La biométrie sur Internet | Janvier 2007


La biométrie sur Internet: Interviews du mois

L’application de la biométrie sur Internet soulève différentes questions tant sur le plan technique que juridique. En effet, les technologies utilisées pour la saisie et la lecture de données biométriques sont encore perfectibles. De plus, les systèmes et techniques d’application sur Internet n’offrent pas encore toutes les garanties de sécurité requises. Les juristes s’efforcent de mettre en balance l’intérêt que nous avons d’utiliser nos données biométriques sur Internet et les risques personnels que nous encourrons en les utilisant. Les données biométriques sont en effet des données personnelles qui exigent un haut niveau de protection. Non seulement elles sont pour chacun d’entre nous uniques et en nombre limité, mais de plus elles recèlent des informations sur notre état physique. Des cas concrets d’application de données biométriques sur Internet existent. Ils sont encore peu nombreux. Mais le besoin de recourir à cette technologie se fait de plus en plus ressentir. Il reste aux techniciens et aux juristes de trouver un juste compromis pour en faire une utilisation plus large. Voici ce que Elodie Arnaud, juriste, et Jonas Richiardi, ingénieur EPFL, deux spécialistes en matière de biométrie dans leur domaine respectif, pensent à ce sujet.

Interview de Jonas Richiardi concernant les aspects techniques de l’application de la biométrie sur Internet.

Où en est-on commercialement dans l’application de la biométrie?

Les technologies biométriques sont de plus en plus utilisées, même si elles ne sont pas encore dans la conscience du grand public. Suite aux attentats du 11 septembre 2001 et à l'adoption conséquente du Patriot Act, les Etats-Unis exigent des pays qui font partie du Visa Waiver Program l’émission de passeports munis de données biométriques pour pouvoir entrer sans visa dans leur pays.

Des entreprises telles que HP, IBM et Toshiba intègrent déjà de la biométrie dans leurs produits. Il existe des PDA et des laptops avec des capteurs d’empreinte digitaux comme verrou d’accès. Certains ont déjà intégré une vérification de la signature intégrée au touchpad. Il existe des clés USB qui sont encryptées et qui se décryptent en y apposant l’empreinte digitale. L’application de la biométrie commence à prendre de l’importance par rapport à une commercialisation grand public.

Dans les laboratoires de l’EPFL et de l’Université de Lausanne nous utilisons des appareils de différents constructeurs notamment un capteur pour l’empreinte digitale, une caméra pour l’iris, un scanner pour la face en trois dimensions et une tablette pour la saisie multifactorielle de la signature.


Comment la biométrie peut-elle être appliquée sur Internet?

Sur Internet la biométrie peut servir à authentifier ou à identifier une personne.

L’authentification, qu’on appelle aussi vérification, consiste à vérifier l’identité d’un utilisateur. On compare le modèle de référence biométrique de la personne, appelé template, avec les données qui proviennent de l’utilisateur pour déterminer la ressemblance. Il s’agit dans ce cas d’une vérification «one to one».

L’identification consiste à déterminer l’identité d’un utilisateur. On saisit une donnée biométrique d’un utilisateur en prenant par exemple une photo de son visage, en enregistrant sa voix ou en captant l’image de son empreinte digitale. Par la suite, on compare ses données avec des données biométriques de personnes qui figurent sur une liste. Il s’agit dans ce cas d’une identification «one to many» où on compare les données biométriques d’une personne avec celles de plusieurs autres. Je ne connais pas d'application grand public existante pour l'identification par Internet telle que je viens de le préciser.


Quelles sont les techniques qui existent pour l’application de la biométrie sur Internet?

Il y a principalement deux solutions informatiques qui sont possibles: une pour identifier un internaute et l’autre pour authentifier le droit d’accès d’un internaute.

