Cabinet d’avocat

96. Boulevard d’Anfa, 1er étage N°14. Casablanca
Secretariat: +212 5 20 44 44 47
Telephone: + 212 6 01 17 34 83
Email: jawharimaha@gmail.com

Lundi – Vendredi : 09:00 – 18:00

Fixe : + 212 5 20 44 44 47 / Mobile : + 212 6 56 78 78 24

Données à caractère personnel

L’utilisation de la Biométrie et la Protection des Données à Caractère Personnel

Technologie photo créé par rawpixel.com – fr.freepik.com

Que ce soit dans le but d’établir ou de protéger l’identité des citoyens, de sécuriser les transactions en ligne ou parfois même en raison d’exigences sécuritaires, de nouvelles solutions technologiques ont progressivement été mises en œuvre.

Parmi ces solutions technologiques, la biométrie a rapidement gagné du terrain et s’est imposée en l’espace de quelques années comme l’une des techniques d’identification et/ou d’authentification les plus pertinentes.

Cette technologie consiste en une analyse des caractéristiques d’un individu, qui peuvent être physiques, physiologiques ou même comportementales, et ce, à l’aide d’un dispositif automatisé permettant l’identification ultérieure de cet individu.

On peut citer alors le mappage des empreintes digitales, la reconnaissance faciale et des empreintes rétiniennes comme exemple qui sont tous des formes de technologie biométrique, cependant il ne s’agit là que des options les plus connues.

De plus, grâce à l’engouement général dont bénéficie cette technologie qui autrefois n’était réservée qu’à des applications sensibles, force est de constater que cette dernière est maintenant utilisée par le grand public. 

C’est en raison même de cette évolution croissante des techniques biométriques qu’on remarque de plus en plus l’existence d’enjeux non négligeables pour la protection des données personnelles.

En effet, à l’heure du numérique, la violation d’une donnée biométrique expose à un risque plus élevé que pour tout autre type de données, et ce, en raison de son caractère unique et quasi permanent – une fois compromises les données biométriques ne peuvent être modifiées – ; ce qui fait de ce type de données : des données dites « sensibles ».

Par conséquent, est apparue l’obligation d’encadrer l’utilisation de ces techniques de façon à ce que les droits et libertés fondamentales soient respectés et de vérifier leur incidence par rapport aux normes de protection des données.

A cet effet, il est donc nécessaire de se poser, en tant que citoyen, la question suivante : Est-ce que l’application généralisée de la technologie biométrique peut être garante d’un niveau idéal de sécurité d’une part, et est-ce que, d’autre part, l’utilisation de ces technologies menace le droit à la vie privée ?

Enjeux de l’utilisation de la biométrie

L’utilisation de la biométrie présente clairement un certain nombre d’avantages (A) non négligeables tel que la sécurité, la protection et lutte contre la fraude ou le vol d’identité, la facilité d’utilisation, la précision, l’identification… etc. 

Cependant, et au vu de la qualité sensible des données biométriques, le traitement de ces dernières constitue clairement un risque sur la vie privée des individus (B).

  1. L’utilisation des techniques biométriques et leurs intérêts

          L’opinion publique est à l’heure actuelle bien plus sollicitée par des projets biométriques portés par l’Etat, comme la carte d’identité ou le passeport. Toutefois, le secteur privé se montre lui aussi intéressé par les possibilités offertes par ces technologies.          

Il convient premièrement de noter qu’il existe deux catégories de techniques biométriques tel que classée par l’industrie[1]:

  • Les mesures physiologiques (pouvant être morphologiques ou biologiques) : les traits physiques spécifiques qui sont uniques, permanents pour chaque individu tel que les empreintes digitales, la forme de la main, la forme du visage, la rétine et de l’iris de l’œil…, 
  • Et, les mesures comportementales : certains comportements d’une personne physique comme le tracé de sa signature, l’empreinte de sa voix, sa démarche, sa façon de taper sur un clavier…

On peut relever ici des qualités communes à ces caractéristiques ; elles sont toutes : universelles, uniques, permanentes, enregistrables, mesurables et infalsifiables.

