Embed Size (px)
Citation preview
Selon le rapport du Forum Economique Mondial de cette année (i), l’internaute moyen compte aujourd’hui 92 comptes en ligne et devrait en avoir plus de 200 d’ici 2020. Tous ces « comptes » en ligne et les données associées sont créées par des institutions pour améliorer l’efficacité ou augmenter les revenus, mais en l’absence de normes communes, les utilisateurs individuels ne comprennent, ni ne contrôlent la façon dont ils sont représentés en ligne. Les scandales récents tels que les violations de la confidenti-alité Facebook / Cambridge ou les piratages de données personnelles chez Marriott, soulignent une fois de plus le besoin urgent d’une sécurité renforcée et d’une législation robuste en matière de confidentialité.
Défis biométriques à l’ère du RGPD(Règlement Général sur la Protection des Don-nées)Par le Dr Michiel van der Veen et le Dr Els Kindt
Trouver le juste équilibre entre exigences techniques, légales et éthiques
Alors que le monde entre rapidement dans la quatrième ère industrielle, de plus en plus de personnes mettent en ligne davantage de données personnelles et celles de leurs appareils. Dans ce vaste paysage numérique, un large éventail de sociétés privées et d’agences gouvernementales collectent, traitent et (re)vendent ces données et établissent des identités numériques autour d’elles. Avec les empreintes digitales, la reconnaissance des visages et la technologie de balayage de l’iris, les systèmes biométriques peuvent ensuite authentifier et vérifier des personnes pour autoriser ou refuser l’accès à un large éventail de services. Mais comme toujours, tous ces nouveaux développements présentent également une toute nouvelle gamme de difficultés éthiques, juridiques et tech-niques. Les surmonter sera l’un des principaux défis de notre époque.
De l’autre côté de la fracture, la Banque Mondiale estime que 1,1 milliard de personnes dans le monde n’ont aucune identité formelle ou civile, physique ou numérique, les laissant sans accès aux soins de santé, aux services financiers ou à l’aide humanitaire dont ils ont tant besoin. L’un des objectifs de développement durable des Nations Unies est de résoudre ce problème avant 2030. C’est ici que la technologie peut jouer un rôle pivot. Les systèmes biométriques dans les régions les plus pauvres du monde ont créé une identité numérique vérifiable pour des millions de personnes, les inscrivant gratuitement ou à faible coût dans de grandes bases de données. Mais tout comme dans le cas des nantis numériques, l’identité numérique des démunis doit égale-ment être organisée autour d’un ensemble de normes partagées, ne serait-ce que pour protéger les plus vulnérables contre toute exploitation ultérieure.
Authentifier, profiler, déduireLa portée évolutive de nos identités numériques englobe un certain nombre de fonctions censées nous faciliter la vie. Chaque fois que nous nous connectons à nos services bancaires par Inter-net, que nous passons la douane ou que nous présentons notre carte d’identité à une autorité, nous procédons par un processus d’authentifica-tion par lequel nous affirmons qui nous sommes et le droit de contacter ou d’utiliser un service qui en découle. Pour faire vérifier notre identité, nous utilisons des mots de passe ou des méthodes biométriques telles que les empreintes digital-es, la reconnaissance faciale ou les balayages de l’iris. Nos profils numériques en constante
croissance peuvent inclure des attributs de don-nées exclusives (biométriques) ou des attributs décernés tels que nos noms ou nos numéros d’identification national. Sur la base de ces don-nées, associées à nos historiques en matière de crédit, de santé et de comportements d’achat, de grandes organisations propriétaires de données prennent toutes sortes de conclusions ou de décisions dans la vie réelle, comme accorder un prêt, autoriser (ou refuser) l’accès à son compte bancaire ou prestations médicales
Alors que de plus en plus de nos données per-sonnelles se retrouvent en ligne, les problèmes de confidentialité ne font qu’augmenter. L’utilisa-tion de la biométrie pour l’authentification ne fera probablement que renforcer cette tendance. Plus sensibles que d’autres types de données à car-actère personnel, les données biométriques peu-vent être liées de manière unique à un individu et peuvent révéler des informations sensibles telles que le sexe, l’âge, l’appartenance ethnique et l’état de santé. Si elles sont compromises une fois, les conséquences peuvent durer toute une vie. Outre les menaces à la cyber-sécurité com-mises par des personnes mal intentionnées, un autre problème est la menace des organisations officielles (étatiques) disposant d’un pouvoir énorme en matière de collecte, de centralisation et d’extraction de données sensibles à des fins de suivi ; potentiellement préjudiciables au quoti-dien et à la vie privée des citoyens. Les garanties de sécurité et de confidentialité doivent donc être parfaites.
