Carte d’identité biométrique : la CNIL tire le signal d’alarme

La CNIL a décidé de rendre public ses observations sur un débat parlementaire en cours : c’est celui sur la Carte Nationale d’Identité sécurisée. Une initiative signée Isabelle Falque Pierrotin, toute récente présidente de la CNIL, qui vient pointer plusieurs bugs et risques dans le dispositif soutenu par Claude Guéant, tout juste arrivé en seconde lecture au Sénat

La future carte comprendra deux puces. L’une régalienne, avec, outre les informations d’Etat civil, des données biométriques (taille, couleur des yeux, empreintes digitales, photographie). Une seconde puce, optionnelle, distincte et cloisonnée, sera destinée à sécuriser les transactions de e-commerce. Au niveau serveur, une base commune avec les passeports centralisera le fichage des porteurs. Ce fichage pourra accueillir ceux des 45 millions de personnes âgées de 15 ans et plus qui voudraient basculer sur cette CNI sécurisée.

Les données biométriques, des données pas comme les autres

Dans sa consultation, la CNIL souligne et explique d’entrée pourquoi les données biométriques ne sont pas des données comme les autres. «  Elles présentent en effet la particularité de permettre à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s’affranchir ». La Commission poursuit : « à la différence de toute autre donnée à caractère personnel, la donnée biométrique n’est donc pas attribuée par un tiers ou choisie par la personne : elle est produite par le corps lui-même et le désigne ou le représente, lui et nul autre, de façon immuable. Elle appartient donc à la personne qui l’a générée et tout détournement ou mauvais usage de cette donnée fait alors peser un risque majeur sur l’identité de celle-ci  »

Les données à trace

La sensibilité de ces données est encore plus forte quand elles sont dites « à trace  » comme les empreintes digitales, qui ont «  la particularité de pouvoir être capturées et utilisées à l’insu des personnes concernées, comme par exemple à des fins d’usurpation d’identité ». Même situation pour les caractéristiques du visage. « Si [ces caractéristiques] ci ne donnent pas lieu à dépôt de traces, l’association entre vidéoprotection et dispositifs de reconnaissance faciale aboutit à un résultat similaire en créant des traces informatiques en lieu et place des traces physiques laissées par les empreintes digitales ».

Base centralisée, lien fort ou faible ?

Voilà justement la difficulté soulevée par la CNI sécurisée : elle intègrera ces deux données biométriques (empreintes et visage) en plus d’être couplée à une base centralisée. Autre chose, un débat oppose actuellement le ministère de l’Intérieur et le Sénat sur l’exploitation de cette base. Les sénateurs veulent une étanchéité de ce fichier. Ils militent pour la technique du « lien faible  » entre cette base centralisée et les données biométriques afin d’interdire l’exploitation aux fins de recherches criminelles. Ce « lien faible  » est cependant suffisant pour détecter 99,9% des cas d’usurpation de titre.

Claude Guéant lui veut décloisonner les bases pour permettre les recherches dans tous les sens à partir de cette base, avec pour pas, à l’avenir un système permettant d’identifier à la volée les personnes par captation de leur visage… « La reconnaissance faciale, qui n’apporte pas, à l’heure actuelle, toutes les garanties de fiabilité nécessaires, est une technologie qui évolue très rapidement : on peut donc penser que, très bientôt, elle sera aussi fiable que la reconnaissance digitale  ».

Grille de lecture de la CNIL

Pour la CNIL, la grille de lecture est simple et évidente : compte tenu de la sensibilité de ces informations et de la généralisation de ces titres d’identité, un dispositif biométrique doit impérativement répondre à deux principes. Le principe de finalité (les traitements de données doivent poursuivre des finalités « déterminées, explicites et légitimes  ») et le principe de proportionnalité (les données traitées doivent être « adéquates, pertinentes et non excessives » au regard des finalités attribuées au traitement, leur durée de conservation ne doit pas excéder la durée nécessaire à ces finalités et elles ne doivent être rendues accessibles qu’aux destinataires ayant un intérêt légitime à en connaître).

Partant de là, l’analyse de la CNIL n’est pas la même selon qu’elle se penche sur le titre sécurisé ou la base centralisée.