Toutefois, il conviendrait de noter qu’en terme de fiabilité, les mesures physiologiques restent plus stables dans la vie d’un individu et donc sont les plus utilisées. 

En effet, il se trouve que la reconnaissance des empreintes digitales, du visage, de l’iris et de la voix sont les modalités biométriques qui, à ce jour, répondent le mieux aux tests d’unicité, de permanence et de régularité, leur capture par des instruments étant par ailleurs possible de manière ergonomique et économique[2].

De plus, et malgré le fait que les performances des systèmes biométriques n’atteignent jamais la perfection – notion qui n’existe pas en biométrie[3] – ces derniers font l’objet de recherches, de développements et d’améliorations constantes.

Les progrès dont sont témoins ces techniques leurs permettent à la fois de renforcer la fiabilité des outils utilisés, rendre plus aisée leur utilisation, diminuer les coûts et d’assurer la compatibilité des différents systèmes.

S’agissant de leur utilisation, ces techniques sont connues pour être principalement utilisées dans les secteurs de l’identification judiciaire, la gestion de l’identité, l’administration et le contrôle d’accès et ce, que ce soit dans les établissements privés ou publics. 

Cependant, il est nécessaire de distinguer deux fonctionnalités propres aux techniques biométriques, qui sont soit l’identification soit l’authentification d’une personne.

  • Authentification biométrique :

De plus en plus utilisée, l’authentification (ou la vérification) consiste à comparer les données caractéristiques provenant d’une personne à un modèle de référence biométrique.

Le modèle de référence en question doit être préalablement enregistré et stocké dans une base de données sécurisés. 

Ce processus va permettre de déterminer l’existence ou pas d’une ressemblance afin de pouvoir vérifier l’identité de la personne concernée et garantir un accès sécurisé à un système électronique. 

  • L’identification biométrique : 

L’identification biométrique consiste, quant à elle, à déterminer l’identité d’une personne. Il s’agit ici de saisir une donnée biométrique de cette personne (cela peut être une photo de leur visage, un enregistrement de leur voix ou une image de leur empreinte digitale) et ensuite de les comparer aux données biométriques de plusieurs autres personnes conservées dans une base de données sécurisés.

Cependant, et à mesure que la biométrie est de plus en plus utilisée dans différents contextes, les questions ayant trait à la confidentialité, à la fiabilité et à la sécurité des données biométriques se compliquent et posent de multiples problèmes.

  • Le traitement des données biométrique, un risque inédit pour la vie privée

La principale problématique en matière de biométrie concerne les libertés individuelles et la protection des données personnelles et ce, au vu des doutes émis sur la maturité et la fiabilité des techniques ainsi que sur la capacité à garder le contrôle de systèmes biométriques déployés à grande échelle. 

En effet, alors que les données biométriques sont censées renforcer la sécurité, ces dernières représentent clairement un risque pour les droits fondamentaux et principalement le droit à la vie privée. 

  • Le risque de surveillance accrue :

Le droit à la vie privée englobe celui de pouvoir circuler librement, de façon anonyme et sans constante surveillance.

Néanmoins, la biométrie a donné naissance à de nouvelles inquiétudes, comme celle d’une société ou’ tous les citoyens sont surveillés et contrôlés constamment. En effet, cette technologie dispose clairement du potentiel de recréer un monde de traitement d’information de masse. 

De plus, caractérisée par la fluidité, la dématérialisation et la déterritorialisation[4], l’utilisation de la biométrie fait aussi perdre à la frontière son caractère traditionnel.

L’archivage des données relative, par exemple, aux accès des lieux sont des moyens qui peuvent permettre de suivre les déplacements et de retracer les individus, et pouvoir même faire une estimation des parcours futurs.

Ce risque porte donc clairement atteinte à notre droit de pouvoir vivre et circuler librement sans être sous constante surveillance. 

