Les limites à la mise en place des systèmes biométriques

Une question d’éthique

Environ cent-vingt pays sont aujourd’hui équipés de dispositifs de reconnaissance biométrique. La France est un pays bien représenté dans cette économie par des constructeurs, dont certains comptent parmi les leaders du secteur. Mais ces derniers déplorent le retard de l’Europe et de la France dans le domaine.

Il faut dire que l’Hexagone, dans une tradition ancienne de préservation et de défense des libertés, compte un grand nombre de réfractaires à l’informatisation du corps. Le corps virtuel est en quelque sorte « démembré » et répertorié dans de multiples banques de données.  Le contrôle des personnes par des technologies, comme la biométrie, mises au service de sociétés privées ou publiques, pose des questions éthiques. La CNIL et les citoyens disposent de peu de moyens pour en contrôler l’utilisation et éviter les éventuels abus. Certains scientifiques pointent du doigt l’ouverture de bases de données à un public toujours plus large dans un contexte d’« insécurité juridique ». La Commission européenne n’ayant pas arrêté de politique officielle en matière de biométrie. L’inquiétude repose ainsi sur la protection de la vie privée.

Bon nombre de salariés s’inquiètent que ce type de dispositifs ne soit pas utilisé à des fins de sûreté mais de surveillance. Dans une délibération du 20 septembre 2013, la CNIL a décidé de limiter les finalités de l’utilisation de la reconnaissance du contour de la main. Elle souligne, en particulier, que cette forme d’authentification biométrique ne doit pas servir au contrôle des horaires de travail.

En ce qui concerne l’usage de la biométrie dans la gestion des flux migratoires, le passeport biométrique a lui aussi connu des évolutions : le Conseil d’Etat, par un arrêt du 26 octobre 2011, a limité à deux le nombre d’empreintes enregistrées en base centrale. Ce nombre s’élevait auparavant à huit alors que seules deux étaient enregistrées dans le passeport. La CNIL a alors été chargée de surveiller l’effacement des données supplémentaires stockées de manière abusive.

Un débat est aussi lancé sur les dispositifs biométriques d’identification et d’authentification :

• L’identification est une procédure qui permet de connaître l’identité de l’individu. À partir d’un échantillon biométrique fourni, on répond à la question « Qui est cette personne ? »
• L’authentification est une procédure qui consiste à vérifier, valider l’identité : le dispositif vérifie que l’échantillon biométrique fourni correspond bien à celui désigné par l’identifiant. On pose la question « Cette personne est-elle bien M.X. ? ». Elle permet donc de valider son authenticité.

L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité. Saadi Lahlou (EHESS/CNRS), lors du colloque organisé en janvier 2008 par le GEEST, a insisté sur la nécessité de privilégier, autant que possible, la biométrie en authentification plutôt qu’en identification, la première étant bien sûr moins intrusive que la seconde.  Devant cette méfiance des employés vis-à-vis de la biométrie, le GIXEL (groupement des industries de l’interconnexion des composants et des sous-ensembles électroniques) a rédigé un Livre Bleu à l’intention du gouvernement. Il vise à encourager le développement et la démocratisation du recours aux nouvelles technologies, parmi lesquelles la biométrie.
Mais au-delà des problèmes d’acceptation de cette technologie high-tech par les employés, n’y a-t-il pas d’autres freins ?
 

L’arbitrage coût/efficacité

L’un des freins au développement de la généralisation de la biométrie dans les entreprises n’est autre que son coût. Comme toutes les technologies de pointe, ces systèmes représentent un investissement conséquent pour les entreprises. Investissement qu’elles ne sont pas toutes prêtes à faire comme l’a montré le rapport de la CDSE. De plus, aucun label CNIL n’a été développé autour des matériels biométriques. 
Certains problèmes viennent du fait :

• que les données biométriques ne sont pas par nature confidentielles,
• qu’il est impossible de les changer si elles sont divulguées : on ne peut pas modifier son iris ou la forme de son visage,
• qu’il est difficile de réserver l’usage d’une donnée biométrique à un système informatique donné.

De plus, il s’avère que le corps subit, comme tout organisme vivant, de légères modifications : on vieillit, on subit des traumatismes. Dans ce cas, les mesures changent. Les fabricants cherchent ainsi à diminuer le taux de faux rejets ou FRR (False Rejection Rate) tout en maintenant au plus bas les taux de fausses acceptations ou FAR (False Acceptation Rate). Les FAR consistent à reconnaître une personne qui n’aurait pas dû être acceptée. À l’inverse, les FFR rejettent une personne qui aurait dû être acceptée. Généralement, les erreurs relèvent de la façon dont le système mesure la particularité physique et la marge d’erreur autorisée.

Vers une biométrie de plus en plus performante

La biométrie est un système de sûreté en évolution, en constant perfectionnement. Notons par exemple une des dernières évolutions autorisées par la CNIL dans le cadre de démonstrations, à savoir la reconnaissance de la frappe au clavier. Celle-ci repose sur les variations de la durée séparant la frappe de deux touches d’un clavier lors de la saisie de ses identifiants de connexion.

Les recherches sur la biométrie permettent d’en faire un outil de plus en plus discret et de plus en plus fiable. La miniaturisation conduit les fabricants à proposer des systèmes mieux acceptés par les employés, car moins impressionnants. Un autre axe de recherche concerne la rapidité de capture des données.
Mais surtout, les scientifiques et industriels axent le développement de la biométrie autour de la multimodalité ou « multibiométrie », qui consiste à combiner des reconnaisseurs (voix et visage par exemple) pour améliorer la fiabilité du système global. C’est ainsi que la CNIL a autorisé pour la première fois un dispositif biométrique multimodal reposant sur la combinaison de l’empreinte digitale et du réseau veineux des doigts de la main pour le contrôle d’accès aux locaux sur les lieux de travail. L’usage de deux modalités permet aussi de réduire les taux d’impossibilité d’acquisition. Un tel procédé permet de rendre plus difficile la falsification. Mais il pose quelques problèmes. Dans une mise en œuvre à grande échelle, il est plus coûteux puisqu’il faut plusieurs capteurs.

Par ailleurs, on observe un fort développement de la biométrie 3D (la biométrie faciale 3D par apprentissage des caractéristiques géométriques par exemple) : elle progresse et vient compléter et/ou remplacer la biométrie 2D.

Concernant la problématique de l’évolution du corps, des expérimentations se penchent pour tenter de créer des logiciels capables de tenir compte des modifications que subit le corps humain au cours des années sans avoir à effectuer de nouvelles mesures.

Selon le professeur Emmanuel Alain Cabanis (Président de la Société de Biométrie Humaine) la reconnaissance génétique est amenée, à terme, à devenir la forme idéale de biométrie puisque l’ADN constitue le véritable identifiant d’une personne. Mais L’ADN, en tant que modalité de ce système de reconnaissance, doit encore beaucoup progresser en matière d’automatisation pour obtenir un résultat rapide.