Les cas d’usages sécuritaires de données biométriques font régulièrement l’actualité au niveau national, européen et mondial. Par exemple, l’accord signé en 2018 entre l’entreprise chinoise Cloudwalk Technology et le gouvernement du Zimbabwe : Cloudwalk élargit sa base de données biométriques et en échange, installe des terminaux de reconnaissance faciale dans les postes-frontières zimbabwéens.
Les technologies biométriques ou l’attrait de l’identification au service de la surveillance et de la sécurité
Il ne faut pas confondre les technologies de surveillance utilisant les données biométriques avec la vidéosurveillance, généralisée au Royaume-Uni notamment pour prévenir les attaques de l’IRA et déployée pour la première fois en France à Levallois-Perret en 1990. Les images des caméras de surveillance alimentent les plateformes d’hypervision opérées par Bouygues, Vinci, Engie, etc. Même si elles sont parfois combinées, les technologies biométriques sont à distinguer aussi des solutions de « vidéo intelligente », qui permettent de détecter des événements ou des émotions sans identifier les individus. Ces solutions, proposées par des start-ups telles que Deepomatic, Acquilae ou Heptasense, facilitent l’analyse des images par un humain, voire l’automatisent. Elles reconnaissent les situations à risque (véhicule à contre-sens, départ d’incendie) et permettent de prévenir actes terroristes, agressions ou vols, de limiter la dégradation volontaire d’équipements ou encore de détecter les fraudeurs dans les transports.
En revanche, les dispostifs biométriques permettent potentiellement d’identifier les personnes. Dans le cas d’une identification « à la volée », il s’agit de reconnaître parmi un flux continu des individus enregistrés comme dangereux dans une base de données. Dans le cas d’une authentification, il s’agit de vérifier l’identité d’une personne avant de lui laisser accès à un lieu ou a un service.
Une tendance mondiale
L’utilisation de données biométriques pour des cas d’usage sécuritaires se répand à l’échelle mondiale. Dans la province chinoise du Xinjiang, majoritairement ouïghour, le gouvernement systématise la collecte d’échantillons d’ADN, d’enregistrement de voix, de prélèvement de sang ou d’empreintes digitales ou d’iris. Revendiquant les « plateformes de reconnaissance les plus avancées au monde en IA, qui transforment n’importe quelle caméra en smart device », la start-up israélienne de reconnaissance faciale AnyVision travaille avec le constructeur américain de puces, processeurs et cartes graphiques Nvidia à la création d’un système de reconnaissance faciale en temps réel, afin de renforcer la sécurité publique des territoires intéressés, parmi lesquels l’Inde. Le système retrouverait la trace d’un individu dans une foule importante avec une précision de 99%.
L’expérimentation d’une technologie similaire est prévue dans deux lycées à Nice et Marseille : des portails de reconnaissance automatique du visage fournis par Cisco doivent permettre de fluidifier et renforcer les contrôles d’accès aux établissements.
Concentration des données, vol d’identité, atteinte aux libertés et erreur d’identification : les questions à se poser
Ces tendances soulèvent différents enjeux. Toute initiative de territoire intelligent qui consiste à centraliser l’information et les commandes démultiplie l’impact d’une défaillance. Ce constat s’applique à plus forte raison aux données biométriques. Celles-ci sont permanentes ; il n’est pas question de réinitialiser une caractéristique physique après avoir vu son identité usurpée ou son accès à un service bloqué. Les images de corps et de visages sont disponibles dans de multiples bases de données privées (réseaux sociaux) et publiques (1,65 million de caméras de surveillance en France). Le traitement de ces données peut s’opérer à distance, sans contact avec les personnes, voire à leur insu. La généralisation des dispositifs de reconnaissance menace les libertés individuelles et le droit à la vie privée. Enfin, la reconnaissance biométrique ne repose pas sur une correspondance exacte entre les caractéristiques analysées et les mesures mémorisées (on parle de gabarit), mais sur une probabilité. Le deep learning s’efforce de réduire les variations de performances, mais celles-ci peuvent être préjudiciables, comme dans le cas de Guy Joao, dont l’ADN a été confondu avec celui de Xavier Dupont de Ligonnès.
En Europe, un cadre légal et des principes clés à assimilier pour un débat à la hauteur des enjeux
Compte tenu de ces enjeux, l’Union Européenne s’est dotée du RGPD et de la directive « police-justice », qui reconnaissent pour la première fois les données biométriques comme sensibles. Le droit français s’est mis en conformité avec ce cadre juridique, en modifiant en 2018 la loi Informatique et Libertés de 1978. Le RGPD interdit l’utilisation de données biométriques, sauf dans certains cas bien précis parmi lesquels le consentement explicite de la personne concernée, la sauvegarde de ses intérêts vitaux ou la défense de ses droits en justice. Le traitement peut être autorisé s’il sert le droit du travail, la sécurité et la protection sociale, la santé publique ou un intérêt public important, dans la mesure où il est proportionné à l’objectif poursuivi.
La Commission nationale de l’informatique et des libertés (CNIL), dont le rôle est renforcé, a jugé que l’expérimentation de contrôle facial dans les lycées à Nice et Marseille ne relevait pas d’une telle exception, mais était au contraire disproportionnée. En revanche la commission a approuvé l’expérimentation de reconnaissance faciale à la volée réalisée lors du carnaval de Nice avec le logiciel d’analyse de la start-up monégasque Confidentia.
Dans ce nouveau cadre légal, les territoires qui souhaitent se doter de technologie biométrique doivent d’abord interroger la légitimité et la nécessité des objectifs poursuivis. Pour les cas d’usage qui satisferont ces exigences, les expérimentations et le cas échéant les déploiements devront alors garantir le respect des droits des individus. Cela implique le recueil de leur consentement, une transparence tout au long de la durée du dispositif et un droit de retrait. Des moyens de contrôle de leurs données devront être fournies, par exemple la portabilité des données. Enfin la sécurité des données devra être assurée. Après l’approche « secure by design », c’est celle du « privacy by design » et « by default » à laquelle doivent s’acculturer les acteurs du territoire intelligent.