Des photos de votre passeport à l’accès à vos comptes bancaires via vos empreintes digitales, l’utilisation des données biométriques croît à un rythme exponentiel dans le monde. Comparitech a classé 50 pays sur la collecte et l’utilisation de ces données, dont la Belgique.
Les nouvelles technologies s’immiscent dans notre quotidien. La collecte des données biométriques augmente de par le monde, et leur utilisation parfois trop poussée est source de questions éthiques sur le respect de la vie privée. La société Comparitech a analysé comment les données biométriques sont collectées, utilisées et stockées dans 50 pays.
Comparitech a ciblé plusieurs domaines clés – stockage, surveillance télé (Closed-Circuit TeleVision CCTV), utilisation sur le lieu de travail, dans les banques, intégration dans les passeports/visas, existence d’une loi nationale de protection des données, utilisation du vote biométrique… – qui s’appliquent à la plupart des pays et les a notés sur 25. Les scores les plus élevés indiquent une utilisation extensive et invasive de la biométrie et/ou de la surveillance et les scores les plus bas de meilleures restrictions et réglementations concernant l’utilisation de ces données biométriques.
Sans surprise, la Chine arrive en tête de liste de ce classement, pays respectant le moins les données biométriques de ses citoyens et des personnes qui rentrent sur son territoire. Les résidents (et les voyageurs) d’autres pays seront toutefois surpris par l’ampleur des renseignements biométriques qui sont recueillis à leur sujet et comment ils sont ensuite utilisés.
Ainsi, de nombreux pays recueillent les données biométriques des voyageurs, souvent au moyen de leurs visas ou de contrôles biométriques dans les aéroports. Tous les pays étudiés dans ce classement utilisent par exemple les empreintes digitales pour accéder aux données d’applications en ligne et/ou pour confirmer l’identité au sein d’une banque. La vidéosurveillance par reconnaissance faciale est aussi utilisée, ou du moins, testée dans un grand nombre de pays.
La biométrie
La biométrie représente la mesure biologique ou les caractéristiques physiques qui peuvent être utilisées pour identifier les individus. Le mappage des empreintes digitales, la reconnaissance faciale et les empreintes rétiniennes sont toutes des formes de technologie biométrique. Les caractéristiques physiques étant relativement fixes et personnalisées (même pour des jumeaux), elles sont utilisées pour remplacer ou au moins accroître la sécurité des systèmes de mots de passe pour les ordinateurs, les téléphones, ainsi que pour les salles et les immeubles à accès restreint. La biométrie avancée est également utilisée pour protéger les documents sensibles, par exemple dans les banques. La biométrie, photographie numérique du visage, des empreintes digitales ou de l’iris, est aussi intégrée dans les passeports électroniques.
Inquiétude en Belgique
Il ressort de l’analyse de Comparitech que les pays de l’UE obtiennent en général de meilleurs résultats que les pays non membres en raison notamment de la réglementation du GDPR protégeant l’utilisation de la biométrie sur le lieu de travail. Un seul pays, l’Estonie, score moins bien avec 18/25.
La Belgique obtient plutôt de bons résultats (13/25) en raison de l’illégalité de l’utilisation de la vidéosurveillance par reconnaissance faciale, notamment à l’aéroport de Zaventem. Mais aussi de l’absence d’un système de vote biométrique et de la loi qui contribue à protéger l’utilisation de la biométrie. La loi GDPR aide, par ailleurs, à protéger l’utilisation de la biométrie sur le lieu de travail. Une fuite des données de 2000 employés prouvent toutefois que ces données sont utilisées.
Un projet pilote fortement contesté est actuellement en cours pour inclure les empreintes digitales sur les cartes d’identité, ce qui mènera à la création d’une base de données biométriques, d’une durée de 3 mois. La Belgique collecte également les données biométriques des personnes qui rentrent sur son territoire en provenance d’Etats non membres de l’espace Schengen. Des données qui sont accessibles par la police. Ces derniers points sont une grande source d’inquiétude en ce qui concerne la vie privée des citoyens et des voyageurs.
Ex-aequo (11/25) avec le Portugal, l’Irlande réussit à protéger les données biométriques de ses citoyens et des personnes qui visitent le pays en ne disposant que d’une petite base de données contenant des profils criminels. Le pays prévoit également des protections supplémentaires pour les données biométriques des employés (par exemple, le consentement ne suffit pas toujours, ce qui va au-delà des exigences du GDPR). L’Irlande ne faisant pas partie de l’accord de Schengen, les données biométriques n’entrent pas dans le système dès l’entrée sur son territoire. Comparitech avance que certains doutes subsistent quant à l’utilisation par l’Irlande de caméras de vidéosurveillance à reconnaissance faciale.
