Biométrique – La sécurité aux dépens des libertés individuelles

“Ce n’est pas un hasard” s’il existe un lien important entre le déficit démocrtatique d’un pays et l’existence d’une carte d’identité.

Les cartes d’identité numériques et les passeports de santé sont les deux seuls moyens retenus pour un retour à la normale dans le cadre de la pandémie de Covid-19, mais ils sont également la porte ouverte à un système de surveillance sans précédent, et à la fin de l’autonomie personnelle par la coercition. Bien qu’ils soient présentés comme facultatifs, ceux qui refusent se voient déchus de leurs droits les plus fondamentaux.


En France, c’est au début de la Seconde Guerre mondiale que le gouvernement de Vichy développe l’idée d’une carte d’identité et, à la suite des mesures antijuives, la rend obligatoire et l’étend en 1943 à l’ensemble du pays.

Ce n’est donc pas un hasard s’il existe un lien important entre le déficit démocratique d’un pays et l’existence d’une carte d’identité. En effet, la carte d’identité, en particulier lorsque celle-ci est obligatoire, favorise un État fort et centralisé, et le développement d’une bureaucratie pléthorique, menant à des dérives arbitraires.

De tous temps, les gouvernements ont voulu établir l’identité de leurs administrés, le plus souvent afin de connaître leurs ressources humaines pour des questions de fiscalité, de police et pour lever des troupes militaires. La carte d’identité, surtout lorsqu’elle est obligatoire, est un moyen pratique pour contrôler la population et en ficher les éléments indésirables ou jugés dangereux.

Le RGPD a réduit drastiquement les déclarations préalables des traitements de données personnelles à la CNIL. En revanche, pour les traitements risquant d’engendrer un risque élevé sur les droits et libertés des personnes (ex. traitement biométrique), le règlement rend obligatoire la réalisation d’une Analyse d’Impact sur la Protection des Données (AIPD). En mai 2018, une période dérogatoire de 3 ans avait été accordée pour la réalisation d’AIPD sur les traitements concernés, période qui s’achève le 25 mai 2021. (voir article plus bas)


Publié le 4 février – Andreas Vou – Traduit par Stéphanie Belluel

Depuis juin 2019, les cartes d’identité émises au sein de l’Union européenne doivent obligatoirement comporter une puce sur laquelle sont stockées les empreintes digitales et l’image faciale. Cependant, lorsqu’il s’agit de paiements, d’entrée dans des lieux publics ou professionnels ou de voyages (qui forment un système d’identité beaucoup plus intrusif et centralisé), la biométrie est promue comme étant le seul moyen de revenir à la normale dans le cadre de la pandémie.

Les gouvernements et les entreprises, tout en affirmant que ces passeports sanitaires numériques seront facultatifs, menacent tous ceux qui s’y refusent de leur enlever leurs droits les plus fondamentaux, ce qui équivaut à une coercition pure et simple dans un système qui menace gravement la vie privée et l’autonomie personnelle.

L’UE investit massivement dans la biométrie

Le programme Horizon 2020 de l’UE stimulait le secteur de la biométrie bien avant le coronavirus, en particulier pour des produits de sécurité destinés aux services de police et de contrôle des frontières. Il prévoit un financement de 1,7 milliard d’euros entre 2014 et 2020 sur des technologies de grande envergure telles que la reconnaissance faciale et de l’iris. Un montant supplémentaire de 1,3 milliard d’euros sera octroyé pour les sept prochaines années.

Les chiffres compilés par le Guardian montrent que le programme Horizon 2020 a accordé 1,15 milliard d’euros depuis 2007 à des entreprises, soit 42 % des 2,7 milliards d’euros de financement du programme de recherche sur la sécurité, alors qu’il a également été le partenaire principal de près de la moitié des 714 projets financés.

Parmi les bénéficiaires, on retrouve Idemia, une société de technologie française qui a reçu 2,91 millions d’euros de la part de Horizon 2020 entre 2017 et 2019. Idemia a récemment remporté un contrat pour la livraison d’un nouveau système d’établissement de correspondance biométrique (Biometric Matching System en anglais) qui intégrera une base de données de plus de 400 millions de ressortissants de pays tiers d’ici 2022 avec vérification des empreintes digitales et reconnaissance faciale pour l’entrée et la sortie de l’espace Schengen.

