Ne manquez rien avec l’infolettre.
Biométrie: technologie sécuritaire? : Le corps comme NIP
Société

Biométrie: technologie sécuritaire? : Le corps comme NIP

Avec la menace terroriste qui plane sur nos têtes, de nouvelles mesures de sécurité ultrasophistiquées font leur apparition. Parmi elles, la biométrie vient tout juste d’arriver à Montréal. Cette technique de reconnaissance de l’iris ou de la paume de la main, fantasme des films hollywoodiens, est-elle vraiment sans danger pour la vie  privée?

La barrière psychologique, érigée entre l’Amérique du Nord et le monde étrange et dangereux qui l’entoure, a été fracassée. Depuis le 11 septembre, nous sommes non seulement prêts à accepter, mais nous exigeons de nouvelles mesures de sécurité pour combattre le terrorisme. Au nom de la sécurité nationale, nous acceptons d’attendre un peu plus longtemps au poste-frontière de Lacolle, et même de mettre notre lime à ongles dans la soute à bagages de l’avion.

À Ottawa, Québec et Washington, on débat encore de la forme définitive que prendront ces nouvelles mesures de sécurité. On sait cependant qu’en plus de resserrer les dispositifs actuels, la nouvelle réalité devrait accélérer l’implantation de nouvelles technologies annoncées depuis longtemps, telle la biométrie.

La technologie biométrique, qui, jusqu’à tout récemment, ne servait qu’à protéger des coffres-forts ou des agences top secrètes du gouvernement américain dans les films d’Hollywood, est aujourd’hui disponible commercialement. La Bank United of Texas utilise une technologie de reconnaissance de l’iris sur ses guichets automatiques depuis 1999, et plusieurs aéroports à travers le monde ont mis différents systèmes à l’essai. Ceux de reconnaissance de l’iris, de la rétine, de la voix, du visage ou même de l’odeur corporelle (merci à ces messieurs du MIT!) ne coûtent plus que quelques milliers de dollars, logiciels et installation inclus.

Le lundi 22 octobre 2001, la biométrie est arrivée à Montréal. Un nouvel équipement ultra-sophistiqué qui permet d’identifier un individu à la forme de sa main a été installé à l’entrée des bureaux d’une organisation connue sous le mystérieux acronyme de CEPSUM.

"On avait beaucoup de problèmes sur le plan du contrôle des entrées, explique Paul Krivicky, directeur du Centre d’éducation physique et de sport de l’Université de Montréal. On a 50 000 étudiants plus 50 ou 60 000 autres personnes qui prennent des cours à la carte. C’est un million d’entrées et de sorties par année. On perdait le contrôle."

L’utilisation du nouveau système n’est pas obligatoire, mais 99 % des membres du CEPSUM acceptent de l’utiliser, assure M. Krivicky. "Chacun a son concept de ce qu’il veut divulguer. Il y en a qui ne veulent pas qu’on touche à leur corps."

Et les risques?
Avec la biométrie, notre corps devient la "clef" qui donne accès à nos informations personnelles. Certaines gens n’aiment vraiment pas cette idée. Par exemple, plus il y aura d’organisations qui utiliseront la biométrie, plus il y aura de gens qui posséderont une copie de notre "clef", sous forme de fichier informatique. Si le système de reconnaissance de la géométrie de la main implanté au CEPSUM est aussi utilisé par une banque, est-ce qu’un employé du CEPSUM peut se servir de cette information pour accéder au compte de chèques de l’abonné? Aujourd’hui, si l’on croit que quelqu’un est en possession du NIP qu’on utilise au guichet automatique, on peut le changer. Mais si un hacker vole ou trafique une base de données où sont enregistrées nos informations biométriques, on fait quoi? On change de main?

"Une fois que c’est parti, ça croît assez rapidement, ce genre de choses-là, constate André Ouimet, directeur du Service juridique de la Commission d’accès à l’information du Québec (CAI). La population va y être confrontée à l’aéroport et aux postes-frontières. Les ingrédients sont là pour que ce soit une réalité dans la société à venir."