Prenons d’abord la technique qui consiste à identifier un interlocuteur sur Internet. Cette technique utilise une base de données centralisée qui regroupe les données biométriques des utilisateurs stockées sur une unité informatique centrale, un serveur. Pour identifier l’utilisateur il faut capter ses données biométriques et les comparer avec l’ensemble des données biométriques existant sur la base de données centralisée. Les données biométriques peuvent être une photo prise par une webcam ou la voix enregistrée en direct. L’identification peut se faire de deux façons distinctes. L’une consisterait à envoyer les données biométriques saisies sur le serveur centralisé pour procéder à la vérification. Nous parlons dans ce cas d’une architecture «push». L’autre permet de faire la vérification localement en récupérant du serveur centralisé le modèle biométrique qui permet d’identifier l’utilisateur à travers les données captées. Il s’agit dans ce cas d’une architecture «pull». Un tel système centralisé, quelle que soit l’architecture utilisée, est évidemment critique compte tenu de tous les risques que représente le nombre de données biométriques stockées de manière centrale.

Si nous parlons maintenant d’authentifier un internaute, la procédure est plus simple. Dans ce cas l’internaute pourrait fournir ses données biométriques et disposer d’une carte à puce. Ses données fournies et captées sont comparées avec les données biométriques de sa personne stockées sur la carte. Cette vérification «one to one» permet d’authentifier l’utilisateur.

Cette architecture appelée «match on card» offre de sérieux avantages. Dans ce cas non seulement le stockage du template (modèle de référence biométrique de la personne) se fait sur la carte qui est sous le contrôle de l’utilisateur, mais en plus la vérification se fait localement. Les données biométriques n’ont donc pas besoin de passer par un réseau, mais sont vérifiées localement de manière décentralisée. Ceci augmente considérablement la sécurité.


Qu’en est-il de l’application concrète de ces solutions techniques?

Il existe quelques rares cas pratiques d’authentification à l’aide de données biométriques sur Internet. Par contre, il est encore difficile d’envisager l’identification d’un utilisateur par des moyens biométriques. Il y aurait encore un certain nombre de problèmes à résoudre, notamment en utilisant la webcam. En effet, si on présentait à la place du visage de la personne une photo, il n’est pas garanti que le logiciel de reconnaissance puisse faire la différence. Ces problèmes existent également dans le cas de la vérification.


Quel est le stade de développement de la biométrie pour une application sur Internet?

L’application de la biométrie soulève encore un certain nombre de problèmes. Parmi ces problèmes il y a les questions de sécurité. Il faut pouvoir sécuriser les données biométriques, notamment en trouvant des moyens pour restreindre l’accès à ces données. Un autre problème concerne le risque d’erreur considéré comme élevé lors de la lecture de données biométriques, comme le cas précité avec la webcam et la photo. Sur le plan européen, il existe un projet appelé Cost 275 qui traite des enjeux de la biométrie sur Internet.


Pouvez-vous préciser ces risques d’erreur de reconnaissance?

Nous parlons dans ce domaine de faux rejets ou de fausses acceptations. Dans un cas la machine ne sait pas reconnaître une donnée biométrique qui pourtant correspond à la personne et dans l’autre elle assimile deux données biométriques qui ne proviennent pas de la même personne. Le faux rejet ou la fausse acceptation sont des symptômes qui concernent toutes les techniques utilisées en biométrie.

 
Est-ce qu’il existe des facteurs d’erreur particuliers?

Les risques d’erreur sont liés à des facteurs très différents. Prenons pour commencer la personne et ses caractéristiques biométriques inhérentes. Nous avons constaté que certaines modalités s’appliquaient mal à certaines catégories de personnes. Ces difficultés sont liées à des facteurs ergonomiques qui ne sont pas encore très bien compris et maîtrisés. Un certain système peut fonctionner pour des femmes, mais pas pour les hommes, pour les personnes jeunes, mais pas pour les personnes plus âgées, pour des personnes à la peau claire, mais pas pour des personnes à la peau plus foncée.

Certains autres problèmes se posent plus particulièrement avec la reconnaissance du visage lorsque la personne se teint ou se coupe les cheveux, modifie la ligne de ses sourcils ou se laisse pousser une barbe. On peut également s’imaginer des cas de fausse acceptation lorsque la photo prise modifie les traits de caractère distinctifs de manière à correspondre à une autre donnée biométrique enregistrée.

Des erreurs peuvent également apparaître selon les technologies utilisées. Prenons l’exemple d’une photo prise avec un modèle d’appareil photo de très bonne qualité. Une photo de vérification prise avec un appareil de moins bonne qualité peut considérablement élever le risque d’erreur. Le risque varie donc également selon le capteur ou le senseur utilisé.

