B. UN NÉCESSAIRE ENCADREMENT JURIDIQUE
Si les techniques biométriques peuvent sécuriser l'identité des personnes et accroître l'efficacité de l'action administrative, leurs spécificités ainsi que des risques de fraudes et d'erreurs ont justifié l'émergence d'un cadre juridique spécifique.
1. Des données sensibles qui ne sont pas « des données à caractère personnel comme les autres »
Les données biométriques ne sont pas des « données à caractère personnel comme les autres » pour reprendre les mots de la Commission nationale de l'informatique et des libertés (CNIL).
En effet, « à la différence d'une autre donnée d'identité (...), la donnée biométrique n'est pas attribuée par un tiers ou choisie par la personne : elle est produite par le corps lui-même et le désigne ou le représente, lui et nul autre, de façon immuable. Elle appartient donc à la personne qui l'a générée. (...) Confier ses données biométriques à un tiers, lui permettre de les enregistrer et de les conserver n'est donc jamais un acte anodin : cela doit répondre à une nécessité a priori exceptionnelle, justifiée, et être entouré de garanties sérieuses » 45 ( * ) . Pour Antoinette Rouvroy, chercheure en philosophie du droit, la biométrie transforme le corps en « mot de passe » en partant du principe que « le corps ne ment pas » 46 ( * ) . Le contrôleur européen des données considère, pour sa part, que « la biométrie modifie définitivement la relation entre corps et identité » 47 ( * ) .
a) Le cadre juridique européen et national
Le droit européen aborde les techniques biométriques en comparant leurs apports pour l'intérêt général, d'une part, et leurs effets sur la vie privée des personnes, d'autre part.
À titre d'exemple, la Cour européenne des droits de l'homme considère que « le fait que les profils ADN fournissent un moyen de découvrir les relations génétiques pouvant exister entre des individus suffit en soi pour conclure que leur conservation constitue une atteinte au droit à la vie privée de ces individus » . Cette atteinte doit ainsi être dûment justifiée par les autorités nationales. Tel n'est pas le cas du Royaume Uni lorsqu'il conserve des empreintes génétiques d'une personne acquittée par la justice : l'article 8 de la convention européenne des droits de l'homme (droit au respect de la vie privée et familiale) n'est pas respecté car cette mesure « ne traduit pas un juste équilibre entre les intérêts publics et privés concurrents en jeu » 48 ( * ) .
Les données biométriques sont également encadrées par le droit communautaire car elles entrent dans le champ de la directive 95/46/CE du 24 octobre 1995 49 ( * ) même si ce texte ne les mentionne pas explicitement. Le droit communautaire gagnera d'ailleurs en précision avec l'entrée en vigueur, à compter de 2018, de deux textes relatifs à la protection des données à caractère personnel.
Les techniques biométriques dans les textes
communautaires
L'Union européenne a publié un paquet législatif visant à réformer la protection des données à caractère personnel et donc à remplacer la directive 95/46/CE précitée. Publiée le 27 avril dernier, cette initiative législative comprend : - le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; - la directive (UE) 2016/680 portant sur le traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales. Ces deux textes qualifient les données biométriques de « catégories particulières de données à caractère personnel » et prévoient, dès lors, des garanties spécifiques. Les traitements de données biométriques sont, par principe, interdits hors des usages de prévention et de détection des infractions pénales 50 ( * ) . Des exceptions sont toutefois prévues , les traitements biométriques étant notamment permis lorsqu'ils sont « nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique » ou justifiés par « des motifs d'intérêt public important » . Ces exceptions peuvent être interprétées strictement par les États membres et « des conditions supplémentaires » , y compris des limitations, sont possibles. La logique est inverse concernant la prévention et la détection des infractions pénales 51 ( * ) . Les traitements de données biométriques sont permis sous réserve : - qu'ils soient autorisés par le droit de l'Union ou le droit d'un État membre ; - et qu'ils permettent de protéger des intérêts vitaux ou portent sur des données manifestement rendues publiques par la personne concernée. En dernier lieu, le règlement et la directive précités encadrent les techniques biométriques « comportementales » ou de « profilage » 52 ( * ) . Hors la sphère pénale, la personne concernée « a le droit de ne pas faire l'objet d'une décision fondée exclusivement » sur ces techniques sauf si ces dernières sont prévues par le droit national ou de l'Union et si elles font l'objet « de mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée » 53 ( * ) . |
À l'échelon national, les usages publics de la biométrie sont régis par l'article 27 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Ils sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la CNIL.