Le titre sécurisé

Pour le premier, la Commission considère qu’abriter une reconnaissance biométrique dans un titre répond aux impératifs énumérés. Pourquoi ? Car « la personne concernée, et elle seule, conserve la maîtrise de ses données biométriques qui restent sous sa responsabilité et ne peuvent pas être utilisées pour l’identifier à son insu ». C’est là « une mesure efficace de protection contre la falsification ou la contrefaçon des documents dès lors qu’elle permet de s’assurer par des mécanismes cryptographiques de l’authenticité de la puce et de l’intégrité des données qu’elle contient »

La base centralisée

Pour la base centralisée, la CNIL se montre évidemment plus tatillonne compte tenu des risques importants en termes de sécurité ou de menace pour les libertés individuelles.

La CNIL va aussi émettre une série d’observation au dispositif soutenu par Claude Guéant.

Les observations de la CNIL sur la CNI sécurisée

Il faut déjà prévoir de manière claire et nette, une dispense de collecte pour les enfants.

La comparaison entre la donnée enregistrée et l’empreinte lue en direct peut ne pas passer par un système centralisé, mais se faire directement par la technique du « match on card  » tout en prévoyant des garanties pour éviter la copie de ces informations.

Pour le système centralisé, on le sait, Guéant veut doubler sa finalité : garantir la sécurité des titres mais également fournir un nouvel outil à la police judiciaire sur réquisition judiciaire. Pour la CNIL, « une consultation systématique du fichier [sur réquisition, NDLR] aurait pour effet de le doter de facto d’une finalité de police judiciaire, qui constitue une finalité distincte  ». Et la CNIL d’évoquer un détournement de finalité.

Autre critique : la Commission considère que toutes les mesures destinées à sécuriser les titres « devrait être précisément évaluée avant d’envisager la généralisation du traitement en base centralisée des identifiants biométriques des individus  ». Or en l’état actuel, « la proportionnalité de la conservation sous forme centralisée de données biométriques, au regard de l’objectif légitime de lutte contre la fraude documentaire, n’est pas à ce jour démontrée.  »

La CNIL milite aussi pour la limitation du nombre d’empreintes digitales enregistrées dans la base centrale. «  La limitation à deux doigts constituerait une garantie matérielle contre le détournement de finalité du système, en empêchant les recherches en identification sur la base des empreintes digitales, tout en permettant de vérifier la correspondance entre l’identité revendiquée et les empreintes présentées ».

La Commission soutient, contrairement au ministère de l’intérieur, qu’il faut limiter les possibilités d’utilisation de la base de données biométriques à la seule fin de lutte contre la fraude à l’identité. Comment ? En interdisant le «  lien univoque entre les données biométriques enregistrées dans le traitement central et les données d’état civil des personnes auxquelles ces données correspondent  » ou encore en interdisant « de procéder à des recherches en identification sur la base des éléments biométriques enregistrées dans la base  ».

Autre chose, la CNIL se méfie comme de la peste des systèmes de reconnaissances faciales, en cette période où les caméras de vidéosurveillances pullulent. Du coup, elle «  exprime sa plus grande réserve sur la possibilité, ouverte par la proposition de loi, de recourir à de telles fonctionnalités dans le cadre des demandes de titres d’identité et de voyage »

Enfin, la CNIL considère que la puce optionnelle, si elle est une idée légitime ne doit pas faire oublier qu’elle peut permettre « la constitution d’un identifiant unique pour tous les citoyens français ainsi que la constitution d’un savoir public sur les agissements privés  ». D’où l’importance des garanties qui doivent encadrer son utilisation et son déploiement. Par exemple ? Imposer une divulgation sélective des données selon la nature du téléservice, tout en informant clairement le citoyen avant la transaction.

Enfin, « de telles fonctionnalités ne devraient pas permettre le suivi des personnes sur internet ou l’exploitation par l’État d’informations sur les transactions privées effectuées par les citoyens. Une telle interdiction serait utilement rappelée dans le texte prévoyant ces nouvelles fonctionnalités de la carte électronique  ».

Claude Guéant réintroduit un amendement pour casser le "lien faible"

Claude Guéant n’a visiblement que peu à faire de ces remarques sur la base centralisée. Alors que les sénateurs militent pour ce système de lien faible, le ministère de l’intérieur vient de réintroduire un amendement pour permettre le lien univoque entre les données, exception faite de la biométrie du visage.

Sur le même sujet d’actualité :