Biometrie-online.net | Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Voix - Réseau veineux - Signature dynamique - Frappe au clavier ...
Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...
Détails

Nos données biométriques nous appartiennent-elles?

Désormais indispensables pour déverrouiller son iPhone et particulièrement pratiques pour identifier des amis sur les photos Facebook (par exemple), les données biométriques font parties de notre quotidien à tous. Pour autant, elles tombent dans un flou légal relatif qu'il est important de connaître avant de choisir de les utiliser.

Atlantico : Alors que les données biométriques (empreintes digitales, rétiniennes, voix, etc.) se développent de plus en plus, la législation autour de ce business reste encore assez vague. Juridiquement, comment encadre t-on la collecte et l'utilisation des données biométriques ? Sommes-nous d'ailleurs propriétaires de nos propres données biométriques ?

Jessica Eynard : L'utilisation de la biométrie nécessite en principe de requérir une autorisation de la CNIL qui donne son accord en différenciant les biométries à trace (empreinte digitale, ADN,...) et sans trace (contour de la main, réseau veineux, ...).

La CNIL privilégiera toujours les biométries sans trace moins risquées par nature (pas de prélèvement sans l'accord de la personne concernée) si elle le peut.

Je ne pense pas que l'on puisse parler de droit de propriété sur les données biométriques. En droit, le droit de propriété est composé de l'usus, du fructus et de l'abusus, OR ce dernier attribut permet à la personne de vendre le bien objet du droit de propriété et donc de s'en détacher complètement. Tel n'est pas ce qui se passe pour les données biométriques qui restent inéluctablement attachées à la personne qu'elles concernent. On se rapprocherait en réalité davantage d'un droit de la personnalité tel que le droit qu'une personne a sur son image ou sa voix.

Fabrice Epelboin : La loi est pour le moins floue, et comme pour les Etats-Unis, les citoyens doivent s’appreter à être pris entre deux feux : les Etats, qui collectent déjà massivement des données biométrique comme les empreintes digitales et qui font de même avec la reconnaissance faciale, dans le cadre de dispositifs de surveillance de la population comme le programme INDECT (voir ici) et les entreprises privées, comme Facebook, qui utilise la reconnaissance faciale pour identifier les individus sur les photos que vous mettez en ligne (sans vous donner, en Europe, accès à la fonctionnalité) ou Apple, qui utilise vos empreintes digitales pour verouiller votre iPhone.

La loi sur les transfert de données personnelles hors Union Européenne ont certes été rendue caduque suite aux révélations d’Edward Snowden, mais le “privacy shield” venu les remplacer est en tous points identique, souligant à quel point l’Europe n’est pas en mesure de protéger ses citoyens et les laisse à la merci d’une surveillance globale mise en œuvre par les Etats-Unis. A l’heure où des candidats tels que Donald Trump s’imposent sans difficultés dans la course aux présidentielles, il serait peut être bon de prendre ce signal faible au sérieux et de mesurer l’ampleur de l’impuissance de nos institutions à protéger ses citoyens, car en l’état, toutes nos données biométriques sont en passe d’appartenir à la NSA.

En 2008, une loi a été votée dans l'Illinois (Etats-Unis) suite à la faillite de la société Pay By Touch, dont la technologie de paiement par toucher était utilisée par de nombreux commerces. Cette société proposait de vendre sa base de données biométriques. Quels sont les risques que nous encourrons si nos données étaient possédées par un tiers ? Cela peut-il développer le phénomène de vol d'identité ?

Jessica Eynard : La question des enjeux et des risques est une question très large.

La donnée biométrique est-elle devenue un élément de l'identité ? Doit-on donc se fonder sur elle pour prendre des décisions tel que cela se fait au niveau du système européen Eurodac par exemple, qui "trie" les demandes d'asile sur la base des empreintes digitales, ce qui conduit les demandeurs d'asile à s'abîmer les bouts des doigts (brûlures profondes, voire pire) ?

Par ailleurs, quelle confiance peut-on vraiment accorder à ces données ? Il ne faut pas oublier que malgré l'hyper identification qu'elles permettent, les modes de récolte et de conservation peuvent ne pas être idéaux et conduire à des faux résultats. En cas de collecte de données biométriques à l'insu de la personne, nous pourrions aussi nous retrouver dans des situations où l'on retrouve des empreintes digitales ou de l'ADN sur une scène de crime alors que la personne n'a jamais été sur les lieux.

Enfin, un autre problème réside dans le fait que certaines données biométriques peuvent révéler des données très intrusives, telles que des  données de santé (cas de l'iris de l'oeil ou de l'ADN notamment).

