Thèse Professionnelle Mastère spécialisé «Management et Protection des données à caractère personnel» USAGES NON REGALIENS DE LA BIOMETRIE : QUEL EQUILIBRE ENTRE CONFORT ET VIE PRIVEE? Marion BRIQUET - Promotion 2012-2013
Remerciements Je souhaite remercier Carole Pellegrino pour m avoir accompagnée au cours de cette étude.
RESUME Longtemps cantonnée à la sphère policière et étatique, la biométrie est aujourd hui présente dans un grand nombre de secteurs : en milieu professionnel pour le contrôle d accès aux locaux, en milieu scolaire, hospitalier, bancaire Utilisée initialement pour la lutte contre la fraude, la sécurisation du contrôle d accès, ou bien la lutte contre le terrorisme ou l immigration clandestine, de nouvelles applications sont en train de voir le jour, poussées par le progrès technologique. A côté de la biométrie aux fins de sécurité, est en train d émerger une biométrie de confort, destinée au grand public. Son objet est d améliorer l expérience de l utilisateur, voire d apporter une sécurité personnelle aux équipements mobiles et transactions en ligne. La technologie Touch ID sur le nouvel iphone 5S d Apple, les expérimentations menées en France dans le domaine bancaire pour une authentification biométrique des cartes de paiement, la reconnaissance faciale sur les réseaux sociaux (interdite en Europe pour l instant) en sont quelques exemples. La biométrie de confort, sur le point de croître fortement si l on en croit les études de marché réalisées récemment, soulève cependant quelques questions qui seront abordées au cours de cette étude. Tout d abord, le grand public est-il prêt pour une telle utilisation de ses caractéristiques physiques et immuables? Ensuite, quels sont les risques encourus pour la vie privée? Devra-t-on perdre en vie privée ce que l on gagnera en confort? Enfin, des solutions sont-elles envisageables pour accompagner un tel développement tout en préservant les libertés individuelles? Les autorités de protection des données auront-elles un rôle à jouer? La CNIL devra-t-elle faire évoluer sa doctrine? Summary Biometric identification has long been used for police, law enforcement and government applications. However, it is now present in many sectors: access control systems in the workplace, in schools, banks, hospitals Initially used to secure access, to fight against identity fraud, identity theft, terrorism or illegal immigration, biometrics is now being developed for many new applications, thanks to technological progress. A new ground for biometrics is rising: convenience biometrics aimed at the general public. Its objective is to improve user s experience by increasing comfort, convenience and increased personal security for mobile devices or electronic transactions. The Apple s Touch ID fingerprint technology embedded in the iphone 5S, french experiments in the banking sector for biometrics authentication payment systems, facial recognition in social networks (banned in Europe though) are few examples of these new applications. According to recent market studies, convenience biometrics market should grow drastically in the next few years. However, some questions arise, which we will try to answer through this study. Firstly, is the general public ready to use its physical and immutable characteristics in such a way? What are the risks for privacy? Does better comfort necessarily means less privacy for the individuals? What are the possible and existing solutions to support this development in a way that protects privacy? What will be the role of the data protection authorities? Will the French authority, CNIL, change its position and doctrine regarding biometrics?
