Biométrie et vie privée
La biométrie, une technologie protectrice de la vie privée ?
Une biométrie protectrice de la vie privée ? L'idée peut paraître saugrenue, voire provocatrice, au vu de la récente polémique provoquée par Apple et son iPhone 5S doté d'un capteur biométrique.
Elle mérite pourtant que l'on s'y intéresse à l'heure où la biométrie s'invite progressivement dans nos vies quotidiennes. Équipements mobiles, banque en ligne, commerce électronique... la biométrie dite de « confort » ou « grand public » a de beaux jours devant elle.
Ces nouveaux usages interpellent la CNIL elle-même, actuellement en cours réflexion pour faire évoluer sa doctrine. La vie privée des utilisateurs en sera-t-elle pour autant sacrifiée ? Rien n'est moins sûr. En effet, des projets de recherche sont menés pour développer des technologies biométriques plus protectrices de la vie privée.
Biométrie révocable, anonyme ou cryptage biométrique pourraient être la solution pour concilier confort et vie privée...
Biométrie « non traçable »
Le terme « untreacable biometrics » a été développé par le Dr Ann Cavoukian, Commissaire à l'Information et à la protection de la vie privée de l'Ontario. Il regroupe trois types de technologies dites de « Privacy by Design » : le cryptage biométrique, la biométrie révocable et la biométrie « anonyme » (en anglais « anonymous biometrics », la CNIL préfère parler de biométrie « désidentifiée »).
L'objectif de ces technologies de biométrie « untreacable » est de transformer de manière irréversible les données biométriques de la personne afin de ne pas pouvoir remonter jusqu'à elle en utilisant ses données biométriques (« data connectivity »). La notion de « traçabilité » ne se rapporte pas ici à la notion de trace physique laissée par la personne, via ses empreintes digitales par exemple, mais concerne plutôt la façon dont on peut retrouver son identité en utilisant un gabarit de ses données biométriques, laissé dans tel ou tel système.
- La biométrie « untreacable » présente cinq caractéristiques en faveur de la protection des données :
- La donnée biométrique brute et le gabarit biométrique ne sont pas conservés ;
- Il est impossible de recréer une image ou un gabarit de la donnée biométrique à partir de l'information conservée, la rendant ainsi non traçable ;
- Un grand nombre de gabarits différents non traçables peuvent être créés à partir de la même donnée biométrique pour différentes applications ;
- Les gabarits non traçables ainsi créés pour différentes applications ne peuvent pas être liés ensemble ;
- Un gabarit non traçable peut être annulé ou renouvelé.
Cryptage biométrique
Le cryptage biométrique permet de transformer de manière irréversible les données biométriques en données qui ne contiennent aucune information sur les données biométriques sources fournies par la personne. Ainsi, aucune donnée biométrique n'est conservée, ni aucun gabarit biométrique.
Les premières recherches sur le cryptage biométrique datent du milieu des années 1990. Le Dr George Tomko, expert en protection de la vie privée et concepteur de systèmes biométriques, a déposé entre 1994 et 2000, conjointement avec ses co-inventeurs, un certain nombre de brevets relatifs à cette technologie. En 2002, il faisait remarquer que « la biométrie, si elle est utilisée telle qu'elle est commercialisée actuellement par [la plupart] des fournisseurs (où le gabarit biométrique est utilisé comme moyen d'identification ou de vérification), portera atteinte à la vie privée et mettra en péril nos libertés. En deux mots, la biométrie fondée sur un gabarit ne respecte pas la vie privée. Chaque fois que la vérification ou l'identification reposent sur la comparaison avec un gabarit stocké, cela crée des conditions qui, au fil du temps, compromettront la vie privée – que ce soit du fait d'une entreprise ou des pouvoirs publics, notamment lorsqu'il faudra faire face à la prochaine situation de crise nationale. »
La technique, dont les travaux de recherche ont commencé à partir du milieu des années 1990, a atteint aujourd'hui une certaine maturité qui permet d'envisager concrètement son intégration dans les nouveaux systèmes d'authentification biométrique. Les produits biométriques « sérieux » cryptent d'ailleurs désormais par défaut les données biométriques.
Le cryptage biométrique ne consiste pas à chiffrer les données brutes fournies ni les gabarits biométriques, mais plutôt à créer une clé à partir de la donnée biométrique qui servira à chiffrer et à déchiffrer un identifiant. Cette clé sera générée de manière aléatoire et différente à chaque demande d'authentification. Ni la clé, ni la donnée biométrique ne sont conservées. Seule la version « hachée » de la clé est conservée. Il est également impossible de relier les clés entre elles, ni de les tracer. Le cryptage biométrique permet ainsi d'utiliser la biométrie de manière anonyme et sans trace.
