|
Extraits de l' Audition Publique sur la Biométrie par l'OPECST( Office Parlementaire d'Evaluation des Choix Scientifiques et Technologiques) le 4 mai 2006. Rapport n° 3302 de l'Assemblée nationale / N° 480 du sénat. Extraits de l'intervention d'Alain Weber
Me Alain WEBER, avocat membre de la Ligue des Droits de l’Homme et du collectif Droit Et Libertés face à l’Informatisation de la Société (DELIS)
La ligue des Droits de l’Homme et DELIS regroupent une cinquantaine d’organisations de tous les horizons qui s’intéressent à l’informatisation de la société et donc à la biométrie.
Un auteur a écrit que la géographie ça sert d’abord à faire la guerre ; nous, nous disons que la biométrie ça sert d’abord à faire du sécuritaire.
Il faut le souligner. Lorsque Monsieur Didier, que j’écoute toujours avec beaucoup d’attention, explique qu’aujourd’hui on dispose d’une technique permettant de prendre des images faciales des individus « à la volée », cela veut dire qu’effectivement on en est là.
Lorsque le Ministère de l’Intérieur, pour lequel j’ai le plus grand respect, explique que la biométrie serait justifiée par le fait qu’on ne sait pas comment identifier quelqu’un, on peut se demander «mais que fait la police ? » et comment a-t-elle fait jusqu'à aujourd'hui en 2006 ? Plus sérieusement – en ce moment même – des milliers de contrôles d’identité sont effectués, dont certains irréguliers sont d’ailleurs condamnés par la Cour de Cassation ; en réalité, l’usage de la biométrie n’est pas nécessaire pour procéder au contrôle de l'identité d'une personne.
On soutient ensuite du côté du Ministère de l'Intérieur qu’il faudrait une certification biométrique pour faire des opérations sur Internet. Je trouve le propos un peu court puisque le Code civil a été enrichi de dispositions concernant la signature électronique et la preuve électronique. Toutes les entreprises ici représentées savent que, depuis le 1er janvier 2006, la TVA est payable avec des certificats électroniques. Il n’y a pas d’éléments biométriques dans ces procédures, et ce sont des milliards d’euros que l’État encaisse par ce biais. Sur ce sujet, l’argument est donc court.
Cinq points seront développés : BIODEV, INES, PNR, RFID, le Support unique.
1°) BIODEV :
La LDH a constaté des dérives dès l’origine. Il en est ainsi pour le projet BIODEV – d’expérimentation – , des visas biométriques, selon le décret de novembre 2004 .
La loi « informatique et libertés » que les Français ont donnée au monde entier implique que lorsqu’on effectue un traitement, on doit déclarer une finalité précise. La finalité précise affichée était d’écarter la fraude documentaire. Cela implique qu’une personne bénéficiaire d'un visa valide peut démontrer – par comparaison de ses empreintes avec les informations la concernant enregistrées dans le composant associé à son visa – qu'elle est bien celle qui en est bénéficiaire.
La finalité affichée – à savoir, combattre la fraude documentaire et protéger les titulaires de visas – n'exige pas la constitution d'une base centralisée des données biométriques collectées.
Cependant le projet BIODEV avait – sans aucune justification pertinente au regard du principe de finalité – procédé à la création d'une base de données biométriques.
.
Cette création était à titre expérimental et les Ministères de l'Intérieur et des Affaires Etrangères devaient procéder à une évaluation du système.
Cependant, sans évaluation, un nouveau décret vient d'être promulgué (25 avril 2006) qui étend très substantiellement le champ d'application du précédent système.
La Ligue des Droits de l’Homme a attaqué le premier décret, et il en ira de même pour le deuxième puisque à l’évidence, en partant d'une situation de fraude documentaire justifiant la protection des titulaires de visas biométriques, on aboutit à un fichier de police dirigé contre ceux-là mêmes que l'on prétendait protéger.