Base de données interdite au Portugal
Le Portugal va même plus loin, les bases de données biométriques y sont carrément interdites. Par conséquent, c’est le seul pays qui ne dispose d’aucun stockage de données biométriques. Le Portugal obtient également de bons résultats car il n’utilise pas la reconnaissance faciale par vidéosurveillance, le pays garantit la protection de la biométrie sur le lieu de travail et une législation contribue à protéger la biométrie des citoyens.
Dans l’ensemble, le Royaume-Uni score plutôt bien (12/25) dans le respect des données biométriques. Ils disposent en effet de petites bases de données biométriques, par exemple une pour les criminels et une pour les non-ressortissants britanniques qui entrent dans le pays. Les règles du GDPR y sont aussi en vigueur. La vidéosurveillance de reconnaissance faciale semble bien réglementée. Le Guardian rapporte toutefois que Londres compte déjà plus de 620 000 caméras pour 9 millions d’habitants. L’été dernier a été marqué à Londres par le scandale provoqué par l’opérateur privé de la gare de King’s Cross qui avait entrepris de déployer sans avertissement ni autorisation un système de reconnaissance faciale sur son réseau de vidéosurveillance. Elle y a été supprimée. A l’essai dans d’autres régions, l’utilisation de cette technologie est fortement contestée.
En 2016, la France a indiqué qu’elle prévoyait de créer une base de données centralisée, Alicem, qui inclura la biométrie de tous les passeports et pièces d’identité. Ce système est en cours de déploiement, mais il a été modifié pour utiliser la technologie de reconnaissance faciale. L’outil permettra aux citoyens d’accéder à une vaste gamme de services en ligne, comme l’assurance-maladie, l’immatriculation des véhicules et les cartes d’identité, mais pour ce faire, une identification par reconnaissance faciale est nécessaire. Un débat est en cours sur son introduction controversée et sur la question de savoir si les empreintes digitales seront incluses. La CNIL (Commission nationale de l’informatique et des libertés) a critiqué l’Alicem en suggérant qu’une alternative à l’enregistrement de la reconnaissance faciale (par exemple, l’inscription en personne) devrait être proposée. La CNIL s’est également inquiétée du fait que les données de l’historique des connexions sont conservées sur le serveur pendant sept ans. L’Hexagone obtient de ce fait la note de 15/25.
L’Estonie est le pays de l’UE le moins bien classé en raison de son score élevé (18/25) dans la plupart des catégories (à l’exception de la vidéosurveillance) et de son score extrêmement faible dans le domaine du stockage. Cette mauvaise évaluation est due à sa base de données biométriques nationale, qui contient une grande quantité d’informations allant des prescriptions aux détails bancaires, en passant par la formation et les billets d’autobus. Tout cela est accessible à l’aide d’empreintes digitales. Bien que cette base de données soit décentralisée et qu’on estime qu’elle est protégée par les technologies les plus avancées, elle existe et certaines de ses parties sont accessibles pour les services de police.
Ce sont principalement des pays d’Asie qui ont reçu les scores les plus mauvais, ce qui signifie qu’ils font preuve d’un manque préoccupant de respect de la vie privée des données biométriques. Grâce à la collecte, à l’utilisation et au stockage de données biométriques, ces pays utilisent la biométrie dans une mesure considérée comme « grave et invasive ».
Sans surprise, la Chine obtient le pire score, elle évite de justesse le maximum en raison de l’absence d’un système de vote biométrique. Toutefois, le système de vote est très fortement contrôlé, ce qui élimine peut-être la nécessité de la technologie biométrique. La Chine a également obtenu le maximum de points dans toutes les autres catégories pour l’utilisation de la biométrie dans les passeports, les cartes d’identité et les comptes bancaires, ainsi que l’utilisation répandue et invasive de la technologie de reconnaissance faciale dans les caméras de vidéosurveillance.
Une caméra pour 6 personnes
La Chine a un plan de déploiement massif des caméras de vidéosurveillance. Selon certaines études, le pays serait déjà équipé de 170 millions de caméras. Rien qu’à Shanghai, on en dénombre 3 millions. Les villes chinoises sont, de loin, les plus surveillées au monde. A Shenzhen, on compte une caméra pour six personnes.
