La biométrie est dans l'air du temps. Titres d'identité, contrôles aux frontières, accès aux sites, identification des patients, sécurisation des paiements, contrôle d'accès aux smartphones ou aux systèmes d'information... elle est partout et s'impose comme une évidence.

Cela n'a pas toujours été le cas. Il y a encore une dizaine d'années, cette technique qui consiste à identifier ou authentifier une personne à partir de ses caractéristiques physiques, biologiques ou comportementales, suscitait une certaine méfiance de la part du grand public et restait confinée aux applications régaliennes, militaires, ou de haute sécurité.

Depuis lors les choses ont changé, sous l'effet de deux principaux facteurs. Le premier est un sentiment général d'insécurité, qui fournit une légitimité difficilement contestable à l'introduction de titres identitaires biométriques et à la mise en œuvre de moyens de contrôles des populations et des flux migratoires reposant sur la biométrie. Le second est la banalisation technologique de ces procédés dans les applications commerciales, smartphones, objets connectés ou montres-qui-savent-tout-sur-vous, dont le côté ludique créée une acclimatation naturelle à la mesure biométrique.

Des bases de données centralisées

Bien sûr, toutes les applications biométriques ne se valent pas en termes de dangerosité pour les libertés individuelles. Leurs modalités sont diverses et font l'objet de recherches en constante progression. Parmi les plus dangereuses figurent celles qui impliquent la constitution de bases de données centralisées d'identifiants biométriques, qui visent notamment à empêcher une personne d'exister sous deux identités différentes.

Ce type d'application est essentiellement régalien (bases d'empreintes digitales par exemple), mais peut aussi être le fait d'entreprises privées compte tenu de la facilité de récupération de certaines données physiques ou comportementales (photos, vidéos, sites de santé, géolocalisation par les constructeurs ou les applications de navigation par exemple). A côté de cela, les applications qui se contentent de comparer la donnée présentée par l'individu avec une référence cryptée stockée dans un support physique (clé USB, smartphone, carte à puce) sont évidemment beaucoup moins susceptibles de dérives. Entre les deux, l'imagination des fournisseurs est au pouvoir et les offres prolifèrent.

Comment protéger les données personnelles?

Dans quelle mesure le droit français aujourd'hui, demain le droit européen au travers du futur règlement sur la protection des données personnelles, peut-il efficacement endiguer cette vague de fond ?

Le droit français actuel, par la voix de la doctrine de la CNIL, n'autorise qu'avec parcimonie les dispositifs biométriques de contrôle d'identité, qui sont systématiquement passés au crible de ses trois principes directeurs : proportionnalité entre la finalité du traitement et les risques en matière de protection des données et de la vie privée ; sécurité des données ; information suffisante des personnes concernées.

Visions américaine ou protection de la vie privée

La logique du futur règlement européen en la matière n'est pas encore arrêtée et fait l'objet de discussions entre les tendances conservatrices ou libérales qui s'affrontent au niveau de la Commission. Ces tendances ne font en réalité que refléter les différences assez considérables de point de vue entre ceux qui se rapprochent de la vision américaine, qui privilégie les impératifs sécuritaires et les applications commerciales grand public largement promues par des fournisseurs US, et ceux qui tentent de rester sur une ligne dure de protection de la vie privée.

On peut raisonnablement affirmer aujourd'hui que la visibilité dont nous disposons sur l'efficacité de l'outil juridique pour encadrer l'utilisation des éléments du corps humain dans notre vie de demain, que ce soit dans ses aspects public ou privés, depuis les courses de tous les jours jusqu'aux déplacements en passant par les soins, est pour le moins incertaine. Et elle l'est d'autant plus que le bloc européen est isolé dans ses tentatives de régulation, coincé d'un côté entre le bloc américain et de l'autre entre un certain nombre d'Etats de notre grande planète mondialisée dont les droits de l'homme ne sont pas la première préoccupation.

Il y a là un vrai sujet politique, et un vrai sujet de responsabilité collective, sur lequel on aimerait bien voir un peu plus d'information digne de ce nom et un peu moins de galimatias technico-mercantilo-juridique.

www.irenard-avocat.com