Biometrics in Banking and Payment - London
Security Document Summit
Border Management & Technologies Summit Asia 2017
Smarter Border Managment
Biometrics in Banking and Payment - Amsterdam
Border Security Conference & Exhibition
Connect:ID 2018
SDW 2018 - Security Document World

Vos papiers

Actualités concernant l'identification et l'authentification des personnes (papiers d'identité, contrôles, biométrie, identité numérique, etc.) ainsi que le contrôle du mouvement (droit d'asile, frontières, restrictions à la liberté de circulation, etc.)
  1. La question du droit à l'oubli n'oppose pas simplement la vie privée à la liberté d'expression, mais plus largement à un pouvoir de cadrage (framing), un pouvoir googlesque de définition de votre persona, c'est-à-dire de votre personne publique. Dès lors, les tribunaux devraient ajouter une corde à leur arc, en contraignant Google, lorsque le déréférencement n'est pas accordé, à modifier ce référencement, de façon à ce que l'article litigieux n'arrive plus en première page des résultats. En effet, tolérer que des actes répréhensibles commis plus de dix ans auparavant continuent d'arriver en résultat n°1 lorsque l'on tape le nom d'un individu, c'est tout simplement lui dénier toute possibilité de réhabilitation et le réduire à ce seul acte. 

    Le mécanisme actuel du «droit à l'oubli » depuis l'arrêt de la CEDH Google c. Espagne

    Depuis l'arrêt Google Spain("Google contre l'Agence espagnole de la protection des données et Maria Costeja Gonzales", 13 mai 2014) de la Cour de justice de l'Union européenne (CJUE), les moteurs de recherche, ainsi que les juridictions nationales des pays membres de l'UE doivent appliquer le "droit à l'oubli" sur Internet (voir ici : Google et le droit à l'oubli en Espagne,février 2011). S'il s'agit-là d'une avancée majeure, elle ne répond que partiellement au problème posé par le classement Google quant à la vie privée.

    Concrètement, chacun peut faire une demande de déréférencement de liens menant vers des pages web le concernant directement. Si Google refuse ce déréférencement, on a la possibilité de se tourner vers l'autorité nationale de protection des données (la CNIL en France) puis, le cas échéant, vers un tribunal. Conformément à la jurisprudence européenne, celui-ci met en balance le droit à l'oubli du requérant avec la liberté d'expression qu'elle confère non seulement aux sites de publication, mais aux moteurs de recherche eux-mêmes.
    Si, certes, les droits de la personne concernée protégés par ces articles prévalent également, en règle générale, sur ledit intérêt des internautes, cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique. (§81 de l'arrêt de la CEDH, Google c. Espagne)
    Depuis mai 2014, Google affirme avoir reçu plus de 370 000 demandes, portant sur plus d'1,3 millions d'URL, et la firme a accepté de déréférencer plus de 42% de ces URL (de façon intéressante, et peut-être éclairante pour le sociologue, le résultat est très variable selon les pays: ainsi, par exemple, pour la France Google a accepté de déréférencer 48% des URL, mais pour l'Italie seulement 30%).

    Plusieurs critères sont utilisés, dont le caractère public, ou non, de la personne concernée (une peoplen'est pas considérée l'égal de M. Toulemonde); l'ancienneté de l'information référencée; sa pertinence à l'égard du débat public, etc. La fiabilité ou le caractère mensonger de l'information ne dépend pas, a priori, et en tout cas aux Pays-Bas, du "droit au déréférencement", puisqu'il faut en ce cas s'adresser directement au site hébergeant la page litigieuse (pour diffamation, injure, etc.).

    La solution est binaire: soit le déréférencement est accordé, soit il ne l'est pas. Cette «solution juridique » découle de l'appréhension de la question en termes d'équilibre entre vie privée et liberté d'expression. En fonction des poids respectifs sur cette balance, on accorde, ou non, le déréférencement.

    L'insuffisance de la problématisation juridique en termes de«vie privée contre liberté d'expression»: le cas de la jurisprudence néerlandaise

    La Cour de district d'Amsterdam a refusé, le 24 décembre 2015, à un journaliste sa demande de déréférencement vers un article du journal NRC (qu'on présume être le grand quotidien NRC Handelsblad) datant de 1995 et faisant état d'un plagiat de quatre phrases alors effectué par ce journaliste. Celui-ci déclarait être gêné dans ses recherches d'emploi en raison de cette ancienne histoire, à laquelle le référencement de Google en première page donnait un écho disproportionné.