Les signes de cette évolution croissante deviennent plus évidents à mesure que de nombreux pays européens font des pas vers des innovations biométriques qui pourraient ensuite être intégrées dans une carte d’identité centrale. La société lituanienne de vérification d’identité iDenfy a conclu en décembre deux accords qui introduisent la vérification biométrique au secteur de la livraison de colis, ainsi qu’une plateforme de participation démocratique. Le fournisseur croate d’identité numérique Identyum, a également annoncé en décembre qu’il avait atteint les 10 000 utilisateurs dans le pays.PayByFace, qui permet d’effectuer des paiements grâce à la reconnaissance faciale, étend son offre biométrique à plus de 65 magasins partenaires en Roumanie, et la banque suédoise Rocker a choisi la carte de paiement biométrique F.CODE d’Idemia, qui sera testée début 2021.

Collaboration des secteurs public et privé

Le Livre blanc du Forum économique mondial de janvier 2020 sur la “Réimagination de l’identité numérique” a souligné la nécessité d’une coopération entre les secteurs public et privé, et d’une collaboration entre les industries sur ces identités, y compris les soins de santé, les voyages et les services financiers.

Mastercard et Microsoft ont uni leurs forces en 2018 pour élaborer un système mondial d’identité numérique, qui comprend l’accès aux soins, aux services financiers et sociaux avec différents gouvernements. Emblématique de la fusion public-privé sur l’identité numérique, la France est devenue le premier pays européen à former un “Partenariat pour l’économie numérique” avec Mastercard en janvier 2020 pour une durée de quatre ans.

Il repose sur plusieurs piliers stratégiques qui correspondent aux politiques publiques stratégiques du gouvernement français sur la numérisation et la croissance économique, notamment pour le tourisme, sur l’IA, l’identité numérique et la cyber-sécurité, et sur l’avenir du travail. La Macédoine du Nord a également formé un partenariat similaire avec Mastercard.

Au-delà d’un simple processus simplifié, les étapes visibles menant à de telles identifications suscitent de nombreuses inquiétudes puisqu’elles englobent les aspects les plus cruciaux de la vie des citoyens dont pourrait dépendre l’accès à certaines infrastructures ou certains services. Des sociétés comme Mastercard et Microsoft, entre autres, font déjà exactement la même chose dans d’autres parties du monde.

Dans le cadre d’un partenariat avec Gavi, l’Alliance du Vaccin et Trust Stamp, une société d’ “authentification d’identité” alimentée par l’IA, Mastercard a commencé des essais en Afrique de l’Ouest qui combineront un système d’identité numérique biométrique, des dossiers de vaccination et un système de paiement biométrique en une seule plateforme.

Lancée en 2018, l’initiative a reçu un fonds de 3,8 millions de dollars des donateurs de Gavi, en plus d’un don équivalent du même montant du cofondateur de Microsoft, Bill Gates, par l’intermédiaire de sa fondation. Début juin 2020, Gavi a déclaré que le programme Wellness Pass de Mastercard serait adapté en réponse à la COVID-19 qui inclurait une “vérification de la vaccination”.

Mastercard est l’entreprise qui a également développé une solution de paiement pour les transactions sur Aadhaar, le système d’identification biométrique national de l’Inde, utilisant les numéros UID avec une authentification biométrique qui nécessite des scanners d’empreintes digitales et d’iris.

Aadhaar a été lancé en 2009 avec pour objectif de fournir efficacement des services sociaux, mais il a divisé le pays au fur et à mesure de son développement pour couvrir à peu près toutes les facettes de la vie quotidienne. Bien qu’il ait été présenté comme facultatif, bloquer l’accès aux services de base à ceux qui refusent d’en obtenir un le rend essentiel. Aujourd’hui, près de 1,22 million d’Indiens sont inscrits sur Aadhaar, soit près de 90 % de la population.

L’Europe et les passeports sanitaires 

La Commission européenne a présenté une “feuille de route sur la vaccination” liée à un passeport sanitaire numérique avant l’apparition du virus, dont la dernière mise à jour remonte au troisième trimestre de 2019.

Il détaille un plan s’étendant de 2018 à 2022 pour “examiner la faisabilité de la mise en place d’une carte/passeport de vaccination commune pour les citoyens de l’UE” et “élaborer des orientations européennes pour la mise en place de systèmes électroniques complets d’information sur la vaccination”.

Parmi les objectifs énumérés, se trouvent la nécessité de “surmonter les barrières juridiques et techniques qui entravent l’interopérabilité des systèmes nationaux sur la vaccination”, celle de renforcer les partenariats avec l’Organisation Mondiale de la Santé (OMS), la Strategic Advisory Group of Experts on Immunisation (SAGE) et Gavi pour ne citer qu’eux, et de continuer à soutenir la recherche et les projets d’innovation par le biais de Horizon 2020.

Le concept même d’obligation de prouver une vaccination pour pouvoir accéder aux cinémas et restaurants, ou pour pouvoir prendre l’avion relevait de la théorie du complot il y a encore quelques mois, lorsque le virus est apparu. Pourtant, ces passeports sanitaires numériques sont aujourd’hui sur le point d’être déployés et sont considérés comme le seul moyen de retourner à la normalité.

