La biométrie : identification des individus à partir de caractères biologiques

La biométrie est une méthode d'identification des individus à partir de caractères biologiques, dont l'empreinte digitale est la technologie dominante. De nos jours, la biométrie s'est largement diversifiée et porte le plus généralement sur le contour de la main, la reconnaissance faciale, le réseau veineux, l'ADN, l'identification par l'iris ou encore par la voix.
De nombreuses entreprises, enseignes commerciales, écoles, mairies, hôpitaux, aéroport, etc. ont déjà recours à un système biométrique, pour des raisons diverses.
Depuis 2003, date à laquelle l'Office parlementaire d'évaluation des choix scientifiques et technologiques s'est penché sur la question de la biométrie, de nombreux rapports, avis et recommandations ont été publiés par de nombreuses instances (CNIL, CCNE, etc.) afin de poser des limites au recours à cette technologie, parfois envahissante et dangereuse pour les droits et libertés individuelles.

Les procédés d'identification utilisés

- moyens de reconnaissance de particularités morphologiques : les photographies de la face et les empreintes digitales sont maintenant numérisées facilitant leur stockage et leur accès.
- procédés plus ou moins fiables et plus ou moins intrusifs : géométrie de la main, réseaux veineux des doigts et du bras, reconnaissance de la rétine et de son réseau veineux, et de l'iris.
- reconnaissance de particularités du comportement : la reconnaissance vocale, de la frappe au clavier, de la démarche d'un individu.
- méthodes d'identification par analyse de l'ADN : en principe les caractéristiques génétiques contenues dans les régions codantes ne sont conservées et utilisées qu'à des fins médicales ou de recherche scientifique.

Existe t-il des différences majeures entre les systèmes biométriques ?

La CNIL est très attachée à la distinction des techniques biométriques, suivant qu'elles laissent ou non des traces. Elle estime, par exemple, que les empreintes digitales (qui laissent des traces) peuvent être exploitées pour l'identification des personnes et que toute base de données d'empreintes digitales est susceptible d'être utilisée à des fins étrangères à sa finalité première.
D'une manière générale, elle est défavorable à la création de bases de données d'empreintes digitales sur les lieux de travail, en l'absence d'un impératif de sécurité incontestable comme la protection des inventions, la lutte contre l'espionnage industriel ou encore la lutte contre le terrorisme (notamment chimique et biologique).
Par contre, elle n'est pas opposée à la mise en place de dispositifs biométriques qui ne laissent pas de traces, comme la reconnaissance du contour de la main ou de l'iris. Il en est de même des dispositifs pour lesquels le gabarit de l'empreinte digitale est uniquement stocké dans un support personnel, comme une carte à puce.

La biométrie : pour quelle utilisation ?

- carte de fidélité commerciale : stockage de l'empreinte digitale sur la carte de fidélité
- paiement du commerçant : reconnaissance des principaux points de l'empreinte digitale du pouce (Allemagne)
- passer un ordre de paiement ou virement bancaire : identification des veines de la paume de la main (au Japon)
- ouverture et démarrage de la voiture, de l'ordinateur : empreinte digitale
- accès des élèves à la cantine : reconnaissance de la géométrie de la main
- contrôle du temps de travail des salariés : lecteur biométrique du contour de la main et code d'accès
- restriction d'accès à un espace de travail : reconnaissance du contour de la main et code d'accès
- transmission des codes d'accès des employés : reconnaissance du réseau veineux du doigt et de la voix
- pièce d'identité des gens de mers : empreinte digitale traduite sous forme de chiffres dans un code-barre
- passeports, titres de séjours et visas européens : photo et empreintes digitales insérés dans une puce sans contact
- accès aux zones réservées de sûreté des aéroports : reconnaissance de l'empreinte digitale avec carte d'accès individuel
- aéroport et bateaux de croisière : empreintes digitales et photographie numérique du voyageur (Etats-Unis)
- aéroport : puce RFID (sans contact à radiofréquences), empreinte digitale et thermo-impression sur carte (France - programme Pegase)

Les risques liés à l'utilisation de la biométrie

Ils sont divers et varient en fonction de la technologie utilisée. Les plus souvent cités sont la fraude, l'usurpation d'identité, le détournement de la finalité de la base de donnée biométrique, le croisement d'information, l'atteinte à la vie privée.

La CNIL veille...

La Commission Nationale Informatique et Libertés est la seule autorité à disposer d'un pouvoir d'autorisation expresse des dispositifs biométriques sur le sol français. Elle a publié début 2008 un document contenant les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur.
Les dispositifs biométriques ne sont justifiés que s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes :
- la finalité du dispositif : elle doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme tel que la protection de l'intégrité physique des personnes, celle des biens et des installations ou encore celles de certaines informations. Il s'agit par exemple du contrôle d'accès à une centrale nucléaire, à une cellule de production de vaccins, à un site Seveso II, à un bloc opératoire dans un CHU, à l'utilisation de matériaux dangereux.
- la proportionnalité : le système proposé doit être adapté à la finalité préalablement définie eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel.
- la sécurité : le dispositif doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données
- l'information des personnes concernées : elle doit être réalisée dans le respect de la loi "informatique et libertés" et, le cas échéant, du Code du travail.