Aller au contenu | Aller au menu | Aller à la recherche

Quel est l'impact des technologies biométriques sur notre vie privée ? (P. Tran Huu)

Voici un très intéressant article qui  nous est proposé par Pascal Tran Huu. Mille merci à lui. OK.

http://www.lesmotsontunsens.com/files/biometrie.png Source

La biométrie a, selon le dictionnaire médical de l’Académie de Médecine, trois définitions :

1) Science qui étudie, à l’aide des mathématiques (statistiques, probabilités), les variations biologiques à l’intérieur d’un groupe déterminé

2) L’anthropométrie est la biométrie appliquée à l’Homme

3) En assurance vie, calcul, à l’aide de tables de références, de la durée probable de vie d’un individu donné.

A la suite des attentats du 11 septembre 2001, l’utilisation des données biométriques s’est généralisée au point qu’une nouvelle définition a vu le jour. Partant du constat qu’il y a trois moyens de prouver son identité[i] et que sur les trois, un seul est, pour le moment, fiable, les spécialistes ont proposé que la biométrie soit définie comme la technique qui permet « l'identification ou l’authentification d'une personne sur la base de données reconnaissables et vérifiables qui lui sont propres. »

N’oublions pas, toutefois, que les techniques biométriques existent depuis longtemps. En effet, Alphonse Bertillon avait mis au point, dès 1879, une technique de mesure anthropométriques qui se rapproche de la biométrique : le bertillonnage à laquelle on intégrera, peu à peu, une autre technique fondée sur la prise des empreintes digitales.  Le grand public, comme les autorités se sont accommodés de l’utilisation de ces données biométriques à des fins de police, puis de sûreté voire de sécurité. 

La CNIL dans son 21e rapport d’activité (introduction du chapitre 4), définit la biométrie en ces termes : « On peut définir les systèmes biométriques comme étant des applications permettant l’identification automatique ou l’éligibilité d’une personne à se voir reconnaître certains droits ou services (notamment l’accès) basés sur la reconnaissance de particularités physiques (empreintes digitales, iris de l’œil, contour de la main, etc.), de traces (ADN, sang, odeurs) ou d’éléments comportementaux (signature, démarche). » On notera que la biométrie se sépare ici de l’anthropométrie dans la mesure où elle ne fait qu’exploiter, à des fins statistiques, les données recueillies par cette dernière.

 

Les solutions de biométrie sont relativement simples à mettre en œuvre, fiables, économiques, et présentant l'avantage de s'appuyer sur des caractéristiques quasiment immuables.  Toutefois il faut savoir qu’un système biométrique n’utilise pas toute l’information dans l’image ou le signal capté. Il n’en extrait que certaines caractéristiques, ce qui réduit la quantité d’information à traiter par le système mais réduit, également, le pourcentage pour que la donnée recueillie soit unique.  On a, donc, été amené à classer les systèmes biométriques selon deux paramètres : le taux de fausse acceptation, qui est l'action effectuée par le lecteur biométrique d’accepter un utilisateur qui n'est normalement pas autorisé, et le taux de faux rejet, qui est l'action effectuée par le lecteur biométrique de rejeter un utilisateur qui est normalement accepté.  Selon cette classification, les deux systèmes les plus sûres sont l’empreinte digitale et le scan rétiniens. Le deuxième étant plus onéreux à mettre en place ce qui explique pourquoi la solution « empreintes digitales » est celle qui est la plus couramment mise en œuvre.  Du fait de cette simplicité, le recueil des données biométriques connaît une croissance exponentielle générant la création de bases de données conséquentes.

 

En France, on estime que le caractère sensible de ces données justifie que la loi prévoie un contrôle particulier de la CNIL fondé essentiellement sur l’impératif de proportionnalité.  En effet, les Français estiment que la donnée biométrique n’est pas une donnée d’identité comme les autres car elle nous désigne de façon définitive.  Le mauvais usage ou le détournement d’une telle donnée peut alors avoir des conséquences graves.  Le système proposé doit-être adapté à la finalité préalablement définie compte-tenu des risques qu’il comporte en matière de protection des données à caractère personnel.  En règle générale, les pays occidentaux ont tous adopté un encadrement juridique relatif au recueil des données biométriques se basant sur la protection des données personnelles avec des dérogations possibles lorsqu’il s’agit de sécurité où la pratique de l’identification est primordiale.  A cet égard, l’une des législations les plus intéressante à observer est le Biometric Information Privacy Act (740 ILCS 14/) prise par l’Etat de l’Illinois qui spécifie qu’il faut un accord explicite de la personne pour pouvoir recueillir des données biométriques pour un usage commercial.