Dans ses avis - qui demeurent consultatifs en l'espèce -, la CNIL considère que l'utilisation de la biométrie est légitime pour s'assurer de l'identité d'une personne.
Elle met cependant en garde contre certaines difficultés soulevées par ce type de techniques 54 ( * ) . L'autorité administrative indépendante s'est, par exemple, montrée très réservée lors de la création d'un fichier central comportant les empreintes digitales des passeports biométriques, sans toutefois être suivie par le Gouvernement 55 ( * ) .
La CNIL procède également à des vérifications a posteriori des fichiers biométriques dans le cadre fixé par les articles 11 et 44 de la loi n° 78-17 précitée. Pour reprendre l'exemple des passeports, la CNIL a lancé un programme de vérification en 2012 pour s'assurer de l'enregistrement de seulement deux empreintes 56 ( * ) dans la base des titres électroniques sécurisés (TES) et de l'effacement des empreintes « surnuméraires » .
b) Les garanties nécessaires : l'application des principes de finalité et de proportionnalité
Les traitements biométriques doivent comporter des garanties permettant d'atteindre un équilibre entre leurs finalités - que le pouvoir législatif ou réglementaire doit clairement expliciter -, et le droit à la vie privée.
Le Conseil constitutionnel synthétise cette « grille d'analyse » par un considérant de principe selon lequel « la liberté proclamée par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 implique le droit au respect de la vie privée ; (...) par suite, la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en oeuvre de manière adéquate et proportionnée à cet objectif » .
À l'occasion d'une question prioritaire de constitutionnalité 57 ( * ) , le Conseil a ainsi considéré que le fichier national automatisé des empreintes génétiques (FNAEG) respecte cet équilibre dans la mesure où :
- sa finalité est suffisamment précise et répond à un motif d'intérêt général : faciliter la recherche des auteurs de certaines infractions ;
- des garanties sont prévues pour encadrer l'utilisation de ce fichier et s'assurer, ainsi, du respect du principe de proportionnalité : le contrôle du FNAEG relève de la CNIL et d'un magistrat de l'ordre judiciaire, le fichier s'inscrit dans le cadre de procédures judiciaires, les personnes concernées ont un droit d'accès et peuvent demander la rectification d'informations erronées, etc .
À l'inverse, un tel équilibre n'a été que partiellement atteint par la loi n° 2012-410 du 27 mars 2012 58 ( * ) .
Telle qu'adoptée par le Parlement, cette loi prévoyait principalement :
- la création d'une carte d'identité dotée d'une puce électronique contenant plusieurs données à caractère personnel dont deux empreintes digitales . Cette carte aurait pu être utilisée à des fins commerciales (régler des transactions, notamment dans le cadre d'une prestation de commerce en ligne) et administratives (développer l'administration électronique) ;
- la constitution d'un « fichier central commun » intégrant les données des cartes d'identité et des passeports biométriques.
Dans sa décision n° 2012-652 DC du 22 mars 2012, le Conseil constitutionnel n'a pas contesté la possibilité de créer une carte d'identité biométrique . Il a toutefois censuré deux éléments de la loi n° 2012-410 précitée : son utilisation à des fins commerciales (pour un motif procédural d'incompétence négative) 59 ( * ) et la constitution du « fichier central commun » (pour un motif de fond, le non-respect du principe de proportionnalité).
Le Conseil a considéré que cette base de données porterait au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée eu égard à « l'ampleur de ce fichier, à ses caractéristiques techniques et aux conditions de sa consultation » .
Le commentaire de la décision indique, plus précisément, que le Conseil constitutionnel s'est appuyé sur quatre arguments pour constater l'insuffisance des garanties prévues :
- la taille très importante de ce traitement de données qui aurait compris les données de la quasi-totalité de la population française ;
- la pluralité de ses finalités (identification administrative, besoins de la prévention et de la répression des atteintes à l'indépendance de la Nation, etc. ) ;
- le caractère particulièrement sensible des données biométriques ;
- la possibilité d'identifier une personne par une technique de « liens forts » , disposition de la loi adoptée contre la position du Sénat qui privilégiait des « liens faibles » 60 ( * ) .