  • Le détournement d’usage :

Une des plus inquiétantes menaces pour la vie privée provient du caractère éloquent des renseignements biométriques. En effet, ce type de données peut contenir plus de renseignements personnels que la simple donnée collectée. 

En effet, certaines données biométriques peuvent révéler des informations qui n’étaient pas prévues dans le traitement de base, et qui peuvent constituer une atteinte sérieuse à la vie privée des individus. Par exemple, l’image de l’iris utilisée par un dispositif de contrôle d’accès est susceptible de dévoiler des données sur la santé de la personne.

Le risque de détournement va donc devenir de plus en plus conséquent du moment que les renseignements personnels sont rapprochés à d’autres données et que des « profils numériques » sont créés[5].

Ainsi, des données circulant sur le web, vont pouvoir permettre aux tiers, ou toute autre personne intéressée, accédant auxdites données de les relier à d’autres renseignements sans le consentement du propriétaire légitime. 

Sans oublier, la valeur économique des données biométrique. En effet, des renseignements aussi délicats risquent d’être convoités par des entreprises diverses[6].

  • Erreurs et confusion d’identité :

La biométrie reste une technologie des plus complexes et sa fiabilité ne serait pas à toute épreuve étant donné que les systèmes biométriques les plus avancés peuvent être trompés. 

Par exemple : il serait même possible que deux échantillons biométriques comportent une importante variabilité. 

En effet, tout système biométrique peut faire face à un taux de faux rejets – lorsque l’utilisateur soumet son échantillon et que celui-ci n’est pas jugé par le système comme étant suffisamment similaire au modèle stocké – et de fausse acceptation – lorsque l’échantillon soumis est associé par erreur au modèle d’un autre individu, il y a fausse acceptation et donc, confusion de l’identité -. 

  • Vol et usurpation d’identité :

Les données biométriques ne sont pas totalement privées, étant donné qu’il est possible de s’approprier certaines données, telles que celles du visage ou de l’iris, les empreintes digitales, et même
L’ADN. 

Cette particularité des données biométriques rend leur utilisation risquée, car, contrairement à un mot de passe que l’on peut retenir et qui demeure confidentiel, les données biométriques ne sont pas réellement secrètes et peuvent être collectées pour s’accaparer l’identité d’autrui[7].

Et, étant donné qu’il est possible de contrefaire des mesures biométriques, tout individu, relativement bien équipé, est en mesure de se fabriquer une « fausse identité », dans le but de se faire passer pour un autre (un moule d’empreintes digitales peut, par exemple, servir à déverrouiller un appareil électronique qui vous appartient). 

Une identité peut également être usurpée par un pirate ayant réussi à accéder à une banque de données et à y insérer ses propres caractéristiques biométriques, associées aux renseignements personnels d’une autre personne. Cette fraude se nomme « substitution attack ». 

De plus, une fuite de données biométriques est bien plus compromettante qu’une fuite de données dite « classiques ». En effet, s’il est possible de changer un mot de passe après s’être fait pirater, il est impossible de modifier ses empreintes digitales ou son iris. Une fois ces données dérobées, votre sécurité est mise en péril et pour toujours.

L’encadrement normatif de l’utilisation des données biométrique

Comme détaillé en première partie, le caractère particulier des systèmes biométriques constitue clairement un risque en matière de protection de la vie privée.

Et, afin d’être sûr que les systèmes d’identification biométrique soient fiables, sécurisés, interopérables[8] et faciles à utiliser, il est indispensable de mettre au point des normes internationales (B) et nationales (A) qui vont permettre de veiller à la confidentialité et empêcher les attaques qui pourraient donner lieu à une utilisation frauduleuse ou à une usurpation d’identité. 

L’objectif fondamental de cette normalisation est de créer des systèmes biométriques dont l’installation sera plus rapide, l’exploitation plus économique et l’utilisation plus fiable.

  1. Sur le plan national : Au Maroc 

La compréhension et la résolution des difficultés rencontrées, généralement dans la protection des données à caractère personnel, et particulièrement, la protection des données biométriques, sont régis par le texte de base que constitue, en la matière, la loi 09-08[9]relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et son décret[10]d’application publié au bulletin officiel du 18 juin 2009.