En effet, si la pratique étatique de recueillir et de conserver des données biométriques fait consensus[ii] les mêmes pratiques par des sociétés commerciales font débats, quoique…

Reconnaissance faciale, lecture d’empreinte digitales, prises de mesures sont des pratiques courantes.  Si pour pouvoir rentrer dans un magasin, le passage obligatoire par un lecteur d’empreintes digitales ferait scandale, la même pratique pour entrer dans une bijouterie avec comme objectif avoué de faire échec à des attaques à main armée serait accepté. Il en est de même, par exemple pour les 100 millions de possesseurs d’Iphone 6 qui ont, par souci de protéger un objet personnel, volontairement donné leurs empreintes digitales à Apple… Donnant la possibilité à la National Security Agency de disposer potentiellement de millions d’empreintes européennes[iii] comme le lui permet le paragraphe 215 du Patriot Act.

En avril 2015, une action de masse (« Class Action ») a été intentée, en violation du BIPA, contre Facebook. Selon les plaignants, cette entreprise utilise, secrètement, des algorithmes dont la fonction est d'analyser les photos partagées dans le but de suggérer les noms des personnes participantes afin de les marquer (« tag »).

Facebook s'attache à faciliter le partage de photos de groupe : il groupe les clichés d'un même événement et un algorithme de reconnaissance faciale tentera ensuite d’identifier les personnes présentes qui, si elles sont aussi inscrites sur Facebook, pourront recevoir les images à travers le réseau social de manière privée. Or le BIPA est clair : il faut le consentement explicite et écrit des personnes (« (b) No private entity may collect, capture, purchase, receive through trade, or otherwise obtain a person's or a customer's biometric identifier or biometric information, unless it first:

        (1) informs the subject or the subject's legally authorized representative in writing that a biometric identifier or biometric information is being collected or stored;

        (2) informs the subject or the subject's legally authorized representative in writing of the specific purpose and length of term for which a biometric identifier or biometric information is being collected, stored, and used; and

        (3) receives a written release executed by the subject of the biometric identifier or biometric information or the subject's legally authorized representative. »)

En 2015, toujours, une action de masse a été intenté, également en violation du BIPA contre Shutterfly pour sensiblement les mêmes raisons sauf que dans le deuxième cas, le plaignant n’est pas inscrit sur cette plateforme et c’est un ami qui avait déposé la photo et l’avait nommé.

Ces deux exemples illustrent les dérives possibles du recueil des données biométriques et les utilisations au mieux gênantes au pire frauduleuses possibles….

Ce type de mécanisme, cependant, n'est pas actif partout. En Europe, par exemple, il s'est très clairement heurté à la réglementation imposée par Bruxelles et n’a, pour le moment, pas le droit de cité.

 

L’impact des technologies biométriques sur la vie privée des citoyens n’est pas nul, toutefois, la réglementation, mise en place un peu partout dans le monde, et une perception favorable du public en limite la portée.  Il en va autrement des habitudes de consommation (via les cartes de fidélité qui permettent de savoir exactement ce que l’on achète, où et à quelle heure), des habitudes télévisuelles (via la généralisation de la télévision par l’Internet qui permet à l’opérateur de savoir exactement le programme que l’on regarde), des voyages que l’on effectue quotidiennement (via la carte de transport), des habitudes en matière de lèche-vitrines (via la localisation du téléphone portable qui permet l’envoi de sms publicitaires par le magasin devant lequel on se tient),etc. Paradoxalement les technologies biométriques sont plus encadrées que le recueil des autres données alimentant les « Big Data ».  Inconsciemment, nous fournissons tous les éléments qui permettent de tracer à grands traits notre portrait qui, en fonction de la compilation et de l’analyse des données s’affinera avec le temps.  Ainsi, Amazon est capable de définir votre profil en fonction de vos achats sur son site, des pages que vous avez consulté mais aussi les autres sites que vous allez voir.  Si l’on croisait un fichier biométrique avec ce type d’analyse, une entreprise pourrait vendre un fichier clients complet et, surtout, personnalisé.

En induisant une recherche accrue dans le domaine de la sécurité intérieure des états ou des entités paraétatiques, voire supra nationales, recherche qui a eu des retombées ans le monde civil, le terrorisme de masse a modifié durablement notre perception des libertés individuelles ainsi que nos comportements collectifs et individuels en introduisant et en banalisant les technologies biométriques, les techniques de traitement des masses de données recueillies, le tout avec notre consentement.  Il suffit d’arguer de la sécurité pour que nous acceptions cette mise en œuvre par la puissance publique alors qu’une lacune dans la législation, quant à la protection des données personnelles, ne sera relevée que par peu…

Pascal TRAN-HUU

 

 


[i] Ce que l'on possède (cartes, badges, documents) ; ce que l'on sait (un nom, un mot de passe) ; ce que l'on est (empreintes digitales, main, visage...)

[ii] La loi relative au renseignement en France est un exemple de ce consensus.

[iii] Apple étant une firme américaine elle est soumise au Patriot Act et, théoriquement, elle doit accéder à des demandes fédérales d’accès à ses données.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://www.egeablog.net/index.php?trackback/2099

Fil des commentaires de ce billet