La distinction entre les fichiers à « liens forts » et ceux à « liens faibles » Dans un traitement biométrique à « liens forts » , une donnée est reliée à une identité , ce qui permet d'établir très rapidement une correspondance entre ces deux informations. Bien que certains traitements soient « unidirectionnels » (retrouver une empreinte à partir d'une identité mais non l'inverse par exemple), il est toujours possible de procéder à des recoupements et ainsi d'interroger la base dans les deux sens. Dans un système à « liens faibles » , un nombre très élevé d'identités est relié aux données biométriques correspondantes , sans qu'aucun lien univoque ne soit établi entre l'une de ces identités et l'une de ces données biométriques. Les biométries correspondent, par exemple, à 100 000 identités rangées dans un « tiroir » unique et il est techniquement très difficile de retrouver une identité à partir d'une simple information biométrique. La technique des « liens faibles » représente donc une garantie supplémentaire pour les personnes inscrites dans le fichier concerné. |
Source : commission des lois du Sénat
2. Des risques d'erreurs et de fraudes
Même si elles sont propres à chaque individu, les données biométriques ne sont pas infaillibles : des risques d'erreurs et de fraudes persistent. Notre ancien collègue Jean-René Lecerf invitait ainsi à « ne pas surestimer la fiabilité de la biométrie » 61 ( * ) .
a) Des risques d'erreurs
S'agissant tout d'abord des risques d'erreurs des techniques biométriques, deux variables doivent être prises en compte :
- le taux de fausses acceptations (FAR) : le système n'arrive pas à reconnaître un imposteur et à le rejeter ;
- le taux de faux rejets (FRR) : le système ne parvient pas à identifier une personne éligible et la rejette à tort.
À titre d'exemple, les dispositifs de reconnaissance digitale de la Direction générale de la police aux frontières ( DCPAF ) présentent un FAR de 0,1 % et un FRR de 3 %.
Ces deux taux sont interdépendants et diffèrent d'un dispositif biométrique à l'autre : réduire le taux de fausses acceptations pour diminuer les risques « d'impostures » conduit mécaniquement à accroître le taux de faux rejet. Cet arbitrage est réalisé à l'occasion de la configuration des algorithmes de vérification des dispositifs biométriques.
Le réglage des dispositifs biométriques : l'arbitrage entre FAR et FRR
Source :
« Évaluation de
systèmes biométriques »
, Mohamad El
Abed,
thèse soutenue à l'université Caen
Basse-Normandie le 9 décembre 2011, p. 28.
Baisser le seuil de sécurité revient, comme le montre ce schéma, à réduire le nombre de faux rejet (et donc la gêne occasionnée pour les usagers) mais à accroître les fausses acceptations (et donc le risque d'impostures).
La fiabilité des techniques biométriques dépend, en outre, du rythme de transformation du corps humain . Comme le soulignent MM. Guillaume Desgens-Pasanau et Eric Freyssinet, la biométrie présente « un inconvénient majeur : aucune mesure d'une donnée biométrique par un système informatique ne se révèle être totalement exacte car le corps vieillit et il subit au fil du temps un certain nombre d'altérations voire de traumatismes » 62 ( * ) .
La biométrie s'avère, enfin, inopérante lorsqu'il est techniquement impossible de prélever une donnée sur un corps humain. À titre d'exemple, 3 % de la population ne pourraient se voir prélever leurs empreintes digitales 63 ( * ) du fait, par exemple, de l'usage répété de produits corrosifs.
b) Des risques de fraudes
Les tentatives de fraudes ne sont pas à exclure lors de l'utilisation de dispositifs biométriques.
Il existe, tout d'abord, un risque lors de la captation des données (phase « d'enrôlement » ). En effet, si une identité erronée est rattachée à une donnée biométrique, cette erreur ne pourra être détectée lors de vérifications ultérieures.
Diverses techniques sont également possibles pour « tromper » les dispositifs biométriques dont le « morphing » (conception d'un visage de synthèse pour abuser les outils de reconnaissance faciale) ou les « faux doigts » (fabrication d'un doigt artificiel imitant l'empreinte digitale d'un tiers).