Des images qui peuvent être utilisées pour incriminer les contrevenants sur la voie publique par exemple. Avec des conséquences fâcheuses pour les Chinois qui sont filmés en faute. Le système des « crédits sociaux » en vigueur dans le pays pénalise les citoyens indélicats, qui sont alors susceptibles de se retrouver sur une liste noire, qui les prive de l’accès à certains services.
La semaine dernière, le gouvernement chinois a établi une nouvelle réglementation. Pour obtenir un nouveau numéro de téléphone, tout citoyen chinois doit dorénavant s’authentifier avec son visage. L’objectif officiel de la mesure est de lutter contre la fraude à l’identité.
Lire aussi notre reportage : Immersion en Chine, où la reconnaissance faciale est institutionnalisée
Après la Malaisie et le Pakistan, les États-Unis obtiennent le score médiocre de 20/25. Aux States, les données biométriques sont intégrées aux passeports, cartes d’identité et comptes bancaires. Les empreintes digitales sont exigées pour la plupart des visas américains et les empreintes digitales de tous les visiteurs sont relevées à l’entrée au pays. Un grand nombre d’états dispose d’un système de vote biométrique. Le pays n’a pas de loi spécifique pour protéger la biométrie des citoyens, bien qu’il existe quelques Etats qui protègent la biométrie de leurs résidents. En mai dernier, San Francisco est ainsie devenu la première grande ville américaine à interdire la reconnaissance faciale. Depuis lors, deux autres villes californiennes, Oakland et Berkeley, ont également interdit l’utilisation de la reconnaissance faciale par les pouvoirs publics. Les villes prêtes à renoncer à ces moyens sophistiqués de surveillance semblent toutefois peu nombreuses.
Les services de détection et de répression insistent de leur côté pour que cette technologie soit davantage utilisée pour l’identification des criminels. Par exemple, le FBI et l’ICE ont récemment fait l’objet de critiques en raison de leur utilisation de la technologie de reconnaissance faciale pour numériser les photos des permis de conduire sans obtenir au préalable le consentement des citoyens.
De nombreuses entreprises américaines utilisent par ailleurs la biométrie. Des employés doivent par exemple apposer leurs empreintes digitales pour accéder à leur ordinateur. Certaines lois étatiques offrent un peu plus de protection, mais la biométrie de nombreux employés reste exposée.
La cinquième place du classement avec un score de 19/25 revient ex aequo à Taiwan, aux Philippines, à l’Inde, et à l’Indonésie.
L’Inde dispose de la base de données biométriques nationale la plus importante au monde. C’est ce qu’on appelle l’Aadhaar. Cependant, les forces de l’ordre n’ont pas le droit d’y accéder. La base de données biométriques nationale de Taiwan comprend, elle, toutes les photos d’identité des citoyens. La technologie de reconnaissance faciale y est utilisée par la police. En raison de l’absence d’empreintes digitales dans la base de données, le pays évite un score « extrême » comme l’Indonésie.
40 millions d’empreintes digitales
En 2020, le Entry/Exit System sera mis en oeuvre au sein de l’UE dans le cadre de l’accord de Schengen. Il crée une vaste base de données biométriques couvrant 28 pays. Les autorités de chaque pays membre y auront accès. Cette base de données s’ajoute à d’autres bases de données partagées entre les pays membres de l’espace Schengen, notamment le système d’information sur les visas (VIS), qui contient déjà plus de 60 millions de demandes de visas et 40 millions de paires d’empreintes digitales. La Bulgarie, Chypre, le Royaume-Uni, la Roumanie et l’Irlande ne sont pas membres de l’accord de Schengen, mais des pourparlers sont en cours pour leur adhésion. En outre, la position du Royaume-Uni pourrait changer après le Brexit.
Mise en place d’un « détecteur de mensonges » aux frontières de l’Europe
L’UE vient de terminer les tests d’iBorderCtrl (Intelligent Portable Control System) aux frontières de la Grèce, de la Hongrie et de la Lettonie. Il s’agit d’un test d’un système comparable à un « détecteur de mensonges ». Les voyageurs doivent, entre autres actions, télécharger des photos de leurs visas et passeports avant d’utiliser une webcam pour répondre aux questions d’un garde-frontière virtuel. L’UE a suggéré que ce « détecteur de mensonges » analyserait les gestes des voyageurs pour vérifier si la personne interrogée ment ou non. Tous les voyageurs qui présenteraient un risque élevé doivent alors faire l’objet de contrôles plus détaillés à la frontière. Les fonctionnaires de l’UE espéraient que cette phase d’essai leur permettrait de déployer la technologie à la plupart des frontières de l’UE dans un avenir proche, mais sa mise en oeuvre doit encore être confirmée.