En plus des techniques, le risque d’erreur diffère également selon l’environnement et les conditions d’application. La lumière peut varier. Le bruit de fond peut être différent. La position de la personne peut avoir changé. En laboratoire, dans des conditions parfaites avec un environnement sous contrôle et l’utilisation de technologies adaptées, le taux d’erreur d’une détection du visage varie entre 5 à 10 %. En Allemagne, le Bundeskriminalamt a procédé à des tests sur le terrain avec des taux d’erreur qui ont atteint 40 % et plus. Il n’est évidemment pas possible d’utiliser de telles technologies lorsque le risque d’erreur est aussi élevé.


Comment peut-on connaître la fiabilité des différentes technologies?

Les marges d’erreur indiquées par les entreprises qui fabriquent des systèmes de reconnaissance biométrique ne sont pas toujours fiables. Ces indications peuvent être le résultat de tests effectués dans des laboratoires dont les conditions presque optimales ne sont pas celles rencontrées dans le cadre d’une application concrète sur le terrain. Tant qu’on ne sait pas dans quelles conditions les tests ont été faits, on ne peut accepter comme scientifiquement valide ce que certaines entreprises affirment. Aux Etats-Unis et en Europe il existe des centres de test qui sont mis en place par le gouvernement des pays pour procéder à des tests plus proches de la réalité. Les résultats de ces tests sont, à ma connaissance, systématiquement toujours moins bons que ceux indiqués par les entreprises. Mais il faut relever que certaines modalités sont plus fiables que d’autres.


Quelle modalité peut être considérée comme étant fiable?

La reconnaissance de l’iris par exemple est une modalité qui présente un taux d’erreur particulièrement bas. Mais l’application de cette technologie ne s’est pas encore généralisée compte tenu de son prix élevé. Il y avait jusqu’à présent un seul fournisseur capable de maîtriser et de commercialiser cette technologie. Mais le brevet du Professeur Daugman de l’Université de Cambridge est arrivé à expiration récemment. Le marché devrait donc se libéraliser et voir l’apparition de produits concurrents. Ceci devrait avoir une répercussion favorable sur les prix d’acquisition.

 
Comment faire pour rendre les technologies biométriques plus précises?

Nous étudions actuellement et depuis plusieurs années la combinaison de certaines modalités entre elles, par exemple le visage et la voix. Ceci devrait permettre de réduire considérablement les taux d’erreur et rendre plus concret l’utilisation des moyens biométriques.


Les technologies biométriques sont-elles bien acceptées par le public?

Il existe des réticences par rapport à l’application de certaines technologies biométriques. Parmi les modalités qui sont bien acceptées il y a le visage, car les gens ont l’habitude d’être pris en photo, les empreintes digitales, ou la voix. Il est à noter que des différences culturelles existent. Par exemple au Japon, il serait problématique de systématiser la prise d'empreintes digitales à cause de l'importance de l'hygiène. Ces modalités posent toutefois des problèmes de sécurité puisqu’elles peuvent facilement être acquises par n’importe qui à l’insu de la personne. Nous nous laissons facilement prendre en photo, nous laissons partout des marques de nos empreintes et notre voix peut être enregistrée à notre insu. Il est donc facile de créer des modèles qui pourraient être utilisés frauduleusement. La signature biométrique par contre est une modalité qui est relativement bien acceptée, mais qui est plus difficile à acquérir sans le consentement de la personne.


Devrions-nous faire plus attention à préserver nos données biométriques?

Nous laissons partout des traces biométriques. Ces traces biométriques mises en relation avec des applications biométriques pourraient dans un proche avenir générer certains problèmes juridiques. Aujourd’hui, les personnes donnent leurs données biométriques sans trop se soucier de l’utilisation qui pourrait en être faite. Ceci correspond évidemment à un comportement du passé. Mais ce qui était valable jusqu’à tout récemment, ne l’est plus nécessairement dans l’avenir. Avec l’automatisation et Internet qui permet de relier toutes les informations entre elles, la donnée biométrique est une donnée personnelle qu’il y a lieu de protéger.


Quels sont les problèmes de sécurité sur Internet?

