Tablettes, téléphones : Les impacts de la généralisation des nouveaux Dispositifs biométriques sur le droit

Transcription

1 Biometric Alliance Initiative Conférence du 28 Octobre 2014 Euratechnologies ADRIEN JAMMET Ingénieur d'étude CNRS Doctorant en Droit Public CERAPS / UMR 8026 / Université Lille 2 adrien.jammet@etu.univ-lille2.fr Tablettes, téléphones : Les impacts de la généralisation des nouveaux Dispositifs biométriques sur le droit Introduction : Nous constatons aujourd hui une démocratisation et une diffusion sans précédent des dispositifs biométriques portatifs. Ce constat est partagé par le G29, qui dans son avis du 27 avril 2012 sur l évolution des technologies biométriques, fait remarquer que «les technologies biométriques qui nécessitaient auparavant d importante ressources financières ou informatiques sont devenues bien plus rapides et moins onéreuses». Celles-ci fleurissent dans nos téléphones, dans nos tablettes et nos ordinateurs portables, en replacement des habituels mots de passes pour déverrouiller ces appareils. Ce faisant, ces appareils s insèrent dans le quotidien du public qui est amené de plus en plus à avoir un contact direct avec la biométrie. Celle-ci s extrait des velléités sécuritaires décriées par certains, pour s orienter vers une nouvelle offre de service à destination des consommateurs, faisant resurgir le débat éternel entre les avantages apportés et les risques de dérives au regard du respect de la vie privée. Ici, il est nécessaire d appréhender de la même manière l ensemble des algorithmes et capteurs biométriques sans distinguer les données utilisées. Bien avant le capteur embarqué d empreintes digitales de l iphone, le système Android de Google permettait de déverrouiller son téléphone en se servant de la caméra frontale de l appareil. Pour ce dernier, il s agit bien d une donnée biométrique comme le rappelle l avis du G29 en date du 22 Mars 2012 sur la reconnaissance faciale dans le cadre des services en ligne et mobiles : «Par définition, un modèle de référence créé à partir de l image d une personne relève aussi des données à caractère personnel, dès lors qu il contient un ensemble de caractéristiques distinctives du visage, qui sont associées à un individu en particulier et conservées pour servir de référence en vue d une comparaison ultérieure dans le processus d identification et d authentification de vérification». Cette donnée personnelle issue des caractéristiques corporelles de l individu est bien biométrique. 1

2 Dans ce contexte, il est opportun de s interroger sur la réaction des CNILs Européennes face à cette prolifération. La première et la plus équivoque des réactions, est celle de Johannes Caspar, commissaire à la CNIL allemande qui dans Der Spiegle déclare «Fournir une spécificité biométrique non-modifiable, sans autre raison que le fait qu elle apporte un peu de confort dans l utilisation quotidienne, est quelque chose de mal avisé et de stupide». Il dénonce ainsi l utilisation d une technologie critique au regard de la vie privée au sein de services qui ne nécessitent pas, selon lui, une telle immixtion. Sans discuter de la pertinence d un tel jugement, on peut objectivement relever les difficultés que soulèvent ces technologies par rapport à la doctrine habituelle de la CNIL. Dans sa communication du 28 Janvier 2007, celle-ci considérait «que le recours aux données biométriques doit répondre à une nécessité à priori exceptionnelle, justifiée, et être entouré de garanties sérieuses». Cela s explique par le niveau de criticité que représente la donnée biométrique par rapport à une autre information. Tout d abord, on peut craindre pour la sécurité de la donnée, rendue «lisible par une machine, et sujettes à une utilisation ultérieure», comme le souligne le G29 (dans son avis ). «Si le risque est bien connu et géré dans la biométrie traditionnelle, il ne fait aucun doute que le potentiel technique plus élevé des nouveaux systèmes informatiques présente le risque que les données soient utilisées pour des finalités incompatibles avec leurs finalité initiale». De plus, il existe un impact considérable sur la révocabilité. La donnée issue du corps y reste attachée, et si on peut facilement changer un mot de passe corrompu, il sera bien plus difficile de changer une empreinte digitale. Dans le cas d un piratage d une base de données biométriques, le pirate pourra théoriquement obtenir l accès à l ensemble des dispositifs et services associés. Cela va justifier un régime juridique protecteur fort, et la nécessité d obtenir une autorisation pour procéder au traitement. Toutefois, aucune autorisation n a été émise concernant ces traitements. Dès lors, comment se fait-il que ces dispositifs échappent au système de contrôle et d autorisation à priori de la CNIL? Pour répondre à cette question, nous verrons que ces capteurs se logent dans les interstices du régime applicable aux traitements de données biométriques (I), avant de qualifier ce phénomène d engrenage technologique qui induit une évolution du droit (II). 2