Il permet en outre de prendre en compte et de réduire trois risques liés à la protection des données personnelles :
- la minimisation de la collecte de données est assurée car aucune donnée biométrique, ni gabarit ne sont conservés. Cela permet de réduire les risques de perte ou de détournement de finalité ;
- la personne garde le contrôle sur ses données ;
- la sécurité est augmentée.
Si la clé cryptographique se trouvait corrompue, il serait facile de la révoquer et d'en produire une nouvelle, sans compromettre la donnée biométrique. Cette technologie est soutenue depuis les années 1990 par le Dr. Ann Cavoukian.
Biométrie révocable
La biométrie révocable fait également partie des technologies de biométrie non traçable. Il s'agit dans ce cas de créer, à partir de la donnée biométrique, un gabarit « transformé » et non biométrique qui sera seul conservé. La donnée biométrique n'est pas conservée, comme pour le cryptage biométrique. La comparaison se fait entre les deux gabarits « transformés ». Il est ici aussi possible d'annuler et de renouveler un gabarit.
Cette technologie fait d'ailleurs partie d'un projet de recherche européen, TURBINE , coordonné par la société Morpho, au sein du septième programme-cadre (2007-2013) et consistant à développer des solutions innovantes de gestion des identités. Ce programme s'adresse plus particulièrement au secteur privé, et vise le développement d'applications biométriques d'authentification par empreinte digitale dans le secteur du commerce électronique, de la banque en ligne, de la téléphonie mobile.
Dans un avis du 1er février 2011 , le Commissaire européen à la protection des données a apporté son soutien au projet TURBINE, qui s'inscrit selon lui dans sa feuille de route. Ce projet a permis de stimuler le milieu de la recherche sur les technologies biométriques protectrices de la vie privée. Il parle d'ailleurs de Privacy by Design au sujet de ce projet, notamment grâce à ses deux piliers que sont la non réversibilité des données biométriques et la révocabilité des clés biométriques ainsi créées. Il souligne également la façon exemplaire dont a été mené le projet, orienté pendant toute sa durée sur la protection de la vie privée, tant dans ses aspects techniques qu'organisationnels.
Biométrie anonyme
Enfin, la biométrie anonyme ou « désidentifiée » (terme préféré par la CNIL) est un dispositif dans lequel les données biométriques ne sont reliées à aucune donnée personnelle permettant d'identifier la personne, et qui ne permet aucune interconnexion avec un autre système où elle pourrait être identifiée. Elle peut être utilisée pour les dispositifs d'authentification seulement, en utilisant par exemple un tiers de confiance qui authentifierait la donnée biométrique à la demande de la personne ou du fournisseur de service. La seule donnée communiquée serait un numéro de transaction. Cela demanderait de la part du tiers de confiance qu'il mette en place des procédures sécurisées et adéquates d'enrôlement, de conservation, de comparaison...
Selon Max Snijder , il faut respecter quatre conditions pour mettre en œuvre un système d'authentification biométrique anonyme : la ou les donnée(s) biométrique(s) utilisée(s) doi(ven)t être tenue(s) secrète(s) ; la donnée biométrique et le gabarit ne doivent pas être conservés sur le système ; la donnée de référence qui sera conservée ne doit pas permettre de retrouver la donnée biométrique source ni le gabarit ; la donnée de référence conservée et créée à partir de la donnée biométrique ne doit pas pouvoir être liée à une donnée personnelle d'identification.
Ces technologies présentent ainsi de nombreux avantages pour des utilisations d'authentification, notamment sur Internet, afin d'éviter le piratage et le détournement des données, et dans un contexte d'interopérabilité grandissante. La biométrie non traçable se rapproche ainsi du token d'authentification forte.
Dans sa recommandation du 22 mars 2012 sur l'utilisation de la reconnaissance faciale en ligne, le G29, qui regroupe les autorités européennes de protection des données, fait expressément référence au cryptage biométrique et à la biométrie non traçable comme solutions permettant de protéger la vie privée des personnes . Il fait également référence au cryptage biométrique dans sa recommandation du 27 avril 2012 sur l'évolution des technologies biométriques. Se basant sur les travaux du Dr. Ann Cavoukian, le G29 convient que la technologie de cryptage biométrique est un terrain fertile pour la recherche et qu'elle a acquis une maturité suffisante pour un examen de politique publique plus large, pour le développement de prototypes et pour l'examen d'applications.
Ainsi, la biométrie ne peut être systématiquement associée au sacrifice de la vie privée. Bien au contraire, des solutions sont possibles pour concilier confort et vie privée.
Marion Briquet
Dans le cadre du mastère spécialisé en management et protection des données à caractère personnel de l’ISEP, Marion Briquet a réalisé sa thèse professionnelle sur le thème « Usages non régaliens de la biométrie : quel équilibre entre confort et vie privée ? ». L’article ci-dessous est issu de ce travail qui a été très apprécié par le jury dont faisait partie Arnaud Belleil de Cecurity.com.
Source : Cecurity.com