    La Cour a rejeté ses arguments, en alléguant d'une part que la profession de journalisme constituait un pas vers le fait d'être une personne publique, bénéficiant donc d'une moindre protection en matière de vie privée, et d'autre part que le plagiat étant une faute grave en journalisme, ce méfait était suffisamment important pour bénéficier de la protection offerte par la liberté d'expression et d'informer.

    Elle ajoute - selon ce que l'on comprend de la traduction... Google, de l'arrêt en question - que le "rôle de catalogue que tient Google serait sévèrement compromis si on imposait des restrictions sévères à son fonctionnement", ce qui conduirait à la "perte de sa crédibilité" (Google détient plus de 85% des parts de marché aux Pays-Bas*). 

    De la pseudo-neutralité de l'algorithme Google

    Enfin, elle ajoute, de façon critiquable, qu'il est "également important que les moteurs de recherche fonctionnent sans intervention humaine", c'est-à-dire en ne dépendant que des termes recherchés par l'internaute. La Cour semble donc ignorer qu'un algorithme, par définition, est le produit d'une intervention humaine, et qu'il ne bénéficie donc pas, à ce titre, de plus d'objectivité que tout autre mode de classement (notamment humain, c'est-à-dire individuel), puisque les critères de ce classement ont été déterminés par des ingénieurs. 

    S'agissant de Google, les règles de l'algorithme sont couvertes par le secret commercial, ce qui n'est pas sans poser quelques questions majeures quant au pouvoir exorbitant, et opaque, que détient la firme de Mountain View dans la hiérarchisation de l'information - ou, plus généralement, du contenu d'Internet. 

    En France, le projet de loi pour une République numérique, porté par la secrétaire d'Etat Axelle Lemaire, prévoit ainsi, dans son article 2, une disposition spécifique permettant, "lorsqu'une décision individuelle est prise sur le fondement d'un traitement algorithmique", d'exiger à l'administration qu'elle communique "les règles définissant ce traitement, ainsi que les principales caractéristiques de sa mise en œuvre".

    Vu la position quasi-monopolistique de Google, qui détient plus de 90% des parts de marché en France, lui octroyant un pouvoir sans précédent sur ce bien public qu'est Internet, et notamment un pouvoir de framingou de définition de la personnalité des individus cités nommément, en mettant en avant certains articles ou faits plutôt que d'autres, on peut s'interroger sur la légitimité qu'à Google à se draper derrière le secret commercial pour refuser de répondre aux critères de classement utilisés et, plus généralement, pour refuser de modifier ce classement dans certains cas litigieux.

    Contrairement à ce qu'affirme Google, et que les tribunaux néerlandais prennent pour argent comptant, le classement ne dépend en effet pas uniquement de l'audience des journaux. Ou alors, il faudrait croire que le site d'extrême-droite fdesouche a une audience plus grande que l'ensemble de la presse française, puisque lorsque l'on tapait "viol" et "facebook" le 6 janvier 2015, il arrivait en premier (aujourd'hui, il arrive en 10e position, c'est-à-dire tout en bas de la première page de recherche).

    Il est frappant de voir que les tribunaux passent sous silence ce point, alors que c'est précisément ce que la Cour européenne des droits de l'homme (CEDH) avait souligné, à l'occasion de l'arrêt Google c. Espagnede 2014 à l'origine de cette jurisprudence du "droit à l'oubli":
    37      De plus, l’organisation et l’agrégation des informations publiées sur Internet effectuées par les moteurs de recherche dans le but de faciliter à leurs utilisateurs l’accès à celles-ci peut conduire, lorsque la recherche de ces derniers est effectuée à partir du nom d’une personne physique, à ce que ceux-ci obtiennent par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet leur permettant d’établir un profil plus ou moins détaillé de la personne concernée.

    38      Dans la mesure où l’activité d’un moteur de recherche est donc susceptible d’affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l’exploitant de ce moteur en tant que personne déterminant les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée.
    En France, des tribunaux ont d'ailleurs mis en pièce la théorie de la "neutralité technologique" de Google lors de l'affaire sur les mots-clés "juifs" (cf. Google et le mot-clé "juif": devant les juges, 10 mai 2012).

