à appréhender. Ces deux mouvements imposent
aux civilisations démocratiques de se doter d'outils
fiables d'authentification, afin de lutter tant contre
le danger extrême que représente le terrorisme, que
contre la faible résistance des transactions numériques
aux détournements frauduleux.
La France est sur le point
d'adopter un régime d'autorisation par la CNIL qui n'a
pas son équivalent dans les autres pays européens, même
si leurs autorités respectives en matière de protection
des données personnelles ont eu à connaître de problématiques
similaires. Plutôt que de créer une nouvelle exception
française, il est permis de se demander si d'autres
solutions ne sont pas envisageables (qui devraient être
harmonisées au niveau européen faute de rester d'une
efficacité très limitée), telles que :
- liberté de l'utilisation des techniques biométriques
si les éléments de référence ne sont pas conservées
dans une base de donnée mais stockés sur un objet personnel
à l'utilisateur ;
- Obligation d'un contrôle permanent des systèmes requérant
la mise en place de bases de données centralisées afin
d'éviter les risques de détournement des bases de leur
finalité première.
Quoiqu'il en soit, l'utilisation
à grande échelle de techniques biométriques n'est pas
anodine. Il faut en comprendre les vrais enjeux, afin
d'en encadrer strictement l'utilisation mais sans la
diaboliser à outrance, car il s'agit d'un outil puissant
de sécurisation de notre espace tant physique que virtuel.
Il sera pour cela nécessaire de mettre en place des
dispositifs juridiques pragmatiques, adaptés, et cohérents
au niveau européen.
|