C'est là une caractéristique fondamentale des systèmes biométriques : l'empreinte est obtenue par la transformation d'une donnée physique (susceptible d'altérations) en un fichier numérique. On n'obtient donc jamais deux fois le même fichier lors de la "capture" de la donnée en question. La comparaison entre l'empreinte capturée et l'empreinte stockée est obtenue grâce à un procédé statistique qui comporte une marge d'erreur, que l'on peut réduire en croisant plusieurs données biométriques de type différent.

Ces technologies sont encore coûteuses. Selon une source Meta Group de juin 2001, un système de reconnaissance d'empreinte digitale coûterait de 100 à 200 dosslars par utilisateur, et les plus chers des systèmes, basés sur la reconnaissance de l'iris, ne sont pas accessibles à moins de 3.000 dollars par utilisateur. Ces coûts sont néanmoins en train de baisser considérablement, et de nombreux systèmes ayant atteint leur maturité industrielle et un degré de fiabilité très satisfaisant sont maintenant disponibles sur le marché.

2 - A quoi ça sert ?
La biométrie est une technique d'"authentification", qui permet d'associer la personne qui entend procéder à une action (rentrer dans un système informatique, passer une frontière, entrer physiquement dans une zone à accès restreint, effectuer un paiement, ou encore signer numériquement un document...) à une identité.

A titre d'illustration, les actions précédentes peuvent être réalisées en fournissant à un système informatique des identifiants (numéro NIR, date de naissance, etc…) et un mot de passe, ou encore en s'authentifiant grâce à une carte à puce, ou en montrant un document officiel d'identité comportant une photo. Mais tous ces systèmes sont falsifiables, avec plus ou moins de facilité : le fraudeur peut posséder les identifiants numériques et les mots de passe, ou de dérober la carte à puce avec son code pin, ou encore fabriquer de faux papiers d'identité.

La technique biométrique est considérée comme plus sûre dans la mesure où elle permet d'authentifier une personne non pas grâce un élément qui lui est extérieur, mais grâce à une partie d'elle même. Bien sûr, les aficionados de James Bond se souviendront que dans "Opération Tonnerre", le méchant se fait greffer un iris pour pénétrer dans la zone protégée. Mais il s'agit là d'une fraude qui n'est pas à la portée de tout le monde... Pour autant, il serait inexact de prétendre que les techniques biométriques sont infalsifiables. Les chercheurs japonais ont récemment pu feinter un lecteur d'empreintes digitales avec une solution gélatineuse. Il y en matière de biométrie une gradation dans les niveaux de sécurité, à mettre en adéquation avec l'enjeu considéré.

La biométrie, en résumé, n'a donc pour autre fonction que d'authentifier un individu à partir d'une de ses caractéristiques physiques. C'est la dernière partie de la proposition précédente qui différencie la biométrie de n'importe quelle autre technique d'authentification, et il semblerait que ce soit là que siège les angoisses qu'elle génère : pour la plupart d'entre nous, seul un besoin de sécurité particulièrement élevé justifierait que l'on stocke et transmette des données concernant notre propre corps.

3 - Les dangers attribués aux techniques biométriques
La CNIL considère la plupart des techniques biométriques comme "porteuses de sécurité, mais redoutables pour nos libertés". Elle y consacre une partie importante de son 22ième rapport annuel d'activité, présenté le 10 juillet 2002, en des termes qu'il nous paraît intéressant de rapporter car ils ont le mérite de faire le point sur les risques de dérive liés à ces techniques sans excès d'émotion, travers qui tend à décrédibiliser certaines des critiques adressées à la biométrie.

S'agissant de la technologie de reconnaissance des visages, la CNIL considère que celle-ci comporte deux risques sérieux : le premier serait la tentation des services de police de ficher non seulement des personnes recherchées, mais également des personnes non suspectes mais connues de leurs services, à des fins de prévention. On peut effectivement considérer que la liberté d'aller et venir de tout un chacun serait quelque peu émoussée, dès lors que l'on aurait eu un seul contact avec les services de police. Le second risque, lié au premier, serait l'augmentation du nombre des caméras de vidéo surveillance dans les lieux publics.

Un autre risque est celui lié à la conservation des bases de données d'éléments biométriques. La CNIL considère en effet que le risque de détournement de la base à d'autres fins que celles ayant justifié sa création est majeur lorsque l'élément en question "laisse des traces" dans la vie courante. Il en est ainsi de l'ADN (que l'on trouve sur les cheveux), de l'empreinte digitale, du visage. Le développement massif de telles bases offrirait ainsi des moyens tout à fait considérables d'investigation policière.