    L'aporie juridique 

    En opposant la vie privée à la liberté d'expression et d'informer, les tribunaux ont réduit le problème du classement de Google à une question binaire, qui n'a qu'une issue possible: supprimer, ou non, le référencement de la page. Cette même logique est utilisée lorsqu'un particulier se retourne, non pas contre Google, mais contre un site web. 

    Or, l'arrêt Google c. Espagnevisait précisément à contourner cette logique binaire, en permettant le déréférencement lorsque la publication elle-même était jugée légale (le cas examiné était particulièrement propice à cette dissociation, puisqu'il s'agissait d'une publication faite par ordre de l'administration). C'est-à-dire en affirmant qu'il ne s'agissait pas simplement d'une opposition binaire censure/liberté d'expression, mais plus généralement du pouvoir important de définition d'un profil humain dont dispose Google.

    Ainsi, récemment, le TGI de Paris a déclaré non recevable la requête d'un individu effectuée au site 20 Minutesafin de supprimer un article publié il y a plus d'une dizaine d'années et intitulé « Poursuivi pour tentative de meurtre il avait participé au Bigdil »(cf. décision sur Legalis).Il s'agit-là d'un cas analogue à celui du journaliste néerlandais, à ceci près que les faits en cause sont plus graves (violences volontaires ayant entraîné une incapacité permanente, contre un plagiat), et que la requête, au lieu d'être faite à Google, l'est faite au site lui-même. Mais, dès lors, le tribunal ne peut que répondre par "oui" ou "non", c'est-à-dire imposer, ou non, la suppression de l'article de presse, donc le censurer au nom de la protection de la vie privée.

    On peut s'interroger sur ce phénomène qui mène à ce que des faits répréhensibles commis plus de dix ans auparavant soient non seulement toujours en ligne, causant des problèmes sociaux et économiques (rapports avec les collègues, recherche d'emploi, etc.) évidents, et qu'un tribunal considère que ces faits sont d' "intérêt public", sans sembler prendre en compte la temporalité. 

    D'autant plus qu'à reprendre l'arrêt Google, si "cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information", une telle formulation peut conduire, dans certains cas - dont ceux ici cités - à un paradoxe insoluble: plus un fait est grave, plus le juge considère que le public a un intérêt légitime à le connaître, mais plus cette information est "sensible" pour la "vie privée" de la personne, c'est-à-dire dommageable. Un dommage qu'en d'autres contextes, les tribunaux n'ont aucun problème à évaluer, puisqu'ils pourraient compter, par exemple, la perte en revenu net dont sont victimes ces personnes soumises à la vindicte publique et gênées de façon grave dans la recherche d'emploi.

    En d'autres termes: si on peut admettre que ces faits présentaient un intérêt public à l'époque, ce qui concorde avec une jurisprudence constante en termes de liberté de la presse, peut-on réellement affirmer qu'ils présentent encore aujourd'hui un tel intérêt, surtout si on le met dans la balance avec l'intérêt du sujet concerné à pouvoir continuer sa vie sans traîner éternellement cette casserole - si grave fût-ce-t-elle? 

    Il semble clair que les tribunaux, que ce soit en France ou aux Pays-Bas, ont une notion beaucoup plus large que la CEDH de ce que constitue "l'intérêt du public". Car si la CEDH limitait le droit à l'oubli - qui, d'ailleurs, s'applique même si l'information référencée n'est pas préjudiciable - aux personnes dont le "rôle joué (...) dans la vie publique" n'est pas important, caveatqui d'évidence visait les politiques et les stars, les juridictions nationales semblent en pratique considérer que toute personne évoquée ne serait-ce qu'une fois dans les médias ou y travaillant sont, de facto, des personnalités publiques privées de droit à l'oubli.

    D'autre part, et c'est là une question qui ne concerne pas la "liberté de la presse" mais le classement Google, au nom de quoi cette firme décide-t-elle de mettre en première page de tels articles, qui, disons-le franchement, n'ont comme seul intérêt véritable, dix ans après les faits, que de bousiller la vie d'un individu ? N'est-ce pas contredire frontalement le principe de réhabilitation auquel obéit, en principe du moins, toute la logique pénale ?   