233 234
d’accès physique ;9. si le traitement des données empêche les
personnes concernées d’exercer un droit, d’utiliser un service ou un contrat.
En regardant de près ces conditions, on en con-clura que la collecte et le traitement de données biométriques à quelque fin que ce soit entraînent inévitablement l’obligation d’effectuer une AIPD. Cela semble également être l’avis du Comité Européen de la Protection des Données, qui applique cette obligation aux États membres de l’UE. Bien que la manière dont les AIPD doivent être exécutées ne soit pas spécifiée exactement, elles décrivent généralement la nature, la portée, le contexte et les objectifs du traitement des données ; évaluer la nécessité, la proportionnal-ité et les mesures de conformité ; identifier et évaluer les risques pour les personnes et identi-fier toute mesure supplémentaire pour atténuer ces risques. Le non-respect du RGPD peut en-traîner des amendes pouvant aller jusqu’à 2% du chiffre d’affaires global annuel de l’organisation ou à 20 millions d’euros, voire le double.
Bonne identification, biométries fortesAu-delà du RGPD de l’Union Européenne, les par-ticipants au Forum Economique Mondial de 2018 ont identifié cinq éléments de la « bonne » iden-tité afin de protéger l’identification en ligne des personnes et de combler le fossé qui les sépare des personnes sans identité. Pour répondre aux exigences technologiques, supprimer toutes les préoccupations éthiques et surmonter les défis juridiques, tout système d’identité (biométrique) doit être adapté à son objectif, inclusif, utile et sécurisé, et offrir un choix à ses utilisateurs.
Et comme les données biométriques sont de plus en plus utilisées pour authentifier les individus
à travers le monde, les risques liés à l’utilisation de ces systèmes augmentent en conséquence. Seules les garanties juridiques et techniques les plus strictes permettront la collecte et le traite-ment des interfaces de données biométriques avec les droits fondamentaux des personnes. Chaque fois qu’un cadre juridique et technique de protection de la vie privée n’a pas (encore) été développé, comme c’est le cas dans de nombreux pays en développement, un ensemble de base de normes communes basées sur des critères éthiques devrait être mis en œuvre dès que possible. Le RGPD est un bon pas en avant dans la protection des données à caractère personnel, mais des discussions sont en cours sur la portée et la définition de la biométrie et sur la conformité pratique avec cette loi de l’UE. Quel que soit le résultat de ces délibérations, les entreprises et les gouvernements doivent toujo-urs se conformer à l’obligation la plus stricte de gérer nos données à caractère personnel de la manière la plus éthique possible.
Els Kindt est un juriste, chercheur postdoctoral à la Katholieke Universiteit de Louvain et pro-fesseur associé, eLaw, à l’université de Leyde, aux Pays-Bas. Le Dr Michiel van der Veen est un expert en biométrie et directeur général de l’EAB (www.eab.org). Ils se sont récemment associés pour s’attaquer à des problèmes juridiques et techniques respectifs, en ce qui concerne la biométrie et le RGPD.
Notes de bas de page :(i) Rapport préliminaire du Forum Economi-que Mondial : « Identity in a Digital World - A new chapter in the social contract », septembre 2018(ii) RGPD de l’UE, article 4 (14)(iii) RGPD de l’UE, article 9 (2a-j)
Première communauté européenne de l’Identification
L’Association européenne de biométrie (EAB) est la principale voix en matière d’identification numérique et biométrique en Europe. Nous sommes une association à but non lucratif et non parti-sane. EAB a pour mission de relever les défis complexes de l’identification auxquels est confrontée l’Europe, allant de la migration au respect de la vie privée.
