Par Johanna LECHABLE
Mercredi 16 avril 2014, les sénateurs de la commission des lois ont adoptés une proposition de loi visant à limiter l’usage des techniques biométriques.
Au regard de la nature particulière des données collectées via les techniques biométriques, les sénateurs ont choisis de limiter leur utilisation « exponentielle » dans le « contrôle de l’accès à des services ou à des locaux professionnels, commerciaux, scolaires ou de loisirs ».
Les technologies biométriques consistent à transformer les caractéristiques biologiques et morphologiques d’un individu (exemples : empreintes digitales, iris, reconnaissance vocale et même reconnaissance comportementale par la vitesse de frappe sur un clavier) en une empreinte numérique ayant pour objectif l’identification d’une personne et/ou son authentification.
La biométrie, autrefois cantonnée à des secteurs hautement sécuritaire (défense etc) voit son utilisation se banaliser dans la vie quotidienne. Il est désormais possible de scanner ses empreintes digitales par son téléphone portable pour les paiements mobiles paypal (samsung, apple proposent cette fonctionnalité[1]), d’autoriser un accès dans une entreprise sous condition de scan de l’iris[2], de sécuriser un lieu grâce à la reconnaissance faciale[3], de payer sur internet par reconnaissance vocale (labanquepostale.fr a mis en place un tel dispositif pour le paiement en ligne[4]).
Si les adeptes de la biométrie présentent celle-ci comme un moyen d’accroître la sécurité et la simplicité de certains gestes quotidiens (suppression des mots de passe et codes d’accès), la biométrie reste perçue avec réserve et parfois méfiance, notamment lorsqu’elle est utilisée dans la vie quotidienne.
A juste titre, au regard des risques que représentent ces techniques (stockage massif de données à caractère personnel particulièrement sensibles et d’atteinte à la vie privée).
Ainsi 1/3 des français considèrent l’utilisation des empreintes digitales dans la vie courante comme risqué pour la vie privée et seuls 32% des personnes interrogées se déclarent « tout à fait ou assez d’accord » pour que les informations biométriques puissent être utilisées pour les identifier dans un cadre de loisir (sondage réalisé en novembre 2012 par TNS Sofres pour la CNIL[5]).
C’est dans ce contexte qu’est né le projet de loi visant à limiter l’usage de la biométrie.
« À cette mutation technique, qui n’en est qu’à son commencement, s’ajoute une volonté de diversification des usages pour répondre à des enjeux soit de contrôle social (comme le contrôle des horaires de travail via un mécanisme de recueil d’empreinte à l’entrée ou à la sortie du bureau ou de l’atelier) soit de simple confort commercial (accès à un restaurant scolaire, une piscine après vérification du contour de la main, etc).
[…]
La question qui nous est posée est en effet de savoir si nous sommes prêts à consentir à une banalisation de l’usage de données tirées du corps humain ou si nous voulons que cet usage soit limité à des situations exceptionnelles. »[6]
La première proposition en date du 12 février 2014 s’est vue reprocher son imprécision (sur la notion de « stricte nécessité de sécurité »[7]) et l’absence de dispositif transitoire permettant aux organismes concernés de s’y conformer.
La seconde en date du 16 avril 2014[8] ne semble pourtant pas tenir compte de cela et persiste dans sa subjectivité mise en forme par une succession de termes insuffisants et imprécis.
Ainsi les notions « d’enjeu majeur dépassant l’intérêt strict de l’organisme » et de « préjudice grave »[9] nécessitent une interprétation qui dépendra évidemment de chaque organisme, de ses activités, des données collectées et ce sans qu’il ne soit fait mention d’une quelconque proportionnalité vis-à-vis du but poursuivi.
Par cette imprécision il sera facile pour Samsung et Apple de justifier l’usage de la biométrie pour contrôler l’accès à leurs applications ou protéger les informations de leurs clients de « détournement, divulgation ou destruction » en cas de perte ou de vol de leur téléphone portable ou encore de justifier la reconnaissance faciale pour accéder à une banque afin de « protéger l’intégrité physique » des employés par exemple.
L’imprécision des termes de ce texte permet donc aisément d’en contourner l’esprit, au risque de légitimer les usages qui étaient initialement visés…
Le texte sera examiné en séance plénière du Sénat le 29 avril prochain.
[1] http://www.biometrie-online.net/actualites/annonces-communiques/478-samsung-galaxy-s5-compatible-avec-les-paiements-mobiles-paypal
[2] http://www.biometrie-online.net/actualites/annonces-communiques/439-acces-au-poste-de-travail-avec-son-iris
[3] http://www.biometrie-online.net/actualites/annonces-communiques/438-reconnaissance-faciale-de-nuit
[4] http://www.biometrie-online.net/actualites/annonces-communiques/388-talk-to-pay-l-authentification-vocale-de-la-banque-postale
[5] http://www.cnil.fr/les-themes/identite-numerique/fiche-pratique/article/les-francais-plutot-reserves-sur-lusage-de-la-biometrie-dans-la-vie-quotidienne-selon-une/
[6] Proposition de loi n°361 visant à limiter l’usage des techniques biométriques en date du 12 février 2014
[7] Article 1
[8] Proposition de loi visant à limiter l’usage des techniques biométriques en date du 16 avril 2014
[9] Article 1 alinéa 2
Sarah ABDELMALEK
Présidente de l’association du Master 2 Droit des nouvelles technologies et société de l’information – promotion 2014.