    Dès lors, plutôt que de se voir uniquement en censeur potentiel, les tribunaux ne devraient-ils pas s'interroger sur la possibilité de contraindre Google, lorsque le déréférencement n'est pas accordé, à modifier le référencement de façon à ce que ces résultats n'arrivent pas en première page ? C'est précisément ce qu'avait demandé, sans succès, un consultant du cabinet d'audit KPMG aux tribunaux néerlandais, victime d'un article racontant qu'il avait logé dans un container pendant plusieurs mois - information que le juge néerlandais a trouvé d'une importance capitale pour le public (cf. Kulk et Zuiderveen, 2015).    

    *Kulk, Stefan and Zuiderveen Borgesius, Frederik J., Freedom of Expression and ‘Right to Be Forgotten’ Cases in the Netherlands after Google Spain (August 27, 2015), in European Data Protection Law Review2015-2, p. 113-125. Available at SSRN: http://ssrn.com/abstract=2652171

    *Google et le mot-clé "juif": devant les juges  , Vos Papiers,10 mai 2012
    *Google et le droit à l'oubli en Espagne, Vos Papiers,8 février 2011




    Creative Commons LicenseMerci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.
  2. Le 18 novembre*, le Conseil d'Etat a effectué une magistrale leçon d'indépendance du droit et du temps juridique à l'égard du politique, en obligeant l'Etat à mettre un terme à la conservation illimitée de l'empreinte digitale prélevée lors d'une demande de carte d'identité.

    Il lui a en effet demandé de revoir l'article 5 du décret n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identité (CNI) - comme l'a rapporté le site Legalis -, suite aux demandes de deux dames qui, par ces procédures, ont réussi à mettre un terme à une situation illégale depuis... 1987 ! Nous les saluons bien bas !

    Un héritage de l'ère Pasqua

    Cet article concerne le prélèvement, et la conservation pour une durée illimitéed'une empreinte digitale, et cela à deux fins : "la détection des tentatives d'obtention ou d'utilisation frauduleuse d'un titre d'identité" et "l'identification certaine d'une personne dans le cadre d'une procédure judiciaire." Il n'existait pas dans le décret de 1955, et a été introduit sous sa forme actuelle par le décret n°87-179, qui mettait en place la "carte Pasqua".

    Cette empreinte était seulement "conservée au dossier par le service gestionnaire de la carte",autrement dit, elle n'est pas intégrée au fichier informatique centralisé mis en place par Pasqua (décret n°87-178). Les décrets Pasqua ont été abrogé sous Jospin, mais le relevé de l'empreinte et sa conservation dans un fichier local ont été conservés (décret n°99-973).

    Une circulairede l'Intérieur, de 2000**, précisait que cette empreinte de l'index, qui figure "dans le dossier de demande et non sur la carte", doit être prélevée y compris chez les mineurs:
    "Les enfants mineurs, quel que soit leur âge, ne sont nullement exclus de l'opération de la prise d'empreinte digitale dont l'objet est de détecter les tentatives d'obtention ou d'utilisation frauduleuse d'un titre d'identité et de permettre également de lutter contre les usurpations d'identité. Toutefois, les enfants en bas âge peuvent être dispensés[ndlr: mais ne le sont donc pas nécessairement] du relevé d'empreinte digitale qui ne devra être fait systématiquement qu'à partir de l'âge de seize ans, âge à partir duquel les mineurs sont responsables pénalement."
    Ce qui est absurde, puisque les empreintes digitales ne sont pas stabilisées chez les enfants, d'où la gêne certaine marquée par cette circulaire qui indique qu'il faut procéder au prélèvement mais que ce n'est pas obligatoire (on imagine ce qu'ont dû en penser les préfets à qui, en gros, on disait de faire comme bon il leur semblait...). C'est pourquoi il y a bien une limite d'âge (12 ans) prévue pour le prélèvement des empreintes lors de la demande d'un passeport (règlement 444/2009 du Parlement européen et du Conseil, art. 1).

    La carte d'identité biométrique de 2012

    Quoi qu'il en soit, avec la loi n°2012-410 "relative à la protection de l'identité" (thème à la mode...), les empreintes digitales (on ne sait pas combien) sont stockées sur une puce biométrique présente sur la carte d'identité. Bien que la loi parle "des empreintes", le seul décret sur le sujet ne parle que d'une empreinte, et ne fait pas référence à une puce biométrique, donc cette carte d'identité biométrique reste pour le moment virtuelle, au niveau du droit. En tout état de cause, les dispositions ayant visé à créer un fichier national biométrique, qui avaient suscité des critiques légitimes (voir les multiples articles sur le fichier de 45 millions de "gens honnêtes" sur le blog Bug Brother) - et qui n'étaient qu'une reprise du vieux projet INES ("Identité nationale électronique sécurisée") de 2002 - , ont été censurées par le Conseil constitutionnel. Ne reste donc que le vieux fichier Pasqua.