Notre rôle est de promouvoir l’utilisation responsable et l’adoption de systèmes d’identité numéri-que modernes qui améliorent la vie des gens et stimulent la croissance économique. À travers une série d’initiatives, EAB soutient toutes les couches de la communauté de l’identification en Europe, y compris les gouvernements, les ONG, l’industrie, les associations, les groupes d’intérêt spécifique et les milieux universitaires. Nos initiatives sont conçues pour favoriser la mise en réseau et le débat, que ce soit lors d’un événement organisé par EAB en Europe, ou en fournissant des con-seils et un soutien impartial aux membres individuels. En fin de compte, nous servons les citoyens européens dans le développement de systèmes d’identité biométriques modernes, équitables, accessibles et sécurisés, tout en respectant la vie privée. Plus d’infos : www.eab.org
Entrez dans le RGPDLa législation la plus ambitieuse et la plus about-ie à ce jour visant à protéger l’identité numérique des utilisateurs individuels est le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne. Elle clarifie la manière dont les données personnelles doivent être traitées et établit plusieurs droits pour les individus concernant leurs données numériques person-nelles. Les personnes, ou « sujets numériques », comme on les appelle dans le RPGD, ont le droit d’accéder à leurs données et savent comment les organisations collectent et traitent les données les concernant. Ils peuvent également demander que leurs données soient effacées et leur accès restreint et peuvent même s’opposer à leur utili-sation à des fins de marketing.Le RGPD définit les données biométriques comme des “données à caractère personnel résultant d’un traitement technique spécifique relatif aux caractéristiques physiques, physi-ologiques ou comportementales d’une personne physique, qui permettent ou confirment l’identi-fication unique de cette personne physique (ii)”. Considérées comme des données personnelles particulières, elles ne peuvent être traitées que dans le cadre d’exemptions spécifiques. Par exemple, la personne concernée doit avoir donné son consentement explicite pour que ses données soient utilisées. Le traitement de ces données doit être nécessaire à l’exécution des obligations et à l’exercice de droits spécifiques entre le responsable du traitement et la personne concernée en matière de droit du travail, de sécurité sociale et / ou de loi sur la protection sociale. En outre, le traitement est nécessaire pour protéger les intérêts vitaux du « sujet numérique » ; pour l’établissement et l’exercice
de la défense des revendications juridiques ; ou pour des raisons d’intérêt public majeur (iii).
Article 35 : AIPDL’une des mesures les plus importantes pres-crites par le RGPD pour les organisations qui ras-semblent et traitent de gros volumes de données consiste à effectuer une Analyse d’Impact sur la Protection des Données (AIPD). Chaque fois que le traitement de données risque d’entraîner un « risque élevé » pour les droits et libertés des personnes physiques, la société ou l’organisme gouvernemental doit procéder à cette analyse et prendre toutes les mesures nécessaires pour protéger les données et se conformer au droit de l’UE. Neuf critères constituent un risque élevé pour les droits et libertés des personnes, et le respect d’un seul d’entre eux est suffisant pour obliger l’organisation à exécuter une AIPD :
1. évaluation ou notation pour créer le profil d’un utilisateur
2. prise de décision automatisée, y compris en cas de risque d’exclusion ou de discrimina-tion
3. suivi systématique ;4. données sensibles ou de nature très person-
nelle (par exemple, dossiers médicaux);5. données traitées à grande échelle ;6. appariement ou combinaison de bases de
données ;7. des données concernant des personnes
vulnérables (par exemple, des enfants, des employés ou des personnes âgées) ;
8. utilisation innovante ou application de nou-velles solutions technologiques ou organisa-tionnelles telles que les empreintes digitales et la reconnaissance faciale pour le contrôle
235 236