Désormais, 2600 Officiers de Police Judiciaire (OPJ) sont habilités, selon ce décret, à aller vérifier à l’occasion d’un contrôle quel est l’état de la base. D’un problème d’authentification de titres, on est passé à l’identification d’une personne, d’une population et de flux de populations. Cette dérive est constante en matière de biométrie. La Ligue des Droits de l’Homme s’interroge sur la façon dont on pourrait l’empêcher. Or il semble qu'il ne soit pas possible de l’empêcher ; manifestement la biométrie recèle cette dérive.
2°) INES :
L’autre dérive concerne le projet caméléon d’identité nationale électronique sécurisée (INES.) On sait simplement que ce projet est présenté à l'origine pour lutter contre la fraude documentaire. En France, Madame Planté l’a rappelé, il n’existe aucune obligation légale de disposer d’une Carte Nationale d’Identité pour justifier de son identité. Le Code civil ne le prévoit pas. Aujourd’hui pour un citoyen français il n’est pas obligatoire de posséder ce titre, on peut justifier de son identité par différents moyens. On évoque un problème de fraude documentaire – même si on a des difficultés du côté du Ministère de l’Intérieur et de Monsieur le rapporteur Lecerf à identifier et à chiffrer le phénomène – pour justifier le projet INES.
Mais de cette problématique d’authentification de titres, on bascule de nouveau vers une identification des personnes : c'est-à-dire que l'on ambitionne de créer une base de données de la totalité de la population, ce qui s’appelle un fichier de population. C’est là encore une dérive virtuelle. Il ne s’agit pas de faire un procès d’intention, mais lorsqu’on demande au Ministère de l’Intérieur pourquoi il aurait besoin de ce fichier de population puisque – à supposer INES en place – toute personne pourrait attester de son identité par comparaison de ses empreintes avec les informations la concernant enregistrées dans le titre dont elle est le titulaire, il n’y a pas de réponse. Ce sont donc manifestement des dérives inhérentes à ce système.
3 °) Les PNR/ Les données biométriques à l'étranger :
Un problème se pose également concernant l'utilisation faite de ces données biométriques ; on constate des situations de « trou noir ». La France et l’Europe ont été contraintes, sous le diktat des États-Unis, à la fois de donner certaines informations concernant les passagers se rendant aux Etats-Unis (les Personal Name Records (PNR) ainsi que de fabriquer des passeports biométriques, selon le règlement du Conseil du mois de décembre 2004.
La Ligue des Droits de l’Homme reconnaît que le passeport français est « propre » quand il est lu par les autorités françaises : on a en effet « endormi » les fonctionnalités qui permettraient de se connecter sur la puce RFID et de récupérer des éléments biométriques qui y figurent. Mais – la CNIL le relève dans son avis relatif au passeport électronique – il n’en va pas de même concernant les autorités étrangères sur lesquelles il n’y a aucun contrôle. La Ligue des Droits de l’Homme estime que lorsqu’un État souverain met en circulation un titre, fût-il un titre de nature communautaire, il a l’obligation de garantir à ses nationaux que les données qu’on l’a contraint à y mettre sont utilisées avec transparence et loyauté et que l’on dispose d’accords au niveau international permettant d'obtenir des États tiers – notamment les Etats-Unis des informations et des garanties sur le stockage de ces données, leur détention, leur circulation, la durée de conservation etc. Or, en l'espèce, on n’a absolument aucune réponse à ces questions.
Toute personne qui est allée ou qui va aller aux États-Unis avec un passeport biométrique confiera ses données à des inconnus ; ces donnée sont stockées sur des bases dont on ne sait pas qui les traite, comment elles circulent et comment elles sont stockées ni pour combien de temps. L’État français se montre plutôt cavalier avec ses nationaux alors que c’est l’une de ses obligations impérieuses: s'assurer de la sécurité des donnée personnelles de ses nationaux. Il existe un gros trou noir, sur lequel on n’a aucune réponse et qu’il va falloir combler à bref délai.