Fabrice Epelboin : Le risque le plus évident est assez simple à comprendre, et pour le mettre en contexte, rappelons que la plus célèbre et respectée organisation de hackers, le Chaos Computer Club, a mis quelques jours à peine avant de contourner le système de verrouillage par empreinte digitale de l’iPhone en se basant sur une empreinte relevé à l’insu de son propriétaire. Imaginons maintenant que vous verrouillez l’accès à un système par un mot de passe, ce que vous faites sans arrêt, pour votre compte mail ou votre banque en ligne, par exemple, et que votre mot de passe soit dérobé. C’est ennuyeux, mais pas dramatique, vous pouvez en changer et continuer à utiliser ces services. Si vous avez utilisé le même mot de passe partout - ce qui n’est pas du tout une pratique sécurisée - vous pouvez aussi en changer et continuer, mais si c’est votre empreinte digitale qui a été dérobée, vous vous retrouvez dans une situation pour le moins impossible à résoudre, et vous êtes condamné à vivre pour le restant de vos jour en vous passant des technologies qui auront adopté ce type de sécurité, ce qui peut vite s’avérer très handicapant si cela est massivement adopté.

Autre risque, à partir du moment où ces données sont stockées, elle ont de grandes chances d’être vendues, ou de tomber dans une législation qui peut être en tout point opposée à votre pays de résidence, vous imposant des contraintes que vous n’avez peut-être pas anticipé.

Plus grave encore, et c’est quelque chose qu’il faut avoir présent à l’esprit quand on utilise et qu’on adopte de nouvelles technologies, nous ne vivons pas dans un environnement politique stable. Les gentilles démocraties d’aujourd’hui pourraient tout à fait se transformer en méchantes dictatures, ce ne serait pas la première fois, et nous mettre dans une position où notre vie privée, à laquelle nous n’accordons hélas que bien peu d’importance, deviendrait un élément capital. Vous aurez peut-être demain besoin de cacher le fait que vous êtes musulman tout comme d’autres ont eu besoin de cacher qu’ils étaient juifs hier, à moins que ce ne soit le fait d’être homosexuel ou communiste qui ne fasse de vous, demain, une cible privilégié d’un pouvoir despotique. Ce genre d’argument sonnait dans le vide il y a quelques années, mais la situation particulièrement instable de l’Europe d’aujourd’hui laisse entrevoir de réelles possibilité d’un avenir particulièrement sombre.  Associer des éléments de vie privée à une donnée biométrique est quelque chose de définitif sur lequel vous ne pourrez jamais revenir en arrière. Les résistants durant l’occupation nazi pouvaient disposer de faux papiers, mais vous ne pourrez pas changer d’empreintes digitales si vous vous retrouvez dans la même situation demain.

En 2015, plusieurs entreprises (Facebook, Google, Shutterfly, Take-Two Interactive Software) ont été attaquées en justice par des particuliers, notamment autour de la question de la reconnaissance faciale. À l'heure d'Internet et des réseaux sociaux, est-il vraiment aisé de définir un cadre juridique sur ces questions ?

Fabrice Epelboin : Le Patriot Act, combiné au Privacy Shield, définissent parfaitement la situation des données personnelles des citoyens Européens : elle ne leur appartiennent pas, et ils n’ont pas le moindre recours quand à l’utilisation qui en est faite. Au mieux, ils arriveront à faire du buzz en ayant recours à une loi qui sera immédiatement réécrite à l’identique.

Il est illusoire d’imaginer que le droit puisse être d’un quelconque recours et offrir quelque protection que ce soit, cette responsabilité revient avant tout aux citoyens, qui doivent pour cela comprendre les technologies qu’ils utilisent et agir en toute responsabilité. Seuls les individus peuvent se protéger, et attendre d’un Etat ou d’une institution qu’il le fasse à votre place revient à se comporter de façon parfaitement puérile et irresponsable.

Si vous n’êtes pas capable de comprendre les tenants et les aboutissants des technologies qui manipulent vos données personnelles - biométriques ou pas - alors contentez vous de retenir que vous prenez un sérieux pari sur l’avenir et l’évolution du monde, et que vous ne pourrez pas revenir en arrière le jour où vous réaliserez les conséquences de vos décisions. C’est un pari, à chacun de prendre ses responsabilités, mais se défausser sur l’Etat ou la Justice c’est faire preuve d’une naïveté qui confine à la bêtise.

Jessica Eynard, lauréate du Prix Informatique et Libertés de la CNIL 2012, est maître de conférences en droit à l'Université de Toulouse 1 Capitole et à l'IUT de Rodez

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Source : http://www.atlantico.fr