L’objectif de la loi 08-09 est de doter le système juridique marocain d’un instrument juridique de protection des personnes physiques, contre les abus d’utilisation des données de nature porter atteinte à leur vie privée. 

Cette loi crée une Commission nationale de contrôle de la protection des données à caractère personnel (ci-après la « CNDP »), qui joue un rôle important dans l’exécution et le respect des dispositions de ladite loi.  

Et, « consciente de l’impact des techniques biométriques sur la vie privée des personnes et les risques de violation des libertés et droits humains fondamentaux »[11], la CNDP a défini certaines règles conformes aux standards internationaux en adoptant la Délibération n° 478-2013 du 1er novembre 2013 portant sur les conditions nécessaires à l’utilisation des dispositifs biométriques pour le contrôle d’accès.

Conformément à ladite délibération, la CNDP évalue, dans un premier temps et sur la base du principe de proportionnalité, l’opportunité d’autoriser l’utilisation des données biométriques pour le contrôle d’accès en fonction de la nature du site que le responsable du traitement envisage de sécuriser.

La Commission peut alors autoriser le recours à ce type de données que sous certaines conditions, qui sont les suivantes : 

  • La justification du responsable du traitement que les méthodes alternatives de contrôle d’accès ne sont pas suffisamment fiables ;
  • Seules peuvent être traitées les données biométriques d’un nombre limité de personnes ;
  • Une donnée biométrique ne peut être utilisée à l’état brut ;
  • Le responsable du traitement ne doit pas constituer une base de données pour stocker les données biométriques collectées ;
  • Le dispositif biométrique doit être utilisé à des fins d’authentification et non pas d’identification.

La CNDP ne peut autoriser le traitement des données biométriques que pour des finalités bien précises telle que sécuriser soit les entrées des bâtiments et des installations soit l’accès aux locaux faisant l’objet d’une restriction de circulation.

Il convient aussi de noter que ces données biométriques ne doivent être conservées que pendant le temps nécessaire à l’extraction de leurs éléments caractéristiques.

Puis, dès que l’organisme autorisé à accéder aux sites contrôlés ne l’est plus, ces dernières doivent être supprimées.

Dans la même délibération, la CNDP n’oublie pas de mentionner les droits des personnes concernées. En effet, l’organisme responsable du traitement des données biométrique est tenu d’informer les personnes préalablement à la collecte de leurs données personnelles.

Ce dernier a aussi le devoir de prendre toutes les précautions utiles pour assurer la sécurité et la confidentialité des données biométriques traitées, en sensibilisant, par exemple, les employés quant à la préservation de l’intégrité de leurs données sur les supports mobiles.

Pareillement, et dans le cas où l’organisme intéressé fait appel à un prestataire de service externe autorisé à accéder aux données biométriques des employés, il est dans l’obligation d’encadrer la relation par un acte juridique ou un contrat qui garantit la confidentialité et la sécurité des données et, de façon plus générale, le respect des règles relatives à la protection des données personnelles.

Finalement, il convient de noter que toute installation d’un dispositif biométrique doit préalablement faire l’objet d’une demande d’autorisation auprès de la CNDP conformément aux conditions citées dans la Délibération n° 478-2013.

  1. Sur le Plan international : Les organisations normatives

La normalisation joue un rôle déterminant, dans le domaine de la biométrie, comme dans tous les autres domaines.Cependant, le droit international n’existe pas pour l’instant, à proprement parler, en matière de biométrie. Il n’y a aucun équivalent de l’Union internationale des télécommunications (l’« UIT»).[12]

L’UIT est l’institution spécialisée des Nations Unies pour les technologies de l’information et de la communication (TIC) qui compte aujourd’hui 193 pays membres et plus de 700 entités du secteur privé et établissements universitaires Membres de Secteur. L’UIT a son siège à Genève (Suisse) et compte 12 bureaux régionaux et bureaux de zone répartis dans le monde.