    Or, le Conseil d'Etat a précisé qu'en application de la loi Informatique et libertés de 1978, une durée de conservation proportionnée doit être prévue pour ces données sensibles que sont les empreintes. D'où la censure du décret (le Conseil précise que la loi de 1978 s'applique aux fichiers qui ne sont pas informatisés, ce qui, du reste, est une évidence à la lecture de celle-ci).

    Un contexte sensible

    Cette décision intervient moins d'une semaine après les attentats du 13 novembre. L'état d'urgence avait déjà été proclamé, ce qui n'a pas empêché les juges de faire leur travail - qu'ils font moins bien en ce qui concerne le contrôle des assignations à résidence, à en croire les diverses affaires rapportées par Le Monde (dont celle sur le catholique assigné à résidence pour salafisme - sic). Les médias avaient rapporté, à tort, qu'un des terroristes (Samy Amimour) à qui on avait retiré les papiers pour le dissuader de partir en Syrie les avaient récupérés tout simplement en faisant une déclaration de perte (cf. Slatequi explique le quiproquo).

    Quoi qu'il en soit, voilà une décision qui, s'inspirant de l'arrêt Stephen et Marperde la Cour européenne des droits de l'homme (2009), est à saluer. Et ce, bien qu'elle constitue un barrage fragile face aux demandes de la police qui vise tous azimuts (cf. Le Monde du 5/12/15et le billet de Pixel)...

    Les suites de l'arrêt du CE de 2011 sur les six empreintes en trop prélevées lors d'une demande de passeport 



    D'autant plus que, bien que la CNIL se targue de faire son travail en contrôlant que l'Etat efface bien les empreintes en trop prélevées lors d'une demande de passeport (puisque depuis un arrêt du Conseil d'Etat de 2011 l'Etat ne doit en prélever que deux, et pas huit), les services de l'Etat continuent de prélever huit empreintes. En tout cas, ils m'y ont obligé pour mon passeport demandé en septembre 2014... La CNIL prétend même que c'est normal, l'Etat sélectionnant ensuite les deux meilleures empreintes.

    Cela est pourtant contraire au décret de 2005 sur les passeports, tel que modifié par le décret 2012-497 pris après l'arrêt du CE et avis de la CNIL ! Celui-ci précise bien, en effet, que seules les empreintes des index doivent être prises (art. 6-1).

    Dans ces conditions, on reste sceptique... Et croit-on vraiment que la CNIL contrôlera dans chaque préfecture les dossiers de demande de carte d'identité afin de vérifier que les empreintes n'y figurent plus au bout d'une durée à fixer (10 ans? 15 ans?)... 

    *La date du 18 décembre donnée par Legalisdans sa présentation de sa décision est une coquille.
     **Circulaire du 10 janvier 2000, NOR : INTD0000001C
    ***Article modifié le 17 déc. 2015 sur la dernière partie.


    Creative Commons LicenseMerci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.
  3. En 2001, 2003, 2004, 2005, 2006 et 2007  l'inscription au FNAEG(Fichier national automatisé des empreintes génétiques) a été largement étendue à toutes sortes de délits - avec les lois, respectivement, "sur la sécurité quotidienne" de novembre 2001, promulguée par le gouvernement Jospin dans la panique post-11 septembre; la loi pour la sécurité intérieure de 2003, dite loi Sarkozy II; la loi Perben II du 9 mars 2004; la loi de 2005 sur la récidive promulguée sous Villepin; la loi sur les violences conjugales de 2006 et la loi de 2007 sur la prévention de la délinquance, également sous Villepin. En 2014, plus de 2,6 millions de profils y étaient enregistrés, ainsi que plus de 200 000 traces correspondant à des profils inconnus - c'est-à-dire non encore enregistrés.

    On connaît les dérapages liés à ce fichier, avec par exemple l'histoire du gamin à qui on avait imposé un prélèvement ADN suite au vol d'un Tamagoshi, ou les risques posés par "l'identification familiale", permettant, à partir d'un profil fiché, de remonter aux membres proches du sujet (il faut donc multiplier les 2,6 millions de profils effectivement fichés par leurs proches pour évaluer combien de personnes sont concernées par le FNAEG, ce qui conduit à une part non négligeable de la population française). On a relativisé l'utilité, ici, du FNAEG dans l'identification des responsables de viol, qui le plus souvent sont loin d'être des parfaitement inconnus de la victime.