Le Québec est une des seules juridictions en Amérique du Nord à posséder une loi encadrant l’utilisation de l’information biométrique. La récente loi concernant le cadre juridique des technologies de l’information, qui vient tout juste d’être adoptée le 1er novembre, donne de vastes pouvoirs à la Commission d’accès à l’information du Québec. Toutes les entreprises de juridiction québécoise qui utilisent ou utiliseront des appareils biométriques devront obligatoirement enregistrer leurs bases de données auprès de la CAI. La loi stipule que l’utilisation de technologies biométriques ne peut pas être obligatoire, que les caractéristiques et mesures biométriques d’un individu ne peuvent être transmises à un tiers sans l’autorisation du principal intéressé, et que ces informations doivent être détruites dès qu’elles ne sont plus indispensables.

La commissaire d’accès à l’information aura aussi le pouvoir d’ordonner la suspension, l’interdiction, et même la destruction des bases de données biométriques.

"On va s’assurer que ça ne serve qu’à recueillir des renseignements nécessaires. Si votre entreprise est un vidéoclub et que votre vocation est de louer des films, on peut se poser la question: >Est-ce une nécessité pour vous de recueillir des mesures biométriques?> On va toujours se baser sur les principes essentiels: la pertinence de la cueillette, la sécurité des informations, et l’interdiction de communiquer ces informations." Mais avant de tenir pour acquis que toutes les compagnies qui vont vouloir scanner un petit bout de notre corps respecteront les règles du jeu élaborées par la CAI, il faut savoir que ces règles n’ont pas encore été écrites. "On devrait commencer à recevoir les bases de données très bientôt. Comment on va administrer ça? On ne le sait pas encore."

Bien des sceptiques
Plusieurs personnes, dont Ann Cavoukian, la commissaire de l’accès à l’information de l’Ontario qui a beaucoup publié sur le sujet de la biométrie, recommandent qu’on utilise, dans toutes les situations où c’est possible, l’identification anonyme, ou la biométrie light. Il s’agit de programmer les appareils pour qu’ils puissent seulement identifier l’utilisateur comme l’"une" des personnes autorisées à utiliser un service et non comme une "personne en particulier". L’identification anonyme a pour avantage de calmer les craintes des gens qui ont peur que la biométrie permette éventuellement à quelqu’un de les suivre pas à pas, du stationnement au guichet automatique, à la cafétéria ou au gym… "Des gens du service technique vont regarder s’il y a des moyens techniques d’empêcher qu’une caractéristique soit associée à un individu en particulier", assure André Ouimet.

Une autre crainte des biométrico-sceptiques est que les informations servent à d’autres fins que la simple identification des personnes. Déjà, les appareils de reconnaissance de l’iris sur le marché sont assez sophistiqués pour diagnostiquer le diabète, l’artériosclérose, l’hypertension et les maladies des yeux… La loi du Québec a prévu le coup, assure M. Ouimet. "On ne peut pas utiliser l’information biométrique à d’autres fins que l’identification."

À la Fédération des associations étudiantes du Campus de l’Université de Montréal, on n’a toujours pas reçu de plaintes au sujet du système qui est en fonction au CEPSUM depuis une semaine. "Le peu que j’en sais, c’est que la seule information qu’on peut retirer du système est que telle personne a telle grandeur de main et qu’elle n’a pas changé de grandeur de main depuis la dernière fois", explique Nicolas Trottier.

Les abonnés du CEPSUM doivent composer un NIP pour avoir accès au bâtiment, et les appareils ne font que vérifier si la forme générale de la main de la personne qui a composé le code correspond bien à celle de l’abonné. Le système permet aussi de contrôler quels employés consultent les dossiers des membres. "Ce sont des personnes très spécifiques avec des codes d’accès très précis, assure M. Krivicky. Ce n’est pas différent d’autres organisations. On s’est assuré que la sécurité soit top notch et que tout le câblage soit interne, de point à point."

Marc-Antoine Flot, un consultant qui a assisté le CEPSUM dans la sélection d’un système, est encore plus rassurant. "La main de l’utilisateur est codifiée en fonction du CEPSUM. Si la banque TD utilise le même système, la main ne sera pas nécessairement codifiée de la même façon." M. Flot tient à préciser que les lecteurs installés à l’UdeM ne sont pas des lecteurs d’empreintes digitales. "Ce que je trouvais particulièrement intéressant de ce système, c’est que le corps policier ne peut pas s’intéresser à cette information-là, à moins que vous laissiez votre main coupée sur le lieu du crime."

Et si l’on a perdu sa main, c’est difficile d’aller faire des "push-ups" au gym de l’Université de Montréal…