La sécurité est un facteur clé dans l’utilisation de la biométrie sur Internet. Il existe pour commencer un problème de contrôle des données biométriques. Si on envisage un système centralisé regroupant les données biométriques des utilisateurs, ces derniers perdent le contrôle sur leurs propres données biométriques. Le risque existerait alors que ces données soient utilisées à des fins autres que celles prévues. Des personnes indélicates ayant accès à ces données pourraient être corrompues pour transmettre les données à des tierces parties. Il existe évidemment les questions de sécurisation par rapport à des crackers qui pourraient accéder au serveur par le réseau. Il y a aussi le problème de la sécurité physique par rapport à des vols de matériel contenant une grande quantité de données biométriques. Un système biométrique centralisé est donc soumis au mêmes menaces que le sont les systèmes actuels, mais avec en plus la particularité des données qui sont personnelles, uniques et irremplaçables.

Un autre niveau de sécurité concerne l’application du système par les utilisateurs. On peut s’imaginer qu’un utilisateur, au lieu de transmettre ses propres données biométriques, injecte dans le système frauduleusement des données d’une autre personne. Dans ces cas, il manque un système de supervision qui assure la pertinence et l’authenticité des données captées et transmises par tous les utilisateurs.

Les problèmes de sécurité sont moins importants avec un système décentralisé. Dans un système de «match on card» il y a un match qui se fait sur la carte de l’internaute et il n’y a pas de données biométriques qui circulent sur le réseau.

Pour des situations dans lesquelles il s’agit d’une entreprise qui veut offrir à ses clients un accès à des données par l’intermédiaire d’une authentification ou identification biométrique, les mêmes solutions sont envisageables. Dans ce cas, il s’agit évidement de savoir si on est prêt, le cas échéant, à confier ses données biométriques à l’entreprise qui offre le service. Il faut que la ligne soit sécurisée depuis le capteur d’empreinte jusqu’à la base de données de l’entreprise et que les  employés de l’entreprise soient irréprochables et par conséquent incorruptibles. Dans tous les cas, il faut que les utilisateurs soient rendus conscients des risques qui existent et qu’ils les acceptent.


Y-a-t'il des moyens pour augmenter la sécurité?

Il y a la possibilité de mettre en place un moyen biométrique qui pourrait être confirmé par un PIN. Dans ce cas, il y aurait une double sécurité, car il faut avoir non seulement la donnée biométrique (par exemple, une empreinte digitale), mais il faut également être en possession du mot de passe. Par une telle combinaison de moyens techniques la sécurité est nettement renforcée. Il s’agit d’une authentification multi-facteur qui offre une bonne solution. Mais une telle solution complique évidemment la procédure puisqu’il faut mettre en évidence le moyen biométrique et se souvenir du mot de passe.

Un autre moyen consiste à combiner la donnée biométrique avec des méthodes cryptographiques. La cryptographie transforme les données selon un procédé mathématique difficile à inverser. Il est donc envisageable de faire une procédure d’accès qui est en partie biométrique et en partie cryptographique. On prend les données biométriques qui sont cryptées de manière à modifier la lisibilité des données. Le modèle ainsi stocké ne permet pas une reproduction de la donnée biométrique. L’avantage de cette technique est la révocabilité de la donnée stockée sans incidence sur la donnée biométrique originale. En cas de perte ou de vol d’un modèle biométrique basé sur des données cryptées, il suffit d’une part d’invalider l’ancien modèle et d’autre part de créer un nouveau modèle crypté basé sur la donnée biométrique originale. Ainsi, le nouveau modèle est valable sans que la donnée biométrique d’origine ne soit mise en cause.

Interview d’Elodie Arnaud concernant les aspects juridiques de l’application de la biométrie sur Internet.


Comment aborder les aspects juridiques de l’application de la biométrie sur Internet?

Lorsqu’on parle de biométrie, il est nécessaire de parler du droit de la protection des données personnelles. Ceci est également le cas dans l’application de la biométrie sur Internet. Les données biométriques doivent en effet être considérées comme des données personnelles. Mais il s’agit de données personnelles particulières et un grand nombre de personnes ignorent les risques et les enjeux de la biométrie.


Pourquoi les données biométriques sont-elles si particulières?