Ainsi, l'empreinte digitale de Mme Ursula von der Leyen, ministre de la défense allemande, a pu être imitée par un informaticien en décembre 2014 et des journalistes ont trompé les sas PARAFE dans le cadre d'un reportage diffusé en septembre 2015 sur une chaîne du service public 64 ( * ) .
Un « faux doigt »
Source :
« Hacking
biométrie :
tromper un scanner d'empreintes
digitales »
,
Centre national de recherche scientifique (CNRS),
mars 2013.
La CNIL rappelle, enfin, qu'un traitement centralisé de données biométriques peut présenter des risques en termes de sécurité informatique , étant « d'autant plus vulnérable et susceptible d'utilisations multiples qu'il est de grande dimension, qu'il est relié à des milliers de points d'accès et de consultation, et qu'il contient des informations très sensibles » 65 ( * ) .
L'ensemble de ces risques nécessite donc la mise en oeuvre de sécurités particulières et des avancées technologiques sont encore possibles pour réduire le risque de fraude.
* 45 « Communication relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données » , CNIL, décembre 2007, p. 3 (http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/Communication-biometrie.pdf).
* 46 Citée dans « Vie privée à horizon 2020 », CNIL, 2012, p. 24 (https://www.cnil.fr/sites/default/files/typo/document/CNIL-CAHIERS_IPn1.pdf ).
* 47 « Avis sur la proposition de règlement du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour » , Contrôleur européen des données, 23 mars 2005.
* 48 Cour européenne des droits de l'homme, 4 décembre 2008, S. et Marper c. Royaume-Uni (n° 30562/04 et 30566/04).
* 49 Directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
* 50 Article 9 du règlement (UE) 2016/679 précité.
* 51 Article 10 de la directive (UE) 2016/680 précitée.
* 52 Le « profilage » étant défini comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données (...) pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne » .
* 53 Article 22 du règlement (UE) 2016/679 précité.
* 54 Cf. infra et notamment les développements sur les risques d'erreurs et de fraudes.
* 55 Délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'État modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.
* 56 Conformément à l'arrêt du 26 octobre 2011 dans lequel le Conseil d'État a annulé une disposition du décret du 30 décembre 2005 précité et prévoyant l'enregistrement de huit empreintes digitales.
* 57 Conseil constitutionnel, décision n° 2010-25 QPC du 16 septembre 2010.
* 58 Loi relative à la protection de l'identité.
* 59 Le Conseil estime en effet que le législateur a « méconnu l'étendue » de la compétence que lui confère l'article 34 de la Constitution dans la mesure où il n'a pas défini la nature des données permettant cette identification électronique, les garanties mises en oeuvre pour assurer leur intégrité et leur confidentialité ainsi que les conditions d'authentification des personnes.
*
60
Rapport
n° 432 (2010-2011) de M. François Pillet relatif à la
proposition de loi
« protection de l'identité »
fait au nom de la commission des lois du Sénat, p. 38
(
https://www.senat.fr/rap/l10-432/l10-4321.pdf
).
* 61 « Identité intelligente et respect des libertés » , rapport d'information n° 439 (2004-2005) fait au nom de la mission d'information de la commission des lois du Sénat, p. 69 ( https://www.senat.fr/rap/r04-439/r04-4391.pdf ).
* 62 « L'identité à l'ère du numérique » , Guillaume Desgens-Pasanau, Eric Freyssinet, août 2009, Éditions Presaje, p. 43.
* 63 Source : « L'identification biométrique : champs, acteurs, enjeux et controverses », Ayse Ceyhan et ali., juin 2011, Éditions Broché, p. 249.
* 64 « Le business de la peur » , reportage de Jean-Pierre Canet diffusé dans l'émission « Cash investigation » (France Télévisions) le 21 septembre 2015.
*
65
« Note d'observations concernant
la proposition de loi relative à la protection de
l'identité »
, CNIL, 25 octobre 2011, p. 4
(https://www.cnil.fr/sites/default/files/typo/document/CNIL-PPLidentite-Noteobservations-25-10-2011.pdf).