PLAN Résumé 5 Plan 7 Introduction 9 I. Définitions 11 II. Brève histoire de la biométrie 23 II.1 La période ancienne ou le début de l identification par le corps 23 II.2 La période scientifique : la mesure du corps 24 II.3 La période industrielle : centralisation et automatisation 26 III. La biométrie, une prérogative régalienne? 27 III.1 Usages policiers 27 III.2 Usages institutionnels 28 Titre liminaire Qu est-ce qu un dispositif biométrique? 34 I. Les technologies existantes 34 I.1 Les technologies basées sur les caractéristiques physiques et physiologiques 35 I.2 Les technologies basées sur les caractéristiques comportementales 43 I.3 Les dispositifs biométriques multimodaux 44 II. Le fonctionnement d un système biométrique 46 II.1 Le modèle biométrique 46 II.2 Le système biométrique 46 III. La fiabilité des systèmes biométriques 50 III.1 Pourquoi les dispositifs biométriques ne sont pas infaillibles? 50 III.2 Un système biométrique faillible peut-il être fiable? 50 III.3 Comment améliorer la performance d un dispositif biométrique? 53 Titre Premier Une doctrine européenne se construit dans un marché en pleine évolution 56 Chapitre I Un cadre juridique s établit progressivement 56
I. Les risques liés à la biométrie 56 I.1 Risque d usurpation d identité 57 I.2 Risque de détournement de finalité 57 I.3 Risque de violation des données 58 I.4 risque pour la dignité des personnes vulnérables 58 II. Un cadre juridique européen se met en place 58 II.1 Les autorités de protection européennes Groupe de l article 29 (G29) 59 II.2 Conseil de l Europe 62 II.3 Organisation de Cooperation et de développement économique (OCDE) 64 III. La doctrine de la CNIL : un régime d autorisation 64 III.1 La distinction des technologies «à trace» et «sans trace» 65 III.2 La distinction support individuel / base centralisée 68 III.3 Les autorisations uniques 69 Chapitre II - Un marché en attente 73 I. Essor des dispositifs permettant le contrôle d accès 73 II. Apparition d une biométrie «de confort» autorisée par la CNIL 75 II.1 Usages liés à l identification/authentification 75 II.2 Usages liés à la catégorisation / ségrégation et à l étude du comportement 81 III. Un marché en pleine évolution vers une biométrie de masse 82 III.1 Un marché historiquement dominé par la commande publique 82 III.2 Une biométrie grand public en pleine expansion 84 Titre Second Quel équilibre entre confort et vie privée? 96 Chapitre I Les consommateurs sont-ils prêts à accueillir une biométrie de «confort»? 96 I. Un mouvement associatif actif 97 II. Frilosité du grand public à l égard de la biométrie de confort, analyse prospective 101 Chapitre II Accompagner un développement inéluctable tout en préservant la vie privée 110 I. L encadrement juridique de la biométrie comme solution pour la protection de la vie privée? 110 I.1 Qu en est-il hors de l Union européenne? 111
I.2 La nécessité d un nouveau cadre juridique pour l Europe 112 II. Conception de technologies biométriques protectrices de la vie privée 119 III. La protection de la vie privée passe par la responsabilisation des industriels 127 III.1 La normalisation biométrique 127 III.2 Associations professionnelles, certification et codes de conduite 129 III.3 Information et sensibilisation des personnes concernées 132 Conclusion 135 Annexes 137 Bibliographie 167 Index 171
INTRODUCTION En 1998, James L. Wayman, alors directeur du National Biometric Test Center de l université de San José, témoignait en ces termes devant le Congrès des Etats-Unis : «Il faut noter que presque tous les dispositifs biométriques ont ceci de commun qu ils ne recèlent quasiment pas d informations personnelles. Partant de mon empreinte digitale, vous ne pourrez pas déduire mon genre, ma taille, mon âge ou mon poids. On révèle bien moins d informations en donnant ses empreintes digitales qu en montrant son permis de conduire 1». Pourtant, en raison de sa nature, intrinsèquement liée au corps humain, la donnée biométrique a toujours suscité des inquiétudes et des interrogations. Les instances européennes ont d ailleurs émis nombre d avis et de recommandations afin d analyser les risques posés pour la vie privée et d encadrer quelque peu son utilisation, autour des principes de la Directive 95/46/CE. Leurs recommandations ont été plus ou moins suivies par les gouvernements des Etats membres, qui n ont pas tous prévu de cadre juridique pour