La biométrie touche au corps et l’instrumentalise. Elle permet en effet de donner une information intrinsèquement liée à la personne elle-même et peut ainsi livrer des informations intimes sur la composition même de notre corps et sur notre comportement.

Les données biométriques sont uniques et permanentes. Nous sommes donc censés les garder toute notre vie. Lorsque les données biométriques sont interceptées par des individus qui pourraient en faire un usage frauduleux, ces données biométriques sont compromises, c'est-à-dire qu’elles ne peuvent plus servir puisqu’elles peuvent avoir été répliquées et transmises de nombreuses fois. Une donnée biométrique compromise devient  donc inutilisable. Le droit peut intervenir pour condamner les fraudes, mais n’a pas les moyens de rétablir la situation.

De plus, nos données biométriques sont en nombre limité. Il est donc moins facile de changer par exemple d’empreinte digitale que de changer de mot de passe.


Sur quoi se fonde le droit pour protéger les données biométriques?

Il existe plusieurs principes de protection des données personnelles qui sont applicables dans ce domaine. Les principes de licéité et de loyauté sont fondamentaux. Ils interdisent que nos données personnelles puissent être obtenues ou traitées à l’aide de procédés illicites ou déloyaux. Selon le principe de la finalité, nos données doivent être utilisées dans un but précis et spécifique, déterminé en amont du traitement. De cela découle le principe de transparence selon lequel nous sommes en droit de recevoir des informations sur l’utilisation de nos données. L’application de ce principe proscrit également toute collecte clandestine de données, c'est-à-dire toute collecte sans le consentement de la personne concernée. Et ce point est particulièrement important en matière de biométrie. Les personnes concernées par un traitement de données personnelles jouissent également du droit d’accès à leurs données pour vérifier l’utilisation qui en est faite, pour obtenir des éventuelles rectifications de données erronées ou pour demander la destruction de données enregistrées sans justification.

Il faut également préciser qu’un traitement de données personnelles doit parfois recevoir l’accord préalable de l’autorité de protection des données compétente. Le rôle des autorités de protection des données est essentiel, et leur indépendance est un gage de confiance. Certains pays ne disposent toutefois pas d’une telle autorité, ni même dans certains cas de législation sur la protection des données. Il faut néanmoins souligner que tous les pays européens disposent d’une telle législation, y compris les pays non membres de l’Union Européenne.


Quels sont les problèmes juridiques par rapport à Internet?

L’application de la  biométrie sur Internet pose des problèmes juridiques très spécifiques. Un des problèmes majeurs est posé par le transfert possible de nos données personnelles d’un pays à l’autre sans aucune restriction ni contrôle. Or un tel transfert est incertain lorsqu’il a lieu en direction d’un pays ne disposant pas d’un niveau de protection des données adéquat. Puisque Internet est un réseau mondial, nous devons donc nous poser les questions suivantes: Quel est le droit de la protection des données applicable? Quelle autorité de protection des données personnelles est compétente pour délivrer d’éventuelles autorisations? Il y a donc plusieurs questions de procédure qui se posent avant même d’aborder des questions de fond. Et ces questions de procédure sont loin d’être réglées.

Pouvez-vous donner des précisions sur les problèmes de fond soulevés, du point de vue juridique, par une application concrète de la biométrie?

La biométrie peut remplir deux fonctions distinctes: l’authentification et l’identification. L’identification répond à la question: Qui êtes-vous? Dans ce cas, la personne est identifiée parmi d’autres. Ses données personnelles sont comparées aux données d’autres personnes contenues dans la même base de données ou dans d’éventuelles bases de données reliées. L’authentification répond à la question: Etes-vous bien celui que vous prétendez être? Dans ce cas, la biométrie permet de certifier l’identité d’un individu en comparant les données qu’il va présenter avec les données préenregistrées de la personne qu’il prétend être.