3 I) Un capteur logé dans les interstices du régime applicable aux traitements de données biométriques a. L applicabilité du régime d autorisation des traitements biométriques Sans énoncer les définitions classiques de données personnelles et données biométriques, nous rappellerons succinctement que le recours à un dispositif biométrique est en principe soumis au régime d'autorisation de la CNIL. Selon l article 25 8 de la loi informatique et liberté, cela s applique à tous les traitements automatisés comportant des données biométriques nécessaires au contrôle de l identité des personnes. Dans sa communication du 28 Juin 2010, la CNIL précise que «Lorsqu'un service sur téléphone mobile est assuré par une entreprise située en France, celle-ci doit se conformer à la loi Informatique et Libertés et la CNIL peut notamment contrôler cette entreprise». Dès lors, l applicabilité du régime à ces nouveaux dispositifs semble caractérisée. Celui-ci se décompose en deux régimes d autorisation distincts en fonction de la finalité. Le premier, se base sur l édition d autorisation unique par la CNIL, applicables à différentes entités pour des dispositifs similaires. Ainsi, afin de facilité et fluidifier l examen des demandes, la CNIL a prévu un certain nombre de situations dans lesquelles il n est pas nécessaire de faire une demande spécifique pour un dispositif qui serait conforme à une autorisation unique déjà publiée. Le responsable de traitement sera simplement tenu de faire une déclaration de conformité. Ces dernières correspondent à des dispositifs précis utilisés dans un cadre définis, cependant, leurs nombres ne cesse de croitre et couvre déjà un grand nombre d utilisations. En ce qui concerne les appareils présents dans les tablettes et les Smartphones, ceux-ci auraient pu se rapprocher de deux autorisations uniques déjà édictées, et dont l étude nous sera précieuse par la suite. La première, l autorisation unique «n AU-027 du 10 mars 2011 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle de l'accès aux postes informatiques portables professionnels», nous décrit un système très proche. Celle-ci s applique à des postes informatiques intégrant des lecteurs d'empreinte digitale qui sont sous le contrôle exclusif et personnel de l'utilisateur à qui il a été confié. Le gabarit de l'empreinte digitale de la personne concernée est exclusivement enregistré sur le poste informatique portable détenu par elle seule et dont le contenu ne peut être lu à son insu. De plus, l enrôlement ne peut être effectué que sur le poste informatique portable de l'utilisateur, si besoin avec l'aide des personnes habilitées du service en charge de la sécurité informatique. Enfin, il est précisé qu à aucun moment, le gabarit de l'empreinte digitale ne circulera sur un réseau. On voit immédiatement que l on se rapproche d un raisonnement juridique qui pourrait être similaire vis-à-vis des lecteurs d empreintes présent sur les terminaux des utilisateurs. Et pourtant ici, la CNIL va considérer que le responsable de traitement est bien l organisme public et privé qui met en œuvre un tel dispositif. L explication la plus probable résidera ici dans la décision d utiliser de tels outils, qui ne peut provenir du salarié uniquement. Utilisé dans un contexte professionnel, l utilisation de ces outils ne saurait être personnelle. 3