Les Nations Unies ont déjà lancé un portefeuille numérique pour les employés, contenant des données sur les voyages, les finances et les pensions, ainsi que les antécédents en matière d’allergies et de vaccination, tandis que le Parlement européen teste un système biométrique de gestion du temps et des présences dans ses locaux de Bruxelles.

L’Association internationale du transport aérien (IATA) a annoncé en décembre son Travel Pass, une application par laquelle les voyageurs devront présenter une preuve de test PCR ou de vaccination pour pouvoir voyager. Accenture, Microsoft, Mastercard, Idemia, IBM et Google sont déjà tous des partenaires stratégiques de la IATA.

De même, The Common Trust Network, un partenariat entre les compagnies aériennes, le Forum Économique Mondial et l’organisation à but non lucratif The Commons Project, a récemment lancé le CommonPass App, qui permet aux utilisateurs de télécharger des données médicales telles que les résultats des tests COVID-19 ou des preuves de vaccination.

Au Royaume-Uni, le ministre Nadhim Zahawi, en charge depuis peu du déploiement du vaccin contre le Covid-19, a évoqué l’idée de passeports d’immunité numériques pour entrer dans les bars, les restaurants, les cinémas, les salles de sport et même les lieux de travail, avant de se rétracter.

En octobre 2020, l’Estonie et l’organisme de santé des Nations Unies ont lancé un projet pilote pour un certificat de vaccination numérique.

Plusieurs autres pays de l’Union européenne ont évoqué l’idée d’un passeport vaccinal au cours des derniers mois. La Grèce a demandé à la Commission européenne d’introduire un certificat de vaccination contre le coronavirus pour les voyages à l’intérieur du continent, une initiative que la présidente de la Commission européenne, Ursula von der Leyen, a saluée comme un “impératif médical”. La Pologne délivrera un passeport vaccinal à ses citoyens après leur deuxième injection, la Belgique a déclaré qu’elle était favorable à un certificat de vaccination tant au niveau de l’UE qu’au niveau mondial, tandis que le gouvernement danois est en train de mettre au point le sien. 

L’Espagne quant à elle, pousse la démarche plus loin : le ministre de la santé Salvador Ill a déclaré que ceux qui refusent de se faire vacciner seront inscrits sur une liste qui sera partagée avec les autres pays de l’UE.

En France, le Premier ministre Jean Castex a récemment présenté un projet de loi sur la mise en place d’un système de gestion des urgences sanitaires à long terme qui comprend un “passeport vaccin”. Cette décision a été prise suite à la proposition du parti UDI d’un “passeport vert”. Le président de l’UDI, Jean-Christophe Lagarde, a défendu cette idée en déclarant que “ceux qui sont vaccinés ont le droit de vivre normalement”.

Ces mots troublants ne font que confirmer ce que beaucoup craignaient depuis longtemps : nombre de décideurs comptent faire respecter l’identification numérique mêlée à la vaccination par la contrainte, à défaut de pouvoir le faire par la force. Cela risque d’aliéner ceux qui se lassent à juste titre des menaces plus larges d’un écosystème numérique à la merci d’entités privées qui semblent être au-dessus des lois. Pourtant, des étiquettes comme “antivax” et “négationnistes du Covid” sont utilisées pour minimiser le débat rationnel qui ne se limite pas aux questions de santé.

De tels systèmes, qui recevaient déjà des milliards de dollars de financement bien avant la pandémie, ne semblent pas être temporaires ni destinés à lutter spécifiquement contre le virus. Pourtant, les discussions sensées et les préoccupations de la population à ce sujet sont balayées pour faciliter la mise en place rapide d’outils très controversés qui contournent des menaces sans précédent pour la vie privée et la liberté individuelle, et menacent de créer une société à deux vitesses.

La nouvelle carte nationale d’identité

3 mai 2021 

La protection de l’identité est une mission essentielle du ministère de l’Intérieur. Depuis trois ans, la France a entrepris une démarche de modernisation de la carte nationale d’identité dont l’actuel format date de 1995.


La nouvelle carte sera déployée progressivement à partir du 15 mars 2021 dans le département de l’Oise, puis à compter du 29 mars 2021, en Seine-Maritime et à La Réunion. Ce dispositif sera généralisé à la France entière à compter du 2 août prochain.

Analyse d’impact sur les traitements de données : fin de la période dérogatoire

TRIBUNE Le Règlement général sur la protection des données (RGPD) a rendu obligatoire la réalisation d’une Analyse d’Impact sur la Protection des Données (AIPD). Lors de sa mise en œuvre, une période dérogatoire de trois ans avait été accordée cette réalisation d’AIPD, période qui s’achève ce 25 mai. Eric Caprioli et Isabelle Cantero, avocats au sein du cabinet Caprioli & Associés, font le point sur ce que cela va impliquer.  