4°) RFID :
Abordons un sujet que l’on n’a pas beaucoup évoqué : le support lui-même, la puce RFID, puce intelligente que l’on connaît tous : le problème est d’abord sa lisibilité à distance. Pour le passeport français, il faut qu’il soit ouvert, première sécurité, et toutes les données sont cryptées. Cependant, ces barrages existent parce qu’un risque potentiel de lecture à distance existe. Les techniciens expliquent que pour éviter cette lecture, il faut simplement mettre un petit fil d’aluminium empêchant la connectique. On devrait se satisfaire du fait qu'il faut une distance très proche – de l'ordre de quelques centimètres – entre l’émetteur et le lecteur, pour collecter les informations stockées sur la puce. La technique de la RFID est en effet de titiller un émetteur qui va transmettre les informations biométriques. Un récepteur éloigné serait impuissant à recevoir des informations d'un émetteur distant. La LDH ne se satisfait pas de ce discours. Il est en effet constant que le gouvernement américain vient de mettre en place un système pour ses propres nationaux, concernant les Américains qui veulent voyager au Canada et au Mexique, avec une puce RFID dont la lisibilité atteindra neuf mètres. On est loin des quelques centimètres évoqués auparavant.
On ne peut pas, dans cette matière où la loi de Moore est connue de tous (on double les capacités de stockage / on réduit les délais de traitement par deux tous les dix-huit mois) soutenir qu’on se limitera, en France, à de petites préconisations salvatrices alors que l’on est tous sous la pression des États-Unis dans ces domaines. J’ai participé récemment à un débat où l'on m’a dit « si vous ne voulez pas aller aux États-Unis, vous restez là ». Je répond que je suis citoyen Européen, j’ai envie de voyager de par le monde parce que c’est ma liberté de circuler. Le fait que l’on me contraigne un jour à disposer d’un titre, lisible à une distance que personne ne peut aujourd’hui honnêtement limiter, dont les données seront captables à distance, à mon insu, pour des usages secrets, est une vraie problématique des Droits de l’Homme, des droits de la vie privée et de la liberté de circulation des personnes.
Prenons l’exemple excellent de Monsieur Didier qui expliquait qu’on peut capter « à la volée » des images faciales, car cela fonctionne techniquement. La loi contre le terrorisme récemment votée permet de filmer les grands rassemblements, c'est-à-dire notamment les manifestations républicaines comme ont pu l’être les manifestations contre le CPE. Dès lors que le droit l’autorise et que la technique le permet, la Ligue des Droits de l’Homme entend expliquer qu’il existe un danger éminent que tous les gens manifestant en France finissent un jour dans un fichier de police, quels que soient les motifs de leurs manifestations, puisque la finalité affichée de ces traitements est de trouver éventuellement dans ces grands rassemblements des personnes susceptibles de commettre des infractions.
La biométrie, que l’on connaît depuis plusieurs siècles, associée aux supports RFID dont personne aujourd’hui ne peut dire la limite, crée un outil qui recèle une vocation totalitaire. La Ligue des Droits de l’Homme se bat pour faire entendre ce message de précaution.
Le groupe 29 du Conseil de l’Europe, c'est-à-dire tous les Commissaires aux données des CNIL des états membres, considère qu’il faut faire attention et regarder toutes les applications et toutes les implications. Il est sûr qu’un lobby industriel français de la biométrie existe, qu’il veut ses parts de marché et qu’il se bat pour y parvenir ; c’est tout à fait son rôle, ce n’est pas critiquable. Il n’en demeure pas moins qu’existent des enjeux extrêmes sur le terrain des libertés et de la citoyenneté, d’autant plus que la donnée biométrique elle-même, unique, pérenne, irrévocable, permettra un jour toutes les interconnexions.