4 La seconde autorisation unique qui se rapproche de ces nouveaux outils est celle du 27 avril 2006 sur la mise en œuvre de dispositifs biométrique reposant sur la reconnaissance de l empreinte digitale, exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l accès aux locaux sur les lieux du travail. Sans revenir sur le raisonnement qui sera similaire, nous sommes une nouvelle fois en présence d un dispositif de traitement dont la donnée est presque entièrement gérée par l utilisateur. Et pourtant, cela nécessitera une déclaration de conformité de par son utilisation en milieu professionnel. Pour autant, ces exemples qui se rapprochent ne saurait correspondre exactement à ces nouveaux outils, qui ne peuvent être considérés comme des ordinateurs professionnels, ni des dispositifs destinés au contrôle d accès. Dès lors, une autorisation spéciale sera théoriquement nécessaire, caractérisant la seconde partie de ce régime. Ainsi, lors de l analyse de ce type de demande, la CNIL va se référer à quatre critères : la finalité du traitement, la proportionnalité entre la finalité et les risques en matière de protection des données et de la vie privée, la sécurité, l information des personnes concernées. Sur la base de ces critères, la CNIL a strictement encadré le recours à la biométrie pour d autres usages que ceux définis dans ses autorisations uniques. Elle a, en particulier, subordonné la création d une base centralisée de données d empreintes digitales à un "fort impératif de sécurité". De fait, si le recours à l empreinte digitale, technique "à traces", est très performant en matière d identification des personnes, cette technique demeure risquée en termes d usurpation d identité, ce qui justifie que son usage soit encadré. Cependant, aucune autorisation n a été émise concernant les dispositifs biométriques contenu dans les Smartphones et autres tablettes, grâce au recours à l exception d utilisation exclusivement personnelle. b. Le recours à l exception d utilisation exclusivement personnelle Présent dans l article 2 de la loi de 1978, cette exception s applique aux «traitements mis en œuvre pour l exercice d activités exclusivement personnelles». Pour autant, ces contours restent relativement incertains. Cette qualification peut être habituellement opposée à celle d utilisation professionnelle, dans le cadre de laquelle un régime particulier touchant au salarié est consacré. Pour autant, elle ne saurait justifier l utilisation de la biométrie à grande échelle par le simple fait que le dispositif est entre les mains de l utilisateur. Un certain nombre de critères doivent dès lors être analysés, principalement au regard de la grille d analyse de la CNIL sur les dispositifs biométriques. Celle-ci est essentiellement décrite dans la Communication de la CNIL du 28 décembre 2007 relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données. Qui a été largement reprise dans les débats qui ont entourés la loi sur le passeport biométrique. Cette grille correspond essentiellement aux critères de proportionnalité et de finalité des traitements. Cependant, avant même de s y attacher, la CNIL a développé une méthode permettant d évaluer et de définir le système avant d y appliquer ces principes. 4

5 Tout d abord, une première distinction sémantique existe entre authentification et identification. L authentification revient à vérifier l adéquation entre la donnée présentée et le gabarit de l empreinte enregistré dans le dispositif. C est un mécanisme qualifié de mode 1 contre 1, puisqu une seule donnée est présente dans le lecteur. L identité de l individu n est pas forcément attaché au gabarit stocké, et la CNIL va considérer que les risques de dérives, visant à utiliser le dispositif pour identifier et tracer une personne à son insu sont, à l évidence, limités. Dans le cas de l identification, on va rechercher à partir de l empreinte présenté la personne correspondant. L appareil recherche s il existe un gabarit correspondant dans la mémoire du terminal. On parle alors de mode 1 contre N, puisque l empreinte va être comparée à toutes celles qui sont stockées dans le système. Ce type de procédé est plus intrusif au regard de la protection des données dans la mesure où il implique nécessairement un stockage de plusieurs identités dans l appareil. C est un critère essentiel lors de son analyse, puisqu il indique avec certitude la méthode de conservation des données. Ainsi, dans le cadre de son avis du 11 décembre 2007 sur le passeport biométrique, elle rejetait une conservation des données à des fins d identifications : «si légitimes soient-elles, les finalités invoquées [par les auteurs du décret] ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle». L institution «tient» toutefois «à rappeler qu elle considère comme légitime le recours, pour s assurer de l identité d une personne, à des dispositifs de reconnaissance biométrique dès lors que les données biométriques sont conservées sur un support dont la personne à l usage exclusif.». On comprend donc qu elle va regarder d un œil favorable une solution qui sera basée sur l identification avec stockage dans le terminal personnel de l utilisateur, tel que celle présente dans les Smartphones et tablettes, hors contexte professionnel. Le critère central va donc être celui de la maitrise de la donnée. Dans sa communication du 28 décembre 2007 la CNIL indiquait que «dans le cas d un stockage sur un support individuel exclusivement détenu par la personne concernée, la personne a la maitre de sa donnée biométrique». C est donc à la fois la modalité de comparaison de la donnée (identification ou authentification) ainsi que l emplacement physique du stockage de l empreinte qui vont déterminer la capacité de l utilisateur à maitriser sa donnée. Ici encore, la sémantique va être déterminante. On parle de support individuel, que la CNIL précise comme pouvant être une carte à puce ou une clé USB par exemple. A l inverse, elle définit le stockage sur un support non individuel comme étant réalisé sur un terminal ou un serveur. Cette maitrise de la donnée dépasse donc le simple mode de conservation pour s attacher à la maitrise de la sécurité physique du dispositif. Même si cela reste discutable, cette distinction semble accompagnée d une référence non explicite à la capacité de l utilisateur à protéger presque physiquement sa donnée. Une maitrise physique incomparable avec un stockage dans un terminal externe qu on imagine plutôt comme une borne qui pourrait être attaquée en son absence. Cependant, comme l on a vu dans notre exemple sur l autorisation unique portant sur les ordinateurs portables, la seule modalité de stockage ne permet pas de faire rentrer le dispositif dans l exception d utilisation personnelle. En ce qui concerne les ordinateurs portables professionnels munis d un dispositif biométrique, on va considérer que le responsable de traitement est l entité légale ayant pris la décision de l implémenter. 5