A contrario, La CNIL considère que le risque social est bien moindre lorsque le gabarit de reconnaissance biométrique n'est pas stocké dans une base de données centralisée, mais demeure sur soi, procédé qui comporte de nombreuses applications : inclusion d'un dispositif de reconnaissance vocale sur un téléphone portable pour empêcher qu'il ne soit utilisé par un tiers, utilisation des empreintes digitales pour s'assurer que seul son propriétaire pourra accéder à son ordinateur, inclusion du gabarit de l'empreinte dans la puce d'une carte bancaire permettant, par comparaison d'un doigt que l'on présente dans le lecteur associé au guichet automatique et de l'empreinte figurant dans la puce, de s'assurer que l'utilisateur de la carte est son titulaire.

En résumé, la CNIL considère que les technologies biométriques révèlent trois enjeux :
- Le premier est celui de la systématisation de la "logique des traces" (ADN, empreintes digitales, empreintes vocales...), qui conduirait au développement, à des fins plus ou moins avouables, de méthodes de recherche et de d'identification des traces humaines à grande échelle.
- Le deuxième est lié à l'affaiblissement de l'espace public anonyme, qui pourrait conduire à menacer la liberté fondamentale d'aller et venir, ou de manifester.
- Le dernier est lié à l'idée que les empreintes biométriques tendent à nous attribuer une "identité biologique" unique, ce qui va à l'encontre d'une certaine aspiration à la fragmentation des identités, où se niche semble-t-il notre idée de la liberté.

En tout état de cause, les angoisses provoquées par les techniques biométriques seront à la fois cristallisées et, d'une certaine façon jugulées, par notre future loi sur la protection des données personnelles, puisque le projet de loi de transposition de la directive européenne soumet à un régime d'autorisation tous les traitements de données personnelles incluant des données biométriques.

4 - Perspectives et encadrement
Des développements qui précèdent ressortent trois propositions :
- 1. L'authentification par utilisation d'une ou plusieurs techniques combinées de biométrie est considérée comme plus fiable que toute autre technique actuellement utilisée. En cela, elle est une candidate idéale à toutes les applications où l'authentification d'un individu est associée à un fort besoin de sécurité.
- 2. Les techniques biométriques sont maintenant bien maîtrisées et d'un coût abordable, ce qui en rend possible l'utilisation à grande échelle à court terme.
- 3. Mais elles soulèvent des craintes pour le respect des libertés individuelles, dès lors que leur utilisation déborderait les applications initialement prévues, notamment au regard de ses perspectives en matière d'investigation policière.

Il est évident que l'on ne saurait ignorer un tel risque, surtout s'agissant d'applications qui nécessitent le stockage centralisé des informations biométriques de référence (telles que celles relatives aux contrôle des frontières ou à la vidéo surveillance par exemple). Il faut cependant être conscient que dans certains pays, où le besoin de sécurité est plus qu'un simple concept, de tels systèmes ont été effectivement mis en œuvre : par exemple le contrôle par reconnaissance des visages des travailleurs journaliers palestiniens aux points de passage à la frontière d'Israël. Enfin, ce serait une erreur de considérer que la biométrie est l'ultime grand Satan en matière de procédés liberticides : que dire alors de la localisation par GSM, des écoutes téléphoniques et du suivi à la trace de la navigation des internautes?

Nous vivons en ce moment un double mouvement : l'un est lié à un besoin renforcé de contrôle d'accès physique des individus, liés à la menace du terrorisme ; l'autre est le basculement, en quelques décennies, des supports de transaction qui avaient une réalité physique vers des supports et des flux totalement numériques, donc considérablement plus difficiles à appréhender. Ces deux mouvements imposent aux civilisations démocratiques de se doter d'outils fiables d'authentification, afin de lutter tant contre le danger extrême que représente le terrorisme, que contre la faible résistance des transactions numériques aux détournements frauduleux.

La France est sur le point d'adopter un régime d'autorisation par la CNIL qui n'a pas son équivalent dans les autres pays européens, même si leurs autorités respectives en matière de protection des données personnelles ont eu à connaître de problématiques similaires. Plutôt que de créer une nouvelle exception française, il est permis de se demander si d'autres solutions ne sont pas envisageables (qui devraient être harmonisées au niveau européen faute de rester d'une efficacité très limitée), telles que :
- liberté de l'utilisation des techniques biométriques si les éléments de référence ne sont pas conservées dans une base de donnée mais stockés sur un objet personnel à l'utilisateur ;
- Obligation d'un contrôle permanent des systèmes requérant la mise en place de bases de données centralisées afin d'éviter les risques de détournement des bases de leur finalité première.

Quoiqu'il en soit, l'utilisation à grande échelle de techniques biométriques n'est pas anodine. Il faut en comprendre les vrais enjeux, afin d'en encadrer strictement l'utilisation mais sans la diaboliser à outrance, car il s'agit d'un outil puissant de sécurisation de notre espace tant physique que virtuel. Il sera pour cela nécessaire de mettre en place des dispositifs juridiques pragmatiques, adaptés, et cohérents au niveau européen.