Les données biométriques peuvent ainsi être utilisées pour permettre aux internautes de s’identifier ou de s’authentifier mutuellement ou pour accéder à un certain service sur Internet. Les objectifs (ou finalités) visés sont de deux ordres : d’une part connaître l’identité des individus (login) et d’autre part avoir la certitude que la personne avec laquelle je suis en contact ou qui veut accéder à un service est bien celle qu’elle prétend être (mot de passe). En application du principe de proportionnalité, tout traitement de données personnelles doit être proportionné à ses finalités au regard du risque qu’il fait peser sur la vie privée des personnes concernées. Ainsi, dès lors que l’objectif poursuivi peut être atteint grâce à un système d’authentification, on ne devrait pas avoir recours à un système d’identification qui comporte davantage de risques au regard de la vie privée et de la protection des données.

Pourriez-vous donner des précisions sur la distinction entre identification et authentification par rapport à leur impact sur la protection des données sur Internet?

Ces deux procédés font appel à des solutions techniques différentes. L’identification nécessite en général une base de données centralisée qui permet de comparer les données biométriques de différents individus. L’authentification peut se passer d’une telle base de données centralisée. On peut simplement enregistrer des données sur un support décentralisé du type carte à puce.

Sur le plan de la protection des données, on privilégiera plutôt un procédé d’authentification avec un support décentralisé. Un tel procédé présente en effet moins de risques. Le support décentralisé est en la possession de l’utilisateur lui même et ses données ne figurent pas dans une éventuelle base de données. A l’inverse, dans l’hypothèse d’un procédé d’identification nécessitant une base de données externe, l’utilisateur n’a pas la maîtrise physique de ses données avec tous les risques que cela représente.


Quels sont les risques concrets d’une solution centralisée?

A partir du moment où la donnée biométrique est en possession d’un tiers, il y a toujours un risque qu’elle soit utilisée à des fins différentes de ce à quoi la personne concernée a consenti. Il pourrait ainsi y avoir un détournement de finalité si ces données biométriques étaient interconnectées avec d’autres fichiers ou si elles servaient à des traitements autres que ceux qui étaient initialement prévus. Le risque existe également que ces données soient frauduleusement répliquées. Tout tourne autour de l’idée que c’est la perte de contrôle d’un individu sur ses données qui emporte des risques majeurs au regard de la protection de la vie privée. En pratique, les autorités de protection des données semblent donner la préférence à des solutions qui intègrent des supports de données décentralisés.


Quelles sont les bases légales auxquelles on peut avoir recours?

A ma connaissance, les dispositions légales spécifiques aux données biométriques sont quasi inexistantes malgré le caractère particulier de ces dernières (seule me vient à l’esprit la loi française sur la protection des données, dite Loi relative à l’informatique, aux fichiers et aux libertés, dont la version modifiée de 2004 pose quelques exigences spécifiques pour les données biométriques). Les réflexions juridiques reposent donc dans une très large mesure sur les dispositions relatives aux données personnelles au sens large. Mais ces dispositions se révèlent parfois mal adaptées à la biométrie. Il faut dire que nous ne réalisons qu’au fur et à mesure les enjeux juridiques de la biométrie, en particulier dans ses applications sur Internet. Et il est certain que la spécificité des données biométrique et les enjeux d’Internet vont nécessiter des ajustements et des compléments sur le plan légal.

La Suisse dispose d’une législation sur la protection des données. Il s’agit au plan fédéral de la Loi fédérale sur la protection des données du 19 juin 1992 (et de l’ordonnance correspondante qui en règle les détails). Il faut par ailleurs souligner le rôle important du Préposé Fédéral à la Protection des Données et à la Transparence.

On recense également différents textes au plan européen ou international. Citons de manière non exhaustive : la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (appelée Convention 108)Conseil de l’Europe et la Directive Européenne relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel et à la libre circulation de ces données du 24 octobre 1995. Ces textes fixent des obligations précises à la charge des Etats respectivement membres du Conseil de l’Europe et de l’Union Européenne. La Résolution des Nations Unies du 14 décembre 1990 (A/RES/45/95) prévoyant des principes directeurs pour la règlementation des fichiers informatisés contenant des données à caractère personnel est quant à elle dépourvue de force contraignante.

Il faut enfin préciser qu’en dehors de l’Union Européenne, le niveau de protection diffère selon la législation en vigueur, pour autant qu’il y en ait une…



Réalisé par André Brice.


dossier préparé par:


Vanessa Arnaud, André Brice, Céline Briod, Yann Ehmann, Alexandre Heinrichs, Marguerin Raillard