6 Cela veut dire ici, que pour rentrer dans cette exception d utilisation exclusivement personnelle avec maitrise de la donnée, il faut aussi que cette décision soit prise à titre individuel en plus de circonscrire le périmètre de l utilisation à une unique finalité. Une fois stockée, la donnée ne pourra en aucun cas être utilisée pour une finalité différente de celle de l identification pour le déverrouillage du terminal. Dans le cas de l iphone, Apple a mis en place une spécification technique appelée «secure enclave» pour éviter de répondre à un problème technique par une solution uniquement logicielle. Cette solution est basée sur le système TrustZone de ARM, permettant un isolement vis-à-vis du système du lieu de stockage de la donnée. Celle-ci est a priori contrôlable uniquement par l utilisateur et ne pourrait être extraite. Il est aisé d imaginer qu un tel système renforce le critère relatif à la maitrise de la donnée, permettant de rentrer dans l exception prévu par le régime. De ce point de vue, et en cas d utilisation du dispositif pour d autres objectifs, il est nécessaire de rappeler l Avis 2/2013 sur les applications destinées aux dispositifs intelligents adopté le 27 février 2013 par le G29. Ainsi : «Le développeur d applications conserve son statut de responsable du traitement dès lors qu il traite les données pour ses propres besoins». Dans cette éventualité, nous sortons de l exception d utilisation personnelle et une autorisation spéciale devra être demandée auprès de la CNIL. Dans le cas contraire, et en complément des sanctions applicables, nous pouvons préciser que toute opération qui serait basée sur ces traitements pourrait avoir un objet illicite et déclaré nulle, à l instar de la décision du 25 juin 2013 de la chambre commerciale de la Cour de Cassation. II) Un phénomène d engrenage technologique qui induit une évolution du droit a. La mise à jour de la doctrine de la CNIL Avec l arrivé des Smartphones et autres tablettes, les possibilités décuplées d enregistrements et de captures vidéo semblent amener la CNIL à opérer une refonte de ses critères d analyses. Aujourd hui, celle-ci fait une distinction en terme de criticité de biométrie, selon si le dispositif se base sur une biométrie dite «à trace» ou «sans trace». Les dispositifs biométriques "à traces" correspondent principalement aux les empreintes digitales et palmaires. On les appelle "à traces" car les personnes les laissent à leur insu sur tous les objets qu elles touchent. Le risque de ces techniques réside dans le fait que ces traces peuvent éventuellement être capturées et reproduites à l insu des personnes (fabrication d un faux doigt ). A l inverse, les dispositifs biométriques «sans traces» vont correspondent au contour de la main, au réseau veineux des doigts, au visage ou à l iris. De par la difficulté supposée de les enregistrer sans le consentement de la personne, la CNIL les jugeait moins critiques en termes de risque pour la vie privée. Pourtant, poussé par l évolution des technologies, une nouvelle doctrine semble se dessiner à travers le rapport du sénateur François Pillet (Rapport n 465, déposé le 16 Avril 2014), et dans le cadre de la proposition de loi visant à limiter l usage des techniques biométriques. D abord, un abandon prochain de la distinction entourant les techniques biométriques dites «à trace» et «sans trace», en réponse à la «faiblesse de cette summa divisio» selon le sénateur. La distinction future devrait s appuyer sur trois catégories différentes. 6

