Biométrie : la CNIL finit d'enterrer les principes de la loi Informatique et Liberté
Par yves le vendredi, juin 2 2006, 08:52 - Informatique et liberté - Lien permanent
La C.N.I.L vient de décider de trois autorisations uniques pour certaines utilisations de la biométrie.
Ces décisions oublient les principes de la loi Informatique et Liberté et minimisent les problèmes de sécurité de l'accès aux données. Elles vont participer à la mise en péril de la vie privée et des libertés individuelles en facilitant l'acceptabilité de la biométrie.
Rappels sur la loi Informatique et liberté, la C.N.I.L, et explications.
{toc}
Les garanties de la loi et le rôle de la CNIL.
La commission nationale de l’informatique et des libertés, plus connue sous le sigle C.N.I.L., «veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions» de la loi Informatique et Liberté.
Voici quelques une des dispositions de cette loi:
- Dans son article premier, on apprend que l'informatique ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
- L'article deux définit les informations personnelles, et je ne vous étonnerai probablement pas en précisant que les données biométriques en font partie.
- L'article 6 précise les conditions pour que des données puissent être collectées, notamment:
- Art 6 2° : 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
- Art 6 3° : Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
- Art 6 5° Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
- Enfin l'article onze précise le rôle de la C.N.I.L. :
- Art 11 1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations ;
- Art 11 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi. A ce titre :
- b) Elle établit et publie les normes mentionnées au I de l’article 24 et édicte, le cas échéant, des règlements types en vue d’assurer la sécurité des systèmes ;
Les autorisations uniques pour la biométrie
Extrait du site de la C.N.I.L.:
Qu'est-ce qu'une autorisation unique ?
Certains fichiers ou traitements de données personnelles sensibles ou à risques, qui visent une même finalité et des catégories de données et de destinataires identiques, sont autorisés par la CNIL au travers de décisions-cadre, appelées autorisations uniques. Si votre traitement est conforme à l’une de ces autorisations vous pouvez effectuer une déclaration de conformité.
En bref il s'agit d'avoir juste à déclarer qu'une utilisation est conforme à l'autorisation unique pour pouvoir effectuer le traitement, sans avoir à attendre une délibération.
Les autorisations uniques pour la biométrie qui viennent d'être décidées concernent:
- Le contrôle de l’accès au restaurant scolaire grâce à un dispositif de reconnaissance du contour de la main.
- La gestion des contrôles de l’accès physique à l'entrée des lieux de travail ou certaines zones de ceux-ci grâce à l’utilisation de reconnaissance des l’empreintes digitales avec enregistrement de celles-ci sur un support individuel.
- La gestion des horaires et des contrôles d’accès aux locaux ainsi qu’au restaurant d’entreprise ou administratif grâce à un dispositif de reconnaissance du contour de la main.
Voyons en quoi ces autorisations uniques pour la biométrie posent problème.
Une utilisation non excessive au regard des finalités ?
Si la finalité de la deuxième autorisation, utilisant les empreintes digitales enregistrées sur une carte à puce, est purement sécuritaire, les autres autorisations ont plutôt une finalité de gestion (gestion des temps de travail et de la restauration) sortant du cadre de la sécurité.
L'argument couramment avancé dans le cadre de la restauration scolaire est la perte des cartes magnétiques (couramment utilisées) par les enfants et les problèmes cela implique. Je m'interroge sur la pédagogie qui consiste à employer des moyens disproportionnés au lieu de responsabiliser des élèves que l'école est supposée transformer en citoyens. Ce n'est pas en infantilisant les adolescents qu'on leur offre les meilleures chances de devenir des adultes responsables.
Poser la question de cette finalité, c'est aussi rappeler que les données biométriques constituent une identification non révocable. Cette caractéristique des données biométriques devrait limiter strictement leur utilisation aux besoins de sécurité réels, et pas à la gestion du temps de travail ou des factures de restauration. C'est bien la finalité de la biométrie elle-même qu'il faut mettre en question.
Que quelqu'un tombe dans 10 ans sur un fichier ayant servi à votre entrée dans votre entreprise n'est trop pas grave sauf si le fichier permet de contrefaire votre identitée. C'est tout le problème d'une identitée basée sur une empreinte biométrique. Dans 10 ans cette empreinte sera toujours valable, et votre nouvelle entreprise verra sa sécurité menacée si elle utilise aussi ce genre d'empreinte. L'authentification biométrique est une mauvaise idée en terme de sécurité, entre autres parce qu'une authentification doit être révocable. Si une carte bleue peut facilement être révoquée, annulée, et si on peut en faire une nouvelle avec un code différent, il n'en va pas tout à fait de même avec une empreinte digitale. On peut changer la carte mais pas vos empreintes digitales.
La finalité est discutable y compris lorsqu'il s'agit de sécurité, mais la C.N.I.L. ne s'embarrasse pas avec ce genre de considération. Ces autorisations ne font qu'officialiser son opinion vis à vis de la biométrie, dans laquelle elle distingue entre les caractéristiques physiques « laissant des traces » dans la vie quotidienne (empreintes digitales, ADN...) et les autres, comme le contour de la main. Seules les premières ont droit à une limitation de leur utilisation, et cette limitation n'est guère satisfaisante.
