La biométrie : identification des individus à partir de caractères biologiques

La biométrie est une méthode d'identification des individus à partir de
caractères biologiques, dont l'empreinte digitale est la technologie
dominante. De nos jours, la biométrie s'est largement diversifiée et
porte le plus généralement sur le contour de la main, la reconnaissance
faciale, le réseau veineux, l'ADN, l'identification par l'iris ou
encore par la voix.
De nombreuses entreprises, enseignes
commerciales, écoles, mairies, hôpitaux, aéroport, etc. ont déjà
recours à un système biométrique, pour des raisons diverses.
Depuis
2003, date à laquelle l'Office parlementaire d'évaluation des choix
scientifiques et technologiques s'est penché sur la question de la
biométrie, de nombreux rapports, avis et recommandations ont été
publiés par de nombreuses instances (CNIL, CCNE, etc.) afin de poser
des limites au recours à cette technologie, parfois envahissante et
dangereuse pour les droits et libertés individuelles. Les procédés d'identification utilisés

-
moyens de reconnaissance de particularités morphologiques : les
photographies de la face et les empreintes digitales sont maintenant
numérisées facilitant leur stockage et leur accès.
- procédés plus
ou moins fiables et plus ou moins intrusifs : géométrie de la main,
réseaux veineux des doigts et du bras, reconnaissance de la rétine et
de son réseau veineux, et de l'iris.
- reconnaissance de
particularités du comportement : la reconnaissance vocale, de la frappe
au clavier, de la démarche d'un individu.
- méthodes
d'identification par analyse de l'ADN : en principe les
caractéristiques génétiques contenues dans les régions codantes ne sont
conservées et utilisées qu'à des fins médicales ou de recherche
scientifique. Existe t-il des différences majeures entre les systèmes biométriques ?

La
CNIL est très attachée à la distinction des techniques biométriques,
suivant qu'elles laissent ou non des traces. Elle estime, par exemple,
que les empreintes digitales (qui laissent des traces) peuvent être
exploitées pour l'identification des personnes et que toute base de
données d'empreintes digitales est susceptible d'être utilisée à des
fins étrangères à sa finalité première.
D'une manière générale,
elle est défavorable à la création de bases de données d'empreintes
digitales sur les lieux de travail, en l'absence d'un impératif de
sécurité incontestable comme la protection des inventions, la lutte
contre l'espionnage industriel ou encore la lutte contre le terrorisme
(notamment chimique et biologique).
Par contre, elle n'est pas
opposée à la mise en place de dispositifs biométriques qui ne laissent
pas de traces, comme la reconnaissance du contour de la main ou de
l'iris. Il en est de même des dispositifs pour lesquels le gabarit de
l'empreinte digitale est uniquement stocké dans un support personnel,
comme une carte à puce. La biométrie : pour quelle utilisation ?

- carte de fidélité commerciale : stockage de l'empreinte digitale sur la carte de fidélité
- paiement du commerçant : reconnaissance des principaux points de l'empreinte digitale du pouce (Allemagne)
- passer un ordre de paiement ou virement bancaire : identification des veines de la paume de la main (au Japon)
- ouverture et démarrage de la voiture, de l'ordinateur : empreinte digitale
- accès des élèves à la cantine : reconnaissance de la géométrie de la main
- contrôle du temps de travail des salariés : lecteur biométrique du contour de la main et code d'accès
- restriction d'accès à un espace de travail : reconnaissance du contour de la main et code d'accès
- transmission des codes d'accès des employés : reconnaissance du réseau veineux du doigt et de la voix
- pièce d'identité des gens de mers : empreinte digitale traduite sous forme de chiffres dans un code-barre
- passeports, titres de séjours et visas européens : photo et empreintes digitales insérés dans une puce sans contact
- accès aux zones réservées de sûreté des aéroports : reconnaissance de l'empreinte digitale avec carte d'accès individuel
- aéroport et bateaux de croisière : empreintes digitales et photographie numérique du voyageur (Etats-Unis)
- aéroport : puce RFID (sans contact à radiofréquences), empreinte digitale et thermo-impression sur carte (France - programme Pegase) Les risques liés à l'utilisation de la biométrie

Ils
sont divers et varient en fonction de la technologie utilisée. Les plus
souvent cités sont la fraude, l'usurpation d'identité, le détournement
de la finalité de la base de donnée biométrique, le croisement
d'information, l'atteinte à la vie privée. La CNIL veille...

La Commission Nationale Informatique et Libertés est la seule autorité à disposer d'un pouvoir d'autorisation
expresse des dispositifs biométriques sur le sol français. Elle a
publié début 2008 un document contenant les principaux critères sur
lesquels elle se fonde pour autoriser ou refuser le recours à des
dispositifs reposant sur la reconnaissance des empreintes digitales
avec un stockage sur un terminal de lecture-comparaison ou sur un
serveur.
Les dispositifs biométriques ne sont justifiés que s'ils
sont fondés sur un fort impératif de sécurité et satisfont aux quatre
exigences suivantes :
- la finalité du dispositif :
elle doit être limitée au contrôle de l'accès d'un nombre limité de
personnes à une zone bien déterminée, représentant ou contenant un
enjeu majeur dépassant l'intérêt strict de l'organisme tel que la
protection de l'intégrité physique des personnes, celle des biens et
des installations ou encore celles de certaines informations. Il s'agit
par exemple du contrôle d'accès à une centrale nucléaire, à une cellule
de production de vaccins, à un site Seveso II, à un bloc opératoire
dans un CHU, à l'utilisation de matériaux dangereux.
- la proportionnalité :
le système proposé doit être adapté à la finalité préalablement définie
eu égard aux risques qu'il comporte en matière de protection des
données à caractère personnel.
- la sécurité :
le dispositif doit permettre à la fois une authentification et/ou une
identification fiable des personnes et comporter toutes garanties de
sécurité pour éviter la divulgation des données
- l'information des personnes concernées : elle doit être réalisée dans le respect de la loi "informatique et libertés" et, le cas échéant, du Code du travail.