    Aujourd'hui, alors que la presse annonce qu'on aurait retrouvé des empreintes génétiques qui permettraient, peut-être, de disculper le jardinier Omar R., dans la célèbre affaire "Omar m'a tuer", des scientifiques constatent dans Nature* que le progrès dans l'analyse des empreintes génétiques conduit non pas seulement à une meilleure fiabilité, mais au contraire à un problème majeur de fiabilité!  

    L'explication est simple. Alors qu'à l'époque du rapport Cabal, en 2001, sur la fiabilité de l'empreinte génétique en matière judiciaire, il fallait un échantillon corporel (dûment conservé par la police) afin d'effectuer un prélèvement ADN - soit du sang, du sperme ou autre fluide corporel -, aujourd'hui il suffit de passer un coton-tige sur des surfaces qui auraient pu être touchées par le suspect pour prélever les cellules nécessaires au test ADN. Il faut, aujourd'hui, moins de 100 picogrammes d'ADN pour reconstituer un profil génétique complet.

    Or, la présence de traces aussi infinitésimales ne prouvent en rien la présence d'une personne sur les lieux, ou le fait qu'elle ait touché tel ou tel objet. Tout simplement parce qu'elles peuvent facilement provenir de transferts secondaires. Une expérience a ainsi montré que lorsque deux personnes se serrent la main, puis touchent un couteau, dans 85% des cas l'ADN de l'autre sujet est transféré sur l'objet et ensuite profilé. Plus inquiétant: dans 20% des cas, l'analyse de l'empreinte génétique résultante "montrait" que ce sujet (qui n'a en réalité pas touché le couteau) est celui qui l'a majoritairement, voire exclusivement, manipulé.

    C'est ainsi qu'en 2013, en Californie, Lukis Anderson a été accusé de meurtre et détenu en prison cinq mois, avant d'être innocenté, parce qu'on avait retrouvé son empreinte génétique sous les ongles d'un cadavre. Or, Anderson était ivre mort à l'hôpital au moment du meurtre. En fait, ce sont les paramédicaux qui l'avaient soigné qui ont transféré ses empreintes génétiques sur le corps de la victime, qu'ils ont également eu en charge peu après...

    A lire la communication à l'Académie de médecine, en 2012, de M. Christian Doutremepuich, ce problème de transfert secondaire de traces n'a pas franchi les frontières. Ce qui est un peu inquiétant si plus de 200 000 traces sont inscrites dans le FNAEG, et que la loi n'est pas modifiée pour interdire la conservation de traces non issues d'échantillons biologiques important (soit de sang, sperme, etc., en quantité suffisante).
      
     * Cynthia M. Cale, "Forensic DNA evidence is not infallible", Nature, 28 octobre 2015, vol. 526, n°7575

    Creative Commons LicenseMerci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.
  4. Samaritain, l'A.I. à la Meilleur des mondesde la série TV People of Interest, ça vous rappelle quelque chose? L'an dernier, une firme a créé un mini-Samaritain pour détecter les personnes à tendance suicidaire sur Twitter... Ou les dangers du Big Data.

    Le numéro spécial de Sciencesur l'intelligence artificielle contient un article intéressant, intitulé "Data, privacy, and the greater good" (17 juillet 2015, vol. 349, n°6245, p.253-255).

    Les auteurs, E. Horvitz et D. Mulligan, adressent la question des menaces pesant sur la vie privée au vu de l'analyse automatisée du Big Dataet des procédés de machine-learning, qui permettent de tirer des inférences potentiellement indiscrètes à partir de données privées rendues publiques (i.e. pages Facebook, fils Twitter, etc.), lesquelles elles ne révèlent a prioririen de sensibles. Seul la coordination des données constitue en effet le caractère sensible de l'information obtenue. Ils insistent à bon droit sur la non-opérativité du concept de "données anonymes" (fortement présent dans la législation) puisqu'il est désormais possible, dans de nombreux cas, de ré-identifier ces données.

    Quelques exemples édifiants - qui soulignent, contre d'innombrables tribunes récentes dans les médias, que la santé n'est pas nécessairement un argument de choc pour le partage des données... 