7 Une première concerne la «biométrie de sécurité», identifiable lorsque cette technologie apparait indispensable pour répondre à un besoin de sécurité physique ou logique d un établissement. Les utilisateurs n auront donc pas le choix d être les cibles d un tel système, et puisqu aucun dispositif alternatif n est disponible (sauf de secours exceptionnel). En contrepartie, leur information sur les conditions d utilisations devra être complète. Une seconde catégorie concernera la «biométrie de service», qui pourra être utilisée dans un but sécuritaire (non indispensable) pour l accès à un site. Cette catégorie repose sur le libre consentement des utilisateurs, par conséquent, un dispositif alternatif doit être proposé sans contrainte ni surcout. Enfin, une dernière catégorie concerne les expérimentations, qui recevront une autorisation par défaut établie à un an sauf spécificités. Ainsi, selon le rapport, les critères seront définis comme ci-dessous : Synthèse des critères applicables aux biométries «de sécurité» et «de service» Biométrie de sécurité Confidentialité des données garantie par une analyse de risques obligatoire Absence de dispositif alternatif Absence de consentement Information des personnes sur l'objectif de sécurité (démontré par une analyse de risques) et l'absence de dispositif alternatif Biométrie de service Confidentialité des données garantie par un stockage soumis à des exigences techniques et organisationnelles minimales Dispositif alternatif obligatoire Nécessité d'un consentement Information renforcée des personnes : sur l'existence d'un dispositif alternatif sur la possibilité de choisir librement le dispositif biométrique ou un autre 7 b. Une immixtion du régime au cœur des processus industriels Ces évolutions entrainent des changements dans la responsabilité liée aux processus et à la conformité des produits et services. C est un phénomène général de glissement observé en Europe, partant d une responsabilité continentale, vers une responsabilité de compliance issue du droit anglo-saxon. Ainsi, avec le nouveau règlement adopté en première lecture par le Parlement Européen le 12 mars 2012, il sera nécessaire d effectuer des analyses de risques et des analyses d impact sur la vie privée pendant la fabrication des appareils.

8 Dans ce sens, la communication du 27 avril 2012 du G29 recommande déjà que les systèmes biométriques soient conçus en suivant des «cycles de développement» officiels qui se décomposent comme suit: 1. spécification des exigences sur la base d une analyse des risques et/ou d une évaluation spéciale de l impact sur la vie privée; 2. description et justification de la manière dont le projet répond aux exigences; 3. validation par le biais de tests fonctionnels et de sécurité; 4. vérification du respect du cadre réglementaire du projet final. Cet élan général s accompagne d une définition de plus en plus technique des besoins de la vie privée. D ici peu de temps, une attention particulière devra être apportée aux recommandations issues des principes de Privacy By Design et de Protection By Design afin d incruster ces questionnements au cœur des processus industriels. Ces principes vont directement toucher la relation qu entretiendra le client avec ces services, en renforçant notamment les droits d information et d accès associés aux sujets du traitement en permettant leur prise en compte dès la phase de conception. En complément, certains textes apportent des précisions techniques en matière de normes de sécurité minimales auxquelles devront répondre les objets de la nouvelle génération. Ces précisions vont non seulement toucher la structure même des bases de données (avec une distinction nette entre lien faible et lien fort), mais également le type de chiffrement utilisé. Sur ce point, il sera particulièrement intéressant de suivre l évolution de la réforme de la directive 95/46/CE à travers la proposition de règlement récemment votée, qui devrait apporter l essentiel des spécifications techniques applicables. 8