Poser la question de la finalité, c'est aussi poser la question de l'adéquation de la technique avec la finalité affichée. Dans le cas de la restauration scolaire, la biométrie ne dispense pas d'un contrôle physique à l'entrée: il faut bien vérifier que l'élève qui pose la main dans le lecteur biométrique est le même que celui qui remplit son plateau, sous peine de voir se développer une forme de racket à l'entrée de cantine, et il faut autoriser le passage des élèves pour lesquels la reconnaissance biométrique ne marche temporairement pas, par exemple si la main a été blessée.
Si la biométrie permet d'économiser sur la confection des cartes magnétiques, elle ne permet donc aucune économie en personnel. Comme le coût de ces machines et leur maintenance promet d'être important (haute technologie oblige) l'adéquation de technique avec la gestion de la restauration scolaire mérite d'être discutée sérieusement.
La sécurité des systèmes assurée ?
La C.N.I.L. édicte, le cas échéant, des règlements types en vue d’assurer la sécurité des systèmes (Art 11 2° b). Si un type de données personnelles mérite une sécurisation particulière, c'est bien la biométrie.
Voici ce que précisent les trois autorisations uniques sur cette question. La formulation est identique, il s'agit de l'article 5 de l'autorisation unique concernant la restauration scolaire, de l'article 6 pour les deux autres:
Mesures de sécurité
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et, notamment pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
Les accès individuels au traitement s’effectuent par un identifiant et un mot de passe individuel, régulièrement renouvelé, ou par tout autre moyen d’authentification.
Une formule aussi magnifiquement pleine de creux sert juste à renvoyer la responsabilité de la sécurisation de ces données au responsable qui en a la responsabilité, charge à lui de s'assurer du résultat. Cela revient à ignorer la volonté du législateur qui donne à la C.N.I.L. un rôle de règlementation en ce domaine.
C'est un peu court, voyons donc ce qu'il eut été possible de dire en terme de sécurité.
Sécurité des cartes contenant les empreintes digitales
La carte en question peut facilement être à puce. Les cartes à puces sont utilisées depuis longtemps par les banques, leurs algorithmes et leurs limites en terme de sécurité sont bien connus. On peut donc s'en inspirer.
Dans le cas des cartes bancaires, lorsque vous payez et que vous entrez un code dans le terminal de paiement, c'est la carte (sa puce) qui reçoit le code, lui fait subir un traitement approprié et compare le résultat à la valeur stockée dans sa mémoire. Le code n'est pas stockée en mémoire, et il est réputé impossible de retrouver le code à partir de la valeur stockée en mémoire[1].
Il eut donc été possible à la C.N.I.L. d'exiger que les données biométriques stockées dans les cartes soient hashées de manière fiable, afin d'interdire toute utilisation ultérieure en dehors de l'authentification par la carte. Ce qu'elle n'a pas fait.
Notons que l'exemple des cartes bleues est là pour nous rappeler que la sécurité absolue n'existe pas, et que la question n'est pas de savoir si les pirates arriveront à contourner les protections, mais quand.
Sécurité des données biométriques en général
Si transformer les mesures biométriques en valeurs hashées ne permettant pas de reconstituer la source est possible pour les cartes à puces, c'est aussi possible pour les autres systèmes. La C.N.I.L. pourrait faire une règle générale de la nécessité de traiter ainsi les valeurs issues de la mesure du corps. Cela ne nuirait pas à l'authentification, il suffit de comparer les valeurs issues du hashage, et assurerait une sécurité minimale aux données issues de la biométrie.
Pas d'atteinte à la vie privée ?
La C.N.I.L. considère que ces autorisations uniques apportent des garanties suffisantes sur l'absence d'atteintes à la vie privée et aux libertés individuelles. Pourtant, en repoussant les questions de finalité et d'adéquation, ces décisions renforcent la généralisation de la biométrie dans nos sociétés, généralisation dont il est établi que le but est de favoriser l'acceptabilité de quelque chose «qui est vécu comme une atteinte aux libertés individuelles». la parfaite adéquation de l'autorisation unique sur la restauration scolaire de la C.N.I.L. avec le livre bleu du GIXEL avant sa rectification mérite une citation:
Plusieurs méthodes devront être développées par les pouvoirs publics et les industriels pour faire accepter la biométrie. Elles devront être accompagnées d’un effort de convivialité par une reconnaissance de la personne et par l’apport de fonctionnalités attrayantes :
. Éducation dès l’école maternelle, les enfants utilisent cette technologie pour rentrer dans l’école, en sortir, déjeuner à la cantine, et les parents ou leurs représentants s’identifieront pour aller chercher les enfants. . Introduction dans des biens de consommation, de confort ou des jeux : téléphone portable, ordinateur, voiture, domotique, jeux vidéo . Développer les services « cardless » à la banque, au supermarché, dans les transports, pour l’accès Internet, …
Ces décisions mettent en péril la vie privée parce qu'elles vont faciliter la généralisation et l'acceptabilité de ces technologies potentiellement dangereuses. Et la C.N.I.L. est supposée garantir le contraire, justement en posant la question de la finalité et de l'adéquation. Il ne reste vraiment plus grand chose de l'esprit de la loi de 1978.
Notes
[1] le passage du code à la valeur stockée, ou hashage, est dit «asymétrique»