    En 2014, une application britannique opérant sur Twitter, nommée Good Samaritan(après la série People of Interest?), affirmait pouvoir détecter, en analysant les fils de discussion, les personnes sujettes à d'éventuels comportements suicidaires. En à peine une semaine, 3 000 personnes s'étaient inscrites à l'application, identifiant les tweetsjugés dépressifs de 900 000 comptes! Bien que l'entreprise niait être le gestionnaire des données (data controller, un détail crucial eu égard au droit de la vie privée), elle ferma le service aussitôt, suite à l'émotion soulevée (voir la pétition Shut Down Samaritan Alert).Quoique cette firme n'avait évidemment comme seul but le bienfait de l'humanité, ses détracteurs soulignaient que l'appli pouvait être utilisée par d'éventuelles personnes mal-intentionnées afin de traquer les tweeters fragiles (les dits stalkers). 

    Sans tomber sur des psychopathes, on frémit à l'idée de patrons s'abonnant aux comptes tweeters de leurs employés... à des amis ou proches s'intéressant un peu trop à vos états d'âmes... ou à Google estimant votre taux de bonheur en fonction de votre localisation GPS et de l'usage de vos applis sur téléphone. Il est vrai que ce taux est un critère indéniable du bien-être, et doit être pris en compte par toute conception un tant soit peu large de la santé. N'est-ce pas?

    Outre Samaritan, des chercheurs de Palo Alto, toujours à la pointe du progrès, ont soutenu qu'on pouvait utiliser Facebookpour détecter les "dépressions post-partum" (1). Cela permettrait sans doute un grand bénéfice pour l'humanité, par exemple en permettant d'envoyer des opérateurs agréés pour vous contraindre à un traitement thérapeutique voire préventif (et oui, il faut être pro-actif!), ou du moins à faire du sport. Ou encore en permettant à un employeur potentiel de mettre en balance ce CV excellent avec ce signe non moins certain d'une moindre productivité. Gagnant-gagnant?

    L'article contient également quelques indications sur les rapports de l'administration Obama sur ce sujet.

    Notes et références: 

    (1) M. De Choudhury, S. Counts, E. Horvitz, A. Hoff, Characterizing and predicting postpartum depression from Facebook data, in Proceedings of International Conference on Weblogs and Social Media [Association for the Advancement of Artificial Intelligence (AAAI), Palo Alto, CA, 2014]

     A lire: Horvitz et Mulligan, Sciencemagazine, 17 juillet 2015, 349(6245):253-255, http://www.sciencemag.org 

    Voir aussi : "Nos tweets peuvent-ils prédire une attaque cardiaque?", Internet Actu, 6 mai 2015, et le site du psychologue (un doctorant bien loti!) en question : http://www.jeichstaedt.com

    Et pour l'anecdote, le premier psychothérapeute robotisé de l'histoire: http://psych.fullerton.edu/mbirnbaum/psych101/Eliza.htm  



    Creative Commons LicenseMerci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.
  5. Le 27 mai 2014, le Sénat a adopté la proposition de loi "visant à limiter l'usage des techniques biométriques", déposée à l'initiative du sénateur de la Nièvre Gaëtan Gorce (PS) et votée avec l'appui non seulement de la gauche mais aussi du groupe UMP. Simple, cette proposition était composée de deux articles, le premier contenant la substance du projet tandis que le second donnait une période de transition de trois ans aux entreprises pour s'y conformer. Cet article 1er ajoutait à la loi de 1978 sur les données personnelles un article selon lequel:
    « II bis. - Pour l'application du 8° du I, ne peuvent être autorisés que les traitements dont la finalité est la protection de l'intégrité physique des personnes, la protection des biens ou la protection d'informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible et qui répondent à une nécessité excédant l'intérêt propre de l'organisme les mettant en œuvre. »
    Comme l'indiquent les débats de séance, il s'agissait d'interdire la "biométrie de confort", c'est-à-dire toutes sortes d'applications biométriques ne visant pas strictement à sécuriser des locaux. L'exemple-phare étant la reconnaissance du contour de la main dans les cantines scolaires

    On sait que la doctrine de la CNIL consiste en effet à appliquer un principe de proportionnalité des techniques selon la finalité visée, mais non à juger de la pertinence de celle-ci. Au risque d'une généralisation tous azimuts des techniques biométriques, qui conduit d'une part à banaliser celles-ci, d'autre part à les fragiliser dans la mesure où plus nos données biométriques sont utilisées, plus elles deviennent des cibles pertinentes de piratage - et enfin, bien sûr, à augmenter le chiffre d'affaires du secteur, ce dont certains sénateurs de gauche ont pu se féliciter, mais ce qui conduit également à augmenter leur pouvoir d'influence (leur lobbying), enclenchant un cercle vicieux du "progrès technologique". 

