Empreintes digitales : les autorités mettent vos données privées en danger
Le 14 janvier, le ministre de l’Intérieur Pieter De Crem (CD&V) dévoilait fièrement la première carte d’identité électronique comprenant les empreintes digitales à Lokeren. Pendant la présentation, le bourgmestre de Lokeren a pourtant involontairement démontré ce que disent les opposants à cette nouveauté : nos données personnelles sont en danger.
La première carte d’identité avec empreintes digitales a été émise par le ministre De Crem pour le bourgmestre, Filip Anthuenis. Ce dernier s’est alors empressé de poser orgueilleusement avec sa nouvelle carte d’identité devant la presse. Sauf que celle-ci affiche des données sensibles… « Le bourgmestre Filip Anthuenis a-t-il réellement laissé photographier et publier sa date de naissance, son numéro de carte d’identité, sa signature et son numéro de registre national sur Het Laatste Nieuws ? réagissait immédiatement Matthias Dobbelaere-Welvaert, juriste spécialisé dans le droit à la vie privée et la protection des données. J’ai une idée assez précise de l’identité de la prochaine victime de fraude. L’ironie est à son comble. » « Voilà donc les génies qui prétendent vouloir protéger notre vie privée. Mais ils lancent inutilement leurs propres données sur Internet. » commentait Lectrr, le cartooniste du quotidien de Standaard.
Il s’agit encore d’une phase de test, qui va avoir lieu dans plusieurs communes avant d’être généralisé à l’ensemble de la Belgique. Lokeren, Ostende, Leuven, Charleroi et Bruxelles sont parmi les 25 communes « test ». La loi avait été approuvée en novembre 2018, lorsque Jan Jambon (N-VA) était encore ministre de l’Intérieur, mais son application avait pris du retard avec la chute du gouvernement Michel.
Le gouvernement veut passer en force
Si les tests sont jugés concluants, l’ensemble des citoyens belges et les mineurs au-dessus de 12 ans devront scanner leurs empreintes digitales. « Les gens qui ne font rien de mal ne doivent de toute façon pas craindre de voir leurs empreintes digitales figurer dans un système ! » justifiait à l’époque Jan Jambon.
La Commission de protection de la vie privée intervenait aussitôt : « Le stockage généralisé des empreintes digitales constitue une infraction à la Convention européenne des droits de l'Homme (CEDH). » L’Autorité de protection des données (APD) avait également exprimé un avis négatif de manière officielle. L’APD souligne par ailleurs que le traitement des données biométriques d’un groupe vulnérable, à savoir les mineurs, se trouve « deux fois en zone rouge».
En février, une étude menée par le groupe de recherche Computer Security and Industrial Cryptography (COSIC) de la KU Leuven qualifiait la proposition d’« obscure, superflue, disproportionnée et particulièrement risquée », tandis que l’association Ministry of Privacy a également enclenché une procédure auprès de la Cour constitutionnelle, qui doit encore s’exprimer sur la question.
Les protestations s’expriment jusque dans les jeunesses de partis qui ont approuvé la loi. « Nous voulons un nouveau gouvernement, pas un État totalitaire », réagissaient les jeunes de l’Open-Vld. « Nous nous préoccupons depuis longtemps du droit à la vie privée, affirme également le président des jeunes du CD&V. Le débat va plus loin que la question des empreintes digitales. Les citoyens transmettent beaucoup d’informations aux autorités, sans que nous sachions si des mesures suffisantes sont prises pour leur protection. »
0,0041 % de fraude
La mesure est censée servir à contrer l’usurpation d’identité par les terroristes.
Mais ce genre de fraude se produit très rarement. De la réponse du ministre à une question parlementaire, il ressort que la fraude concernant les cartes d'identité et les cartes de séjour diminue au fil des années : de 655 cas en 2014 à 397 en 2017. Soit un pourcentage de fraude de... 0,0041 %. Et cette fraude n’est pas liée au terrorisme.
Selon le ministre, il n'entre nullement dans ses intentions de stocker toutes les empreintes digitales dans une banque centrale de données. Les empreintes digitales ne peuvent être enregistrées que pour la durée de la création de la carte d'identité et elles ne seront conservées que sur la puce de cette même carte d'identité.
Plus sûr ? Non, plus dangereux !
Mais il est clair qu'ici, c'est une première étape qui est franchie en direction du stockage numérique systématique des empreintes digitales.