5°) Le support Unique :
On apprend – et on peut s'en étonner – que le Ministère de l’Intérieur ne connait pas la fraude sur les permis de conduire et qu'il lui faut se tourner vers le monde universitaire pour obtenir des informations. On parle d'un million de faux titres. Il n’en demeure pas moins qu’avec ce million prétendu de faux titres, si un jour on a des éléments biométriques à l’intérieur, on va le coupler avec une carte d’identité, puis pourquoi pas avec la carte Vitale et éventuellement avec une carte fiscale et puisque cela fera quatre cartes, dès lors pourquoi pas unifier tout cela puisque la donnée biométrique est unique et donc constitue un outil idéal pour interconnecter des fichiers. Il y a ainsi un glissement quasi-inéluctable quand la biométrie est appliquée aux citoyens vers un support unique. On tend alors vers un régime policier. C’est contre cette tendance que la Ligue des Droits de l’Homme et que DELIS se battent.
M. Christian CABAL
Je vous remercie beaucoup. Pour clore ces présentations, je donne la parole à Monsieur Beland qui est expert sécurité et sûreté de l’Organisation Internationale de l’Aviation Civile (OACI). Nous aurons des explications sur l’origine et le développement des techniques biométriques, qui sont largement utilisées puisque je crois que vous allez nous donner des statistiques sur le nombre de voyageurs aériens et les différents problèmes que cela entraîne.
Débat final
M. Christian CABAL
Je vous remercie pour cette présentation qui vient compléter la journée compte tenu des différents thèmes évoqués, certains un peu rapidement. J’ouvre donc les débats sur l’ensemble de la journée, sans refaire une hiérarchie des différents thèmes parce que finalement plusieurs questions sont transversales, complémentaires ou se superposent. Vous avez la parole.
M. Bernard DIDIER
J’aurais déjà une recommandation à faire : pour la prochaine audition, prévoyez une journée.
M. Christian CABAL
Je réponds tout de suite. C’est la disponibilité des salles de l’Assemblée, liée à des travaux qui commenceront dans quelques jours qui explique cela. Cette salle par exemple, sera fermée pour presque deux ans.
M. Bernard DIDIER
Je voudrais revenir sur les propos tenus avec beaucoup de conviction par Me Alain WEBER sur le thème d’État cavalier. Je ne me sens pas agressé puisque l’objectif de cet après-midi est que chacun des participants fasse connaître l’état de l’art et de la situation. Pour qu’il y ait échange, il faut savoir ce qui se passe. C’est pourquoi nous participons au débat citoyen. Si l’on reprend les termes « État cavalier », en tant qu’industriels, ce n’est pas ce que nous ressentons en France : le couple CNIL/ Administration fonctionne. Un véritable challenge existe sur les problèmes que vous évoquez. Je ne considère pas que des raccourcis soient faits. En tant qu’industriels, nous ne l’avons pas senti. Une véritable interrogation existe sur ces sujets.
Lorsqu’on arrive aux États-Unis, les Américains prennent les empreintes digitales, que l’on ait un passeport biométrique ou pas : on passe une frontière et les règles ne sont plus tout à fait les mêmes.
Vous expliquez que vous êtes inquiets sur l’accès aux données personnelles, j’aurais donc une recommandation à vous faire, et qui serait intéressante à regarder. En matière de biométrie, on parle du match-on-card (MONC) qui consiste à mettre dans une carte des données biométriques qui ne vont pas en sortir. Mais en donnant une information biométrique (empreinte digitale, iris) la carte pourra ou non se déverrouiller pour accéder à des informations pouvant être sensibles. Pourquoi ne pas utiliser la biométrie pour répondre aux inquiétudes que vous exprimiez tout à l’heure pour protéger directement l’ouverture des données du passeport ? Vous voyez, la biométrie peut aussi répondre à des problèmes de protection des données personnelles.