    Cette doctrine élaborée au fil des recommandations de la CNIL l'a conduite à restreindre l'usage des empreintes digitales à des contextes sécuritaires, tandis que les cantines scolaires et nombre de dispositifs de contrôle d'accès biométrique en entreprise étaient limitées à l'usage du contour géométrique de la main - technologie considérée comme non "à trace", c'est-à-dire qu'on ne peut prélever à l'insu d'une personne ce contour (contrairement à son empreinte digitale, ce qui permet ensuite de la pirater). 

    Par ailleurs, poussée peut-être par un certain vent de contestation, la CNIL avait opéré un revirement de jurisprudence en 2012, en retirant son autorisation unique portant sur l'usage de la biométrie en matière de contrôle des horaires en entreprise (le pointage). 

    Cette proposition de loi permettait donc de mettre un relatif coup d'arrêt puisqu'il faudrait désormais justifier d'impératifs sécuritaires pour l'usage de tout dispositif biométrique, y compris ceux considérés par la CNIL comme faiblement intrusifs - au demeurant, malgré l'optimisme sénatorial, il n'est pas certain que l'administration scolaire ne puisse invoquer ceux-ci à l'appui de leurs dispositifs de contrôle d'accès utilisés dans les cantines. 

    Votée par le Sénat le 27 mai 2014, soit trois mois après le dépôt de celle-ci, la proposition a été transmise à l'Assemblée nationale le jour même et transmise à la Commission des lois, seule compétente pour la mettre à l'ordre du jour. Près d'un an après, Godot attend. 

    Sources : 

    Dossier législatif sur le site du Sénat: http://www.senat.fr/dossier-legislatif/ppl13-361.html
    Dossier sur le site de l'Assemblée: http://www.assemblee-nationale.fr/14/dossiers/limitation_usage_techniques_biometriques.asp

     Creative Commons LicenseMerci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.
  6. Tandis que la CNIL annonce, sans fanfares, qu'elle retirait son autorisation unique portant sur l'usage de la biométrie afin de pointer au boulot (AU n°007), le groupe Auchan (Auchan, Leroy-Merlin, banque Accord, etc.) lance avec fierté le paiement biométrique "au doigt", c'est-à-dire la carte VISA biométrique

    Si l'usage de la biométrie à des fins de contrôle des horaires est désormais jugée "non proportionnel", la CNIL effectuant ainsi un revirement de jurisprudence, celle-ci continue à considérer que la "biométrie de confort", ou plutôt, la biométrie de management, c'est-à-dire à des fins de gestion des flux, que ce soit dans les cantines ou les supermarchés, est légitime. La biométrie dévoile ainsi son véritable visage, servant davantage à faciliter la gestion qu'à assurer la sécurité. Mise en perspective.

    Le revirement de la CNIL suite à la contestation sociale

    La CNIL motive son retrait de l'autorisation unique de la pointeuse biométrique en constatant une généralisation des "techniques de contrôle des salariés" depuis 2006, l'ayant incité à "recueillir l'avis d'organisations syndicales et patronales, de la Direction Générale du travail ainsi que de certains professionnels du secteur" (délib. n°2012-322 du 20 septembre 2012, portant sur l'AU n°7 du 27 avril 2006: "autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail").

    Au cours de ces consultations, "un consensus s'est clairement exprimé considérant l'utilisation de la biométrie aux fins de contrôle des horaires comme un moyen disproportionné d'atteindre cette finalité", notamment en raison du "risque accru de détérioration du climat social, allant à l'encontre de la relation de confiance employeur-salarié", la pointeuse à badge apparaissant suffisante.

    Il faut dire que la pointeuse biométrique devenait l'enjeu de conflits sociaux inquiétants pour les promoteurs de ces technologies (cf. La gauche et l'avenir de la reconnaissance faciale (1), Vos Papiers!, 18/05/12). Nous avions alors cité le reportage de France-3 (17/05/12) sur l'opposition des employés de la mairie de Garges-lès-Gonnesses :