Au sein de l’UIT–T, les travaux sur la biométrie ont commencé en 2001, sous la direction de la Commission d’études 17 de l’UIT–T qui coordonne l’ensemble de ces travaux pour toutes les commissions d’études. 

Plus particulièrement, Cette Commission d’études est chargée de réfléchir à la gestion de l’identité, c’est-à-dire aux méthodes techniques permettant d’identifier les particuliers et de protéger ces identités. Ces travaux vont dans l’optique de répondre au souci actuel de mettre en place une infrastructure, des services et des applications de réseau plus sécurisés. 

Il convient de noter que plus de 70 recommandations UIT–T relatives à la sécurité ont été publiées, car, les applications de télécommunications utilisant les terminaux mobiles et les services Internet exigent des méthodes d’authentification non seulement très sécurisés, mais aussi pratiques à utiliser. 

De leur côté, les organismes spécialisés des Nations Unies, tels que l’Organisation de l’aviation civile internationale (OACI)[13] et l’Organisation internationale du travail (OIT), mettent au point des normes relevant de leurs domaines respectifs. 

L’OACI est chargée de la normalisation des titres de voyage à lecture optique, y compris les passeports électroniques, alors que l’OIT a établi des lignes directrices sur les titres d’identité biométriques pour les gens de mer.

Pareillement, plusieurs organisations nationales et internationales sont en voie d’élaborer normes en la matière. Parmi ces organisations figurent l’Organisation internationale de normalisation[14] (ISO), la Commission électrotechnique internationale (CEI). 

L’ISO s’occupe de la standardisation et se décompose en comités dont l’un s’occupe principalement de la biométrie[15]. Ce comité a pour objectif la normalisation des technologies non spécifiques du domaine de la biométrie, conçue pour faciliter l’interopérabilité[16].

Sans oublier aussi que de nombreux travaux sont réalisé par le Comité technique mixte de l’ISO et de la CEI sur les technologies de l’information notamment sur l’identification des cartes et des personnes[17] et sur les techniques de sécurité informatiques (concernant la protection des modèles, la sécurité algorithmique et l’évaluation de la sécurité)[18].

Aussi, et dans le but d’éviter que ne surgissent des problèmes liés à l’interopérabilité, les experts ont élaboré une norme en plusieurs parties intégrant des formats désormais extensibles de manière définie. Les parties tout juste publiées comprennent [19]:

  • ISO/IEC 39794-1, Information technology – Extensible biometric data interchange formats – Part 1 : Framework
  • ISO/IEC 39794-4, Information technology – Extensible biometric data interchange formats – Part 4 : Finger image data
  • ISO/IEC 39794-5, Information technology – Extensible biometric data interchange formats – Part 5 : Face image data

Les différentes parties de la norme définissent un cadre pour les formats d’échange de données biométriques. Elles devraient également être adoptées par l’Organisation de l’aviation civile internationale (OACI) comme base de sa norme 9303[20] relative aux documents de voyage lisibles par machine.

L’évolution des nouvelles technologies de l’information et de la communication, l’amélioration des performances et l’existence de matériel à moindre coût ont facilité le recours à la reconnaissance automatisée biométrique. Toutefois et face aux risques évoqués ci-dessous, il est nécessaire de penser à comment protéger nos données biométriques. 

Pour cela, la première recommandation pour les organismes faisant appel au traitement des données biométriques est de ne pas les stocker elles-mêmes[21]

De plus, il est toujours conseillé de limiter l’usage des données biométriques afin qu’il ne soit stocké qu’un faible nombre de bases de données et de ne recourir à leurs traitements que dans le cas où le recours à d’autres systèmes d’identification serait impossible. 

En effet, il est temps de demander que la biométrie ne soit utilisée qu’en cas d’absolue nécessité, et non pas de manière systématique. Et si elle est utilisée, elle doit obligatoirement être protégée légalement avec le plus haut niveau de sécurité disponible.

