Publications | Fiches point de vue

La biométrie comme méthode d'authentification : enjeux et risques

Reconnaissance faciale ou par empreintes digitales, les techniques fondées sur la biométrie bénéficient à l'heure actuelle d'un engouement général favorisé par un phénomène de mode. Dans certains pays, l'utilisation de la biométrie a été présentée comme une solution miracle pour lutter contre la criminalité. Ainsi, lors d'une manifestation sportive organisée en Floride en janvier 2001 (Super Bowl), la biométrie avait été associée à la vidéosurveillance pour reconnaître, dans la foule, des visages de délinquants recherchés par les autorités locales. Cette utilisation avait alors été fortement critiquée par les associations de protection des libertés individuelles. En France, les dangers des techniques biométriques sont encore peu perçus.

La biométrie est une technique visant à établir l'identité d'une personne en "mesurant" une de ses caractéristiques physiques.

Ces nouvelles techniques d'identification, du fait de leurs perspectives de développement, doivent présenter des garanties certaines au regard notamment de la protection de la vie privée, de la confidentialité des données personnelles collectées et de la fiabilité du système de reconnaissance employé.

1. Les caractéristiques d'un système biométrique

a. Qu'est-ce que la biométrie ?

La biométrie est définie en France comme la science permettant l'identification d'individus à partir de leurs caractéristiques physiologiques ou comportementales.

Ces caractéristiques doivent être universelles (exister chez tous les individus), uniques (permettre de différencier un individu par raport à un autre), permanentes (autoriser l'évolution dans le temps) collectables (enregistrer les caractéristiques d'un individu avec l'accord de celui-ci) et mesurables (autoriser une comparaison future).

Les techniques biométriques peuvent être classées en trois catégories :

En pratique, un échantillon de la caractéristique biométrique d'un individu est capté, entré dans un ordinateur et sauvegardé dans une base de données pour une comparaison future.

Parmi les différentes techniques biométriques, certaines se révèlent plus précises, fiables et probantes que d'autres.

Il en est ainsi des procédés d'identification par l'iris et la rétine puisque chaque individu (même des jumeaux) possède un iris et une rétine différents.

La biométrie reposant sur la reconnaissance de données, la difficulté porte alors sur le niveau de performance du système mis en place.

En effet, ce niveau de performance est apprécié au regard de la fréquence statistique des erreurs relevées dans ses deux composantes essentielles qui sont la non-reconnaissance d'un individu qui aurait dû être reconnu (False Reject Rate ou FFR) et la reconnaissance à tort d'un individu qui n'aurait pas dû être reconnu (False Acces Rate ou FAR).

Pour l'heure, la biométrie présente encore un inconvénient majeur qui est celui de son coût.

b. La biométrie : pourquoi faire ?

Le principal enjeu de l'utilisation des techniques biométrique est l'authentification des personnes. Dans un tel cadre, la biométrie peut être source de difficultés en l'absence de solution fiable à 100%.

La biométrie permet d'associer une personne à une identité.

La biométrie est susceptibles de plusieurs types d'applications, notamment :

  • l'accès à des locaux et systèmes informatiques

Les données biométriques peuvent être exploitées pour autoriser l'accès de certains personnels, comme le personnel de nettoyage, ou l'accès à certains locaux sécurisés.

L'utilisation de la biométrie permet de même de remplacer les identifiants et mots de passe nécessaires pour accéder à des réseaux informatiques comme Internet ou l'Intranet/Extranet d'une entreprise pouvant contenir des informations hautement confidentielles.

  • la signature dynamique

Fondée sur l'utilisation d'un moyen biométrique, la signature dynamique ne constitue qu'un mécanisme particulier de signature électronique.

Toutefois, à la différence de la signature électronique fondée sur la cryptographie à clés asymétriques, la signature dynamique permet de garantir de façon quasi-certaine l'identité d'une personne.

Dans ces conditions, son utilisation dans le cadre du commerce électronique pourrait se révéler d'une grande utilité.

2. L'état du droit

a. L'absence de reconnaissance juridique de la biométrie

A l'heure actuelle, l'utilisation des systèmes biométriques ne fait pas l'objet d'un régime juridique.

La CNIL, dans le cadre de son rapport annuel d'activité présenté au mois de juillet dernier, a fait part de sa position sur les différentes techniques biométriques et les dangers découlant de leur utilisation.

La CNIL considère qu'un élément d'identification biométrique ou sa traduction informatique sous forme de gabarit constitue une donnée à caractère personnel entrant dans le champ d'application de la loi "informatique et liberté" au même titre que d'autres données personnelles (nom, adresse, etc.).

Dans ces conditions, la conservation ou le stockage des éléments d'identification biométriques s'apparente à la conservation d'une base de données et relève, en conséquence, de l'ensemble de la législation sur la protection des données.

Plus particulièrement, la constitution de bases de données doit respecter les principes clés de finalité et de proportionnalité.

b. Les perspectives d'utilisation des techniques biométriques

Au regard de ce qui précède, la CNIL formule plusieurs propositions destinées à encadrer l'utilisation des techniques biométriques :

Les technologies de reconnaissance biométriques qui ne reposent pas sur le stockage d'éléments d'identification biométrique dans une base de données ne soulèvent pas de difficultés particulières au regard de la loi "informatique et liberté", dès lors que l'élément d'identification biométrique est conservé sur soi (sur une carte à puce, etc.) ou sur un appareil dont on a l'usage exclusif (téléphone portable, appareils nomades, etc.).

Lorsqu'une base de données est constituée, le contrôle de finalité et de proportionnalité peut conduire à accepter la mise en œuvre de telles bases de données lorsqu'un impératif particulier de sécurité le justifie (contrôle d'accès à des bâtiments hautement sécurisés de la Banque de France ; bâtiments de stockage de plutonium ; etc.).

C'est ainsi que la CNIL a rendu le 15 octobre 2002 un avis favorable à la mise en place d'un système de contrôle d'accès à une cantine scolaire utilisant des bases de données de gabarits de contour de la main.

Par contre, et dans le même cadre, la CNIL avait émis en 2000 un avis défavorable à un sytème de contrôle d'accès d'une cantine scolaire reposant sur une base de données d'empreintes digitales. En effet, cette base de données d'empreintes digitales pouvait être détournée de sa finalité première, et être exploitée à d'autres fins, ce que ne permet pas une simple exploitation du contour de la main.

Nous retrouvons alors les principes premiers de finalité et de proportionnalité.

En conclusion : Les techniques biométriques aux fins d'identification et d'authentification sont promises à un avenir certain. Pour autant, au regard de l'importance des risques associés à l'utilisation des systèmes biométriques, et de leurs éventuelles conséquences juridiques (aux fins d'authentification, notamment) il est important que la législation encadre strictement leurs conditions d'utilisation.


- Fiche point de vue : décembre 2002 -

© Mascré Heguy Associés - décembre 2002

 

 

Mascré Heguy associés

Mascré Heguy Associés

27/29 rue Raffet

75016 PARIS - F

Tél: (33-1) 42.56.08.80

Fax: (33-1) 42.56.08.82