L'utilisation de données biométriques (outre les empreintes digitales, citons également la reconnaissance faciale, le scannage de l'iris, etc.) se pratique de plus en plus dans notre société : pour l'accès à des bâtiments, pour les paiements, pour déverrouiller son smartphone... Comment le gouvernement peut-il garantir que seules les autorités compétentes pourront lire la puce reprenant nos empreintes digitales ?
Il prétend que tout cela sert à notre sécurité mais cela ne fait qu'augmenter le danger.
Par définition, les données biométriques ne sont pas modifiables, au contraire des simples mots de passe. Mais c'est là précisément que réside le danger. Si votre e-mail ou votre compte Facebook est piraté, vous y remédiez rapidement en modifiant votre mot de passe. Si, par contre, ce sont vos empreintes digitales que l'on pirate, il n'existe forcément aucune possibilité d'en avoir de nouvelles et, dans ce cas, vous perdez tout simplement le contrôle de vos données.
5,6 millions d'empreintes digitales volées
Des dérapages ont déjà eu lieu. En 2015, des pirates sont parvenus à s'introduire dans les systèmes informatiques de l'Office of personnel management – la section Ressources humaines de l'État américain – et de s'emparer des empreintes digitales de 5,6 millions de fonctionnaires. Les données et empreintes digitales avaient été fournies par les fonctionnaires selon des procédures standardisées de screening. Parmi les victimes figuraient les collaborateurs du FBI, de la NASA, du ministère de la Défense... Les empreintes digitales sont liées à des informations extrêmement sensibles, comme la consommation d'alcool et de drogue, les pratiques sexuelles, la situation financière, les maladies psychiques, un éventuel passé criminel, etc. Soit des informations suffisantes pour soumettre au chantage des personnes occupant des positions clés ou ayant accès à des secrets d'État.
L'accès aux données personnelles pour six euros
En Inde aussi, les choses ont gravement dérapé. La banque centrale de données de l'État indien comprend les données biométriques et personnelles (empreintes digitales et scanner de l'iris) d'à peu près toute la population de l'Inde. On estime que 98 % du 1,3 milliard d'Indiens sont déjà repris dans la banque de données. Aadhaar – c'est le nom du système – constitue ainsi la plus grande banques de données biométriques au monde.
Mais il y a eu des fuites. Une journaliste a obtenu l'accès à un site via lequel, pour 500 roupies seulement (environ 6 euros), elle a eu accès à des données personnelles d'Indiens.
Aadhaar était au départ un système censé n'accéder qu'aux seules cartes d'identité mais, entre-temps, les citoyens indiens doivent présenter leurs données Aadhaar pour à peu près tout : acheter des billets de concert, remplir sa déclaration fiscale, installer Internet chez soi... « J'ai l'impression d'avoir un collier numérique autour du cou », a déclaré Mishi Choudhary, directeur juridique du Software Freedom Law Center.
La Haute Cour de justice indienne s'est penchée sur Aadhaar et a reconnu que la vie privée était un droit fondamental garanti par la constitution indienne, mais elle estime également que les « avantages » pèsent plus lourd que les risques pour la vie privée.
Danger de contrôle de masse
Un autre danger est que ces données de masse tombent aux mains de gouvernements moins réticents à en abuser et à tenir la population sous contrôle permanent. Il doit être interdit de centraliser les données biométriques des gens. Le danger de contrôle de masse et de violation de la vie privée est grand. Nous le voyons déjà avec les caméras de reconnaissance faciale. Grâce à cette reconnaissance faciale, les autorités peuvent se servir de cette banque de données pour installer un système de contrôle général. Les caméras accrochées partout aujourd'hui pourraient alors reconnaître des visages et les lier aux informations d'une banque de données.
#ikweiger, #jerefuse
Sur les médias sociaux, des protestations massives avaient eu lieu fin 2018 contre le projet d'inscrire les empreintes digitales sur la carte d'identité. Avec le hashtag #ikweiger (je refuse), nombreux sont ceux qui avaient fait savoir qu'ils n'ont pas l'intention de laisser prendre leurs empreintes digitales. Les tests effectués à présent dans différentes communes dont Lokeren, Ostende, Leuven, Charleroi et Bruxelles représentent une nouvelle opportunité pour relancer un mouvement de protestation en s’opposant à ces tests.