Comme l’a évoqué Monsieur Beland, on constate que les États et les organisations se sont penchées sur la question du déverrouillage du passeport. D’autres États réfléchissent à des mécanismes encore plus compliqués que le basique « access control ». Une véritable réflexion de la part des acteurs pour assurer un équilibre entre protection des données individuelles et sécurité existe. Evidemment la discussion porte sur la position du curseur mais il n’y a pas de raccourci, je n’en ai pas senti.
Me Alain WEBER
Quand je dis que l’État est cavalier, je ne mets pas la CNIL dans l’État. La CNIL est une Autorité Administrative Indépendante, elle n’est pas l’État.
M. Bernard DIDIER
J’évoquais ces échanges, ce challenge sur tous ces sujets, et j’ai le sentiment qu’il fonctionne.
Me Alain WEBER
Votre sentiment est tout à fait respectable. Je ne souhaite pas que la discussion soit perçue comme une agression. J’ai rebondi sur ce que vous évoquiez concernant la possibilité de prendre des images faciales « à la volée », ce qui est un élément qui nous inquiète énormément. Quelles que soient les garanties que vous pouvez prendre ensuite, cette possibilité existe, la technique l’autorise. Je ne peux pas penser que l’on aura toujours une utilisation démocratique de ces éléments captés à la volée.
M. Bernard DIDIER
Si j’ai signalé cet élément, chacun doit le prendre en compte. Monsieur Christophe Pallez connaît depuis longtemps ma position sur le concept de traces qui évolue avec les évolutions technologiques. C’était simplement pour expliquer qu’une évolution technologique a eu lieu. Aujourd’hui, la trace n’est plus ce concept qui dans le passé correspondait à une trace physique qu’on a laissée. La trace devient numérique, vous laissez des traces sur Internet, dans les boites vocales, cela participe du débat … Pour moi, il n’y a pas de bonne ou de mauvaise biométrie, il y a de bons et de mauvais usages. On est ici pour en débattre.
Mme Sophie PLANTÉ
Je voudrais apporter une précision sur une crainte mentionnée par Me Weber, concernant la constitution d’un fichier de population. Dès lors qu’un titre n’est pas obligatoire – et la France est un des rares pays européens dans lequel la carte d’identité n’est pas obligatoire –, on ne peut pas accuser le Ministère de l’Intérieur de vouloir constituer un fichier de population. Globalement aujourd’hui, deux tiers des Français possèdent une carte d’identité. Personnellement, je n’en possède pas. Si on ne veut pas que les données soient utilisées dans le traitement, on peut toujours se passer de carte. C’est un élément fort par rapport à un équilibre à respecter entre la protection des données et la finalité du traitement, recelant potentiellement d’atteintes aux droits des personnes.
Par ailleurs, la première délivrance du document pose une vraie question, et la biométrie n’est pas la solution miracle. Ce problème fait partie des travaux que nous menons et des garanties de procédure que je mentionnais de manière assez succincte, pour faire en sorte de ne pas figer une mauvaise identité lorsqu’on délivrera le premier document.
Me Alain WEBER
A l’origine, le projet prévoyait que la carte d’identité serait obligatoire. Maintenant c’est présumé non obligatoire. Il n’en demeure pas moins que le Sénateur Lecerf explique dans son rapport qu’il ne comprend pas comment on répondra à la finalité de combattre la fraude documentaire, voire accessoirement le terrorisme, en ayant un fichier facultatif. Il y a donc une interrogation.
En prospective, on peut penser que l’État, ne serait-ce que pour des motifs financiers, ne pourra pas gérer deux systèmes à la fois : le système actuel résultant de la carte Pasqua dite infalsifiable à l’époque, et un système biométrique. A court ou moyen terme, il est évident que cette dualité de système sera incompatible, et l’on se dirigera nécessairement vers une unicité de système. D’autant plus si des facilitations de la vie, des accès à des services sont liés à la détention d’un titre biométrique. Ce sera donc une obligation non écrite, indirecte, mais une obligation quand même.
|