la biométrie. De plus, les autorités européennes de protection des données n ont pas une interprétation uniforme des principes énoncés par la directive. A partir de 2004, la France s est en revanche dotée d un cadre juridique basé sur le régime de l autorisation 2. Régime qui a permis à la CNIL de développer une doctrine précise sur l utilisation de la biométrie. Longtemps cantonnée à la sphère policière, la biométrie a ensuite investi le domaine institutionnel, avant d être largement utilisée, depuis une dizaine d années, pour contrôler les accès à certains locaux, en milieu scolaire et professionnel. Les techniques biométriques sont aujourd hui en plein essor et suscitent un vif intérêt, et notamment dans les domaines non régaliens tels que le secteur bancaire, les équipements électroniques, la téléphonie mobile, les réseaux sociaux, le commerce en ligne Ces nouvelles applications sont destinées à un marché grand public, où la biométrie n est plus imposée par un responsable de traitement déterminé souhaitant assurer la sécurité de ses locaux ou lutter contre la fraude, mais proposée au client comme un confort, un moyen d améliorer et de faciliter son expérience d utilisateur tout en sécurisant ses équipements personnels ou ses transactions. Le dernier téléphone iphone 5S, livré au mois de septembre 2013 par la société Apple en constitue le meilleur exemple. Il contient un capteur biométrique permettant à l utilisateur de s authentifier, s il le souhaite, grâce à son empreinte digitale. On parle alors de biométrie «de confort», celle-ci constituera le périmètre principal de cette étude. Cependant, et en raison de leur caractère historique et prépondérant, il sera régulièrement fait référence aux usages régaliens et institutionnels. En 2009, la biométrie représentait un marché d environ 3,5 milliards d euros. Une étude menée en 2013 3 prévoit que le marché mondial de la biométrie devrait atteindre 16,7 milliards de dollars en 2019, tous usages confondus. Que sont ces nouvelles applications? Quels sont les acteurs de ce marché? Quelles sont les technologies et les usages de confort en passe de se développer? 1 (Castle 1998) Irma Van der Ploeg, «Le corps biométrique» in L identification biométrique : champs, acteurs, enjeux et controverses, 2011. 2 Depuis 2004. 3 Biometrics: Market Shares, Strategies, and Forecasts, Worldwide, 2013 to 2019, WinterGreen Research, 2013, http://wintergreenresearch.com/reports/biometrics.htm
Au vu des nombreuses applications déjà existantes de par le monde, dont certaines seront étudiées, la marche vers la biométrie semble inéluctable. Cependant qu en est-il de l opinion publique? Les utilisateurs, clients, usagers, et plus généralement le grand public est-il prêt pour cette nouvelle biométrie de confort? Une interrogation surgit également : le passage vers une biométrie de confort doit-il se faire aux dépens des libertés individuelles et de la vie privée? Existe-t-il des moyens pour obtenir un paradigme à somme positive, selon le terme utilisé par le Dr Ann Cavoukian 4, permettant de renforcer à la fois la vie privée et le confort d utilisation? Comment accompagner le développement inéluctable de la biométrie tout en préservant la vie privée? Quel rôle devra tenir la CNIL pour accompagner ce développement? Devra-t-elle faire évoluer sa doctrine? Enfin, quels moyens envisager afin de créer un environnement propice au développement de la biométrie tout en préservant la vie privée? Des moyens juridiques avec le projet de règlement européen et la définition d un cadre juridique uniforme applicable à la biométrie? Des moyens techniques avec le développement de technologies protectrices de la vie privée dès leur conception (concept appelé privacy by design)? Nous verrons que des projets européens ont été développés en suivant ce concept 5. Ou enfin, faut-il privilégier la corégulation avec le secteur professionnel et le développement de normes européennes et internationales, de standards, de guides de bonnes pratiques, de sensibilisation et information à l égard du public? 4 Commissaire à l information et à la protection de la vie privée de l Ontario. Dans un contexte post 11 septembre 2001, le paradigme à somme positive fait référence aux technologies sécuritaires qui permettent de gagner en sécurité tout en préservant la vie privée. 5 Voir le Projet TURBINE développé plus loin dans cette étude.