Parmi les solutions permettant la limitation du risque encouru lors de l’utilisation de la biométrie, on retrouve aussi l’idée de coupler la biométrie avec un mot de passe ou, mieux encore, une solution d’authentification bifactorielle ou multifactorielle pour plus de sécurité. 

Finalement, et dans la mesure du possible, il serait toujours nécessaire de s’assurer que les bases de données contenant les données biométriques appartiennent à des entreprises de confiance. 

[1] « La biométrie au Québec : les enjeux », document d’analyse, Commission d’accès à l’information, par Max Chassé

[2] « Qu’est-ce que la biométrie ? » – Livre Blanc, AWARE : https://www.aware.com/wp-content/uploads/2015/07/WP_WhatareBiometrics_0514_French_v01.pdf

[3] « Il est impossible d’obtenir une coïncidence absolue (100% de similitude) entre le fichier signature créé lors de l’enrôlement et le fichier signature créé lors de la vérification » Les technologies biométriques, Performances des systèmes, Biométrie Online. 

[4] Ayse CEYHAN, « Enjeux d’identification et de surveillance à l’heure de la biométrie », dans Cultures et Conflits, Vol. 64, p. 33-47 et Michaël FOESSEL & Antoine GARAPON, « Biométrie : les nouvelles formes de l’identité », 

[5] George TOMKO, « Biometrics as a Privacy-Enhancing Technology: Friend or Foe of Privacy? », Chairman Photonics Research Ontario, Privacy Laws & Business 9th Privacy Commissioners Data Protection Authorities Workshop, Spain, September 15th 1998 

[6] Concernant la valeur économique des renseignements personnels, voir Pierre COLLIN et Nicolas COLIN, « Mission d’expertise sur la fiscalité de l’économie numérique », Ministère de l’économie et des finances, République française, Janvier 2013.


[7] Jean-Philippe WALTER, « Quelques aspects de protection des données lors de l’utilisation de données biométriques dans le secteur privé », 26e Conférence internationale des Commissaires à la protection des données et à la vie privée, Le préposé fédéral suppléant de Suisse, Wroclaw, Pologne, 14-16 septembre 2004, p. 11 et Bruce SCHNEIER, « Biometrics : Truths and Fictions », Crypto-Gram Newsletter, August 15th, 1998, online : <www.schneier.com/crypto-gram-9808.html#biometrics> 

[8] L’interopérabilité est un terme informatique désignant des systèmes capables de s’adapter et de collaborer avec d’autres systèmes indépendants déjà existants ou encore à créer. https://www.journaldunet.fr/web-tech/dictionnaire-de-l-iot/1208123-interoperabilite-une-capacite-essentielle-pour-l-iot/

[9] Dahir n° 1-09-15 du 22 safar 1430 (18 février 2009) portant promulgation de la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

[10] Décret n 2-09-165 du joumada I 1430 pris pour application de la loi n 09-08 (BO n 5744 du 18 juin 2009)

[11] Délibération n° 478-2013 du 1er novembre 2013 – Cadre général

[12] LES ASPECTS JURIDIQUES DE LA BIOMETRIE par Claudine GUERRIER, avec la participation de Laure-Anne Cornelie

[13] L’OACI recommande, puis impose l’utilisation de la reconnaissance faciale en mars 2003

[14] ISO, en anglais. Cf : www.iso.ch 

[15] Le JTC 1/ SC 37

[16] Capacité de systèmes, unités, matériels à opérer ensemble

[17] Il s’agit de l’ISO/CEI JTC 1/SC 17
Depuis 1999

[18] Des travaux menés au sein de son Sous-Comité 27.

[19] https://www.iso.org/fr/news/ref2478.html « DONNÉES BIOMÉTRIQUES : SUR LA MÊME LONGUEUR D’ONDE GRÂCE À DE NOUVELLES NORMES INTERNATIONALES » Par Clare Naden | 7 février 2020

[20] https://www.icao.int/publications/pages/publication.aspx?docnum=9303

[21] RGPD: Données biométriques – https://editioneo.com/blog/rgpd-donnees-biometriques/

0
, , , , , , , , , , , ,

Related Posts

Post a Comment