L’usage des données biométriques et les risques lies à la protection des données...
Les nombreuses menaces de fraude, de terrorisme, voire de cybercriminalité, ont poussé les les organisations publiques et les entreprises privées à se tourner vers de nouveaux mécanismes technologiques qui se sont graduellement mis en place dans notre société moderne.
Parmi ces technologies, figure la biométrie qui intègre la catégorie des données sensibles dans la mesure où elle permet l’identification et l’authentification des personnes physiques de manière efficiente. La biométrie qui était autrefois utilisée dans des cas exceptionnels, est devenue un outil grand public voire un gadget (déverrouiller un téléphone, justifier de son identité, avoir accès à certains locaux).
Définition
La biométrie n’a pas encore de définition légale clair en droit ivoirien. Cependant, une définition universelle est empruntée au Règlement Général européen sur la Protection des Données (RGPD). Elle décrit les données biométriques comme étant : « des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, psychologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telle que des images faciales ou des données dactyloscopiques. » En d’autres termes, les données biométriques sont un ensemble de données physiques, biologiques ou des mesures comportementales qui permettent d’identifier de façon unique une personne physique. Il s’agit ici de l’analyse des caractéristiques physiques strictement propres à une personne (iris, empreintes digitales, voix, visage, etc.).
Ainsi, faut-il distinguer deux catégories de données biométriques : les données physiologiques et les données comportementales. Les premières peuvent être biologiques ou morphologiques (l’ADN, le sang, la salive, l’urine, les empreintes digitales, les formes de la main, du doigt et du réseau veineux, l’œil, la forme du visage) et les secondes sont en rapport par exemple avec la reconnaissance vocale, la dynamique des signatures, de frappe d’un clavier à l’ordinateur, la manière d’utiliser des objets, la démarche, le bruit des pas, la gestuelle, etc.
De ce fait, on peut constater que la biométrie regroupe un vaste et important réseau de données qu’on pourrait qualifier de données à risque tant elles sont précises.
Utilisation
Par ailleurs, la biométrie présente plusieurs avantages notamment la garantie d’une authentification forte (les données biométriques ne peuvent être oubliées ou falsifiées). Selon les calculs de l’anthropologue britannique Francis Galton, la probabilité de trouver deux empreintes digitales semblables est d’une chance sur 64 milliards même chez les vrais jumeaux. La biométrie est donc indissociable de la question de l’identification des personnes physiques.
Néanmoins, l’on s’interroge, d’une part, de savoir si toute entité publique ou privée peut collecter et traiter les données biométriques. Quels risques représentent véritablement l’utilisation des données biométriques, d’autre part ?
Cadre légal
Dans le dispositif légal ivoirien la biométrie est régie par la loi N°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel.
Cette loi, en son article 7 alinéa 1er, impose que le traitement de données à caractère personnel portant sur les données biométriques, fasse l’objet d’une autorisation préalable de l’Autorité de protection. Cette autorité désignée par le législateur n’est autre que l’Autorité de Régulation des Télécommunications en Côte d’Ivoire (ARTCI). Cette disposition légale signifie que les données biométriques, en principe, ne peuvent faire l’objet de collecte et de traitement. Mais exceptionnellement, elles peuvent l’être qu’après une demande d’autorisation préalable à l’ARTCI. La protection des données à caractère personnel, à travers cette loi, vise la préservation de la vie privée et les libertés individuelles des personnes physiques dont les données peuvent être collectées et traitées à chaque moment et même à leur insu. Il en ressort qu’il faudrait donc créer et conserver un équilibre entre l’utilisation des données biométriques pour authentifier l’identification des personnes forte pour amoindrir les risques d’erreur et le respect de leur vie privée.
Cadre institutionnel
En réalité, selon un Communiqué de la direction générale de l’Office National de l’Etat Civil et de l’Identification (ONECI) portant sur le cadre légal de l’authentification des titres d’identité et de l’enrôlement biométrique en date du mardi 5 janvier 2021, l’ONECI est la seule entité habilitée et autorisée à assister les administrations publiques, parapubliques et privées pour les opérations d’authentification des titres et des enrôlements biométriques. Ce qui veut tout simplement dire que l’Etat ivoirien n’autorise la collecte et le traitement des données biométriques qu’en faveur de l’ONECI. Il faut souligner à cet effet que les données biométriques dont l’ONECI assure la gestion ont été collectées par une entreprise prestataire notamment SEMLEX. Cette dernière a été suivie par le Cabinet SMS dans son processus de mise en conformité. Par conséquent, aucune autre entité sur le territoire ivoirien ne peut effectuer la collecte ni le traitement de données biométriques sans les déclarer à l’ARTCI et sans en référer à l’ONECI.
Enjeux réels
Les données biométriques font partie des données personnelles et ne peuvent être traitées que dans certaines conditions préalables (Cf. article 21 alinéa 2 de la Loi ivoirienne n°2013 du 19 juin 2013 relative à la protection des données à caractère personnel). Mais, à partir du moment où les données biométriques sont en possession d’un tiers, il y a toujours un risque qu’elles soient utilisées à des fins différentes de ce à quoi la personne concernée a consenti : on parle alors de détournement de finalités. Aussi, cela se produit-il lorsque ces données servent à des traitements non initialement prévus. En effet, elles peuvent être captées par les hackers lors de leur transmission. Un autre risque est celui de l’usurpation d’identité dans le processus d’authentification biométrique. De plus, des fuites de données biométriques peuvent intervenir et donner lieu à des consultations par des personnes non autorisées. Cependant, le risque majeur, au regard de la protection de la vie privée, serait la perte de contrôle d’une personne sur ses propres données. De ce fait, il faut se rendre à l’évidence, à l’heure du numérique, la violation d’une donnée biométrique présente un risque plus élevé que pour n’importe quel autre type de données.
Conclusion
En définitive, retenons que les données biométriques sont beaucoup utilisées de nos jours eu égard aux avantages qu’elles offrent. Nonobstant cette réalité, il serait idéal de savoir garder l’équilibre pour ne pas porter atteinte à la vie privée et aux libertés individuelles des personnes physiques. Néanmoins, pour mieux sécuriser les données biométriques, on pourrait recommander à ces entités traitant ce type de données de ne pas les héberger elles-mêmes, c’est-à-dire de les conserver chez leur propriétaire sous forme de passeport ou de badges. Dans le cas où les données seraient stockées ailleurs, il serait important que leur support soit hautement sécurisé par des méthodes de chiffrement performantes.
Yann-Carelle Djoké
Juriste