PUBLIÉ LE 14 MAI 2021 

CONTEXTE DE L’AIPD
L’AIPD consiste en l’analyse documentée du traitement concerné et comprend l’évaluation du respect des principes de protection ainsi que l’étude des risques présentés (nature, gravité, probabilité). Cela participe de la “responsabilisation de l’entreprise” dans ses démarches d’accountability. La FAQ de la CNIL, sur la thématique, souligne que “La réalisation d’une AIPD constitue, dans tous les cas, une bonne pratique facilitant la démarche de mise en conformité avec les conditions de fond prévues par le RGPD” (Source CNIL : Ce qu’il faut savoir sur l’AIPD).

Une AIPD est requise si “le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29″ (v. infographie sur le site de la CNIL). Concrètement, la CNIL a établi une liste de traitements pour lesquels l’AIPD est nécessaire (v. sur le site de la CNIL, liste AIPD obligatoires) et une autre liste où l’AIPD n’est pas requise (v. sur le site de la CNIL, liste AIPD non requises).

Dans une approche privacy by design (protection de la vie privée dès la conception), l’AIPD doit être effectuée le plus en amont possible. Sa mise à jour est nécessaire en fonction du développement du projet et le cas échéant, si des modifications significatives surviennent en cours de vie.

Il appartient au responsable du traitement de s’assurer que son traitement est conforme au RGPD et donc de réaliser l’AIPD. À ce sujet, il peut solliciter son DPO pour lui apporter de l’aide et lui fournir les informations adaptées. L’entreprise est libre de choisir sa méthode de réalisation de l’AIPD à partir du moment où elle respecte les critères définis par l’ancien G29 (annexe 2 des lignes directrices).

Dans le cadre du RGPD, l’AIPD n’a pas à être transmise à la CNIL sauf si le niveau de risque résiduel reste élevé ou si la législation nationale l’impose. Enfin, les manquements aux dispositions sur les AIPD sont passibles d’une amende allant jusqu’à 10.000.000 € ou 2% du CA de l’entreprise (article 83-4 du RGPD).

PÉRIODE DÉROGATOIRE ACCORDÉE AUX ENTREPRISES POUR LA RÉALISATION DES AIPD

La CNIL a accordé un délai dérogatoire de 3 ans de réalisation d’une AIPD pour les traitements risqués :

  • ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité” ;
  • qui sont consignés au registre du Correspondant Informatique et Libertés (CIL).

Cette dérogation n’est cependant pas applicable pour :

  • les nouveaux  traitements postérieurs au  25 mai 2018 ;
  • les traitements antérieurs sans formalité préalable auprès de la CNIL ;
  • les traitements antérieurs, dispensés d’AIPD “en raison de l’accomplissement d’une formalité préalable auprès de la CNIL, mais qui font l’objet d’une modification significative” (Source CNIL : Ce qu’il faut savoir sur l’AIPD).

LA FIN DE LA DÉROGATION, LE DÉBUT DES CONTRÔLES ?
La période de grâce accordée par la CNIL sous-tend que les traitements visés par une AIPD n’étaient pas nécessairement à jour de cette obligation du RGPD lors de son entrée en application. Cela concerne la plupart des traitements qui étaient soumis à autorisation avant le 25 mai 2018. Les bonnes pratiques incitent les responsables du traitement à avoir effectué des AIPD pour les traitements ayant fait l’objet d’une autorisation antérieure.

On peut noter que les AIPD ne figurent pas au rang des thématiques prioritaires pour les contrôles de la CNIL 2021. Et à ce jour, la jurisprudence n’est pas encore très fournie sur les contentieux en la matière.

Cela étant, le Conseil d’État a récemment été saisi d’un litige relatif au défaut d’AIPD pour un traitement de données personnelles (Conseil d’État, 02/04/2021, n° 445071). En l’espèce, une personne reprochait à un gestionnaire de baux immobiliers de n’avoir pas mis en œuvre une AIPD sur son traitement. Le Conseil d’État n’a pas suivi le raisonnement du demandeur, jugeant que ce traitement n’était pas de nature à engendrer un risque élevé pour les droits des personnes physiques.

Attendons donc les prochains mois pour nous éclairer sur la politique de contrôle de la CNIL relative aux AIPD. Impact ou non, telle est la question !

Eric A. Caprioli et Isabelle Cantero, avocats associés
Caprioli & Associés, société membre du réseau JurisDéfi

18 NOVEMBRE 2019 

6 OCTOBRE 2019 

Comments are closed, but trackbacks and pingbacks are open.