« Considérée comme la panacée en matière d’identification et d’authentification, (…) la biométrie est aujourd’hui amenée à se développer massivement sans qu’aucune réflexion réelle n’ait été conduite sur les conséquences à l’égard des personnes, des erreurs d’identification biométriques ». Prononcés par l’ancien président de la CNIL, Alex Türk[1], ces mots trouvent un retentissement depuis l’annonce, le 10 septembre dernier, de la sortie du dernier smartphone d’Apple, l’iPhone 5S[2]. La nouveauté n’est pas tant son processeur de nouvelle génération que le capteur biométrique nommé « Touch ID », qui permet de scanner les empreintes digitales de l’utilisateur. Au traditionnel code PIN permettant le déblocage de l’écran de verrouillage se substitue désormais un système de reconnaissance à partir d’une caractéristique biologique propre à l’individu, dite donnée biométrique. Cette fonctionnalité n’est pas totalement nouvelle[3], mais dans un contexte où plus de 24 millions de français possèdent un smartphone au premier trimestre de l’année 2013[4], une nouvelle ère en matière de sécurité pourrait se généraliser sur le plan mondial.
La collecte d’empreintes digitales n’est plus l’apanage de l’Etat, à l’instar du ministère de l’Intérieur pour la constitution du passeport biométrique, ou encore des services de police pour la constitution d’un fichier automatisé. Désormais, le système de reconnaissance par voie d’empreintes digitales envahit le quotidien : il permet de démarrer une voiture, d’accéder à son lieu de travail ou encore de bénéficier des avantages d’une carte de fidélité dans les grandes surfaces. L’implémentation de cette technologie dans un smartphone franchit une étape symbolique puisque par définition, une donnée biométrique est intégrée dans un téléphone « intelligent », c’est-à-dire dans un ordinateur mobile, largement répandu et massivement utilisé, pourvu d’une interface au réseau informatique mondial par le moyen d’une connexion Internet haut-débit. Mais cette numérisation de l’empreinte digitale, spécifiquement au sein d’un système d’exploitation sophistiqué, interroge du point de vue de la protection des données personnelles. Comme le rappelle la CNIL, « lorsqu’un service sur téléphone mobile est assuré par une entreprise située en France, celle-ci doit se conformer à la loi Informatique et Libertés et la CNIL peut notamment contrôler cette entreprise. »[5].
Si en l’état des données communiquées par le groupe Apple, le capteur biométrique de l’iPhone 5S n’est pas assujetti à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (I) en revanche, à l’avenir, toute perspective juridique n’est pas fermée compte tenu des risques à craindre de cette technologie avancée (II).
I] La non applicabilité de la loi sur la protection des données personnelles
L’empreinte digitale numérisée constitue sans nul doute, à plus forte raison parce qu’elle est une donnée biométrique à « trace », une donnée personnelle au sens de la loi (A). Néanmoins, l’applicabilité de la loi informatique et libertés n’est pas uniquement conditionnée par la nature de la donnée personnelle, le législateur s’est également attaché aux conditions de son utilisation, qui dans le cas présent, ne sont pas illégales (B).
A) Le relevé d’empreintes digitales : une donnée personnelle sensible au sens de la loi
L’article 2 alinéa 2 de la loi informatique et libertés dispose : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence (…) à un ou plusieurs éléments qui lui sont propres ». En l’occurrence, l’empreinte digitale constitue une information « propre » à une personne physique. Singulièrement, à l’inverse de données personnelles telles que le nom, l’adresse, le numéro de téléphone ou tout autre donnée acquise au sein de la société, la crête épidermique est une donnée consubstantielle au corps humain. A l’évidence, comme l’affirme expressément la Cour européenne des droits de l’homme, les « empreintes digitales (…) constituent (…) des données à caractère personnel (…) car elles se rapportent à des individus identifiés ou identifiables »[6].
Il convient en outre de souligner que l’empreinte digitale numérisée ne constitue pas une donnée personnelle comme les autres. Il est certes possible d’opérer une classification des données biométriques selon leur degré de sensibilité[7] ; néanmoins, à l’inverse d’une donnée personnelle non biométrique, l’empreinte digitale constitue une information sur la personne qui n’est ni choisie par son détenteur ni attribuée par un tiers. Parce qu’elle fait partie intégrante de la personne humaine, son contenu ne peut en aucun cas être modifié, à l’inverse d’un code d’accès à chiffres. Au surplus, comme le souligne la CNIL, l’empreinte digitale constitue une donnée biométrique « à trace » laissée par son détenteur sur tous les supports qu’il touche. Celle-ci peut donc être capturée, à l’inverse d’autres données biométriques, comme par exemple le réseau veineux des doigts de la main ou le contour de la main qui sont sans « traces »[8]. Ainsi, l’autorité administrative indépendante assouplit son régime d’autorisation en ce qui concerne les dispositifs biométriques reposant sur la reconnaissance du contour de la main pour assurer le contrôle d’accès aux restaurants scolaires[9] ou aux lieux de travail et de restauration collective[10].
Pour autant, en dépit du degré élevé de sensibilité de l’empreinte digitale, celle-ci ne figure pas au titre des « dispositions propres à certaines catégories de données » prévues par la loi informatique et libertés. En posant une interdiction de principe quant à la collecte, notamment, des données personnelles relatives à la santé ou à la vie sexuelle, le législateur montre que certaines données sont plus exposées au risque que d’autres. L’intuition selon laquelle l’empreinte digitale est nettement plus sensible qu’une date de naissance ou un numéro de sécurité sociale est toutefois prise en compte par le législateur lorsqu’il attribue à la CNIL, au terme de la révision de la loi informatique et libertés en 2004, un pouvoir d’autorisation expresse des dispositifs biométriques[11]. L’instauration d’un régime d’autorisation préalable délivrée par une autorité administrative indépendante montre l’importance que constituent les données biométriques en matière de protection des données personnelles. Or, contrairement à ce que laisse entendre l’administration sur son site officiel, la nature des données ne suffit pas à déclencher le régime d’autorisation de la CNIL[12]. Leur mode de traitement fait obstacle, en l’état du capteur biométrique de l’iPhone 5S, à l’application de la loi.
B) L’usage exclusivement personnel de l’empreinte digitale : une exception à l’applicabilité de la loi
L’applicabilité de la loi informatique et libertés est conditionnées par un double critère : celui de la nature de la donnée et celui des conditions de son utilisation. L’article 2 prévoit en substance que « la présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles ». Il en ressort que l’usage à titre strictement personnel d’une donnée biométrique est exclusif de la délivrance d’une autorisation de la CNIL.
En ce sens, si le groupe des commissaires en charge de la protection des données émet, au niveau européen, des réserves concernant le stockage et la conservation des empreintes digitales dans des bases de données, il admet en revanche leur insertion dans une puce comprenant l’identité civile du titulaire[13]. Dans le même esprit, consulté pour avis sur un projet de décret en Conseil d’Etat relatif aux passeports électroniques, la CNIL a exprimé des réticences à l’encontre de la constitution d’un fichier biométrique central, tout en « tenant » à rappeler, sans avoir compétence pour suggérer des solutions alternatives dans un avis consultatif, qu’elle n’est pas hostile à la conservation des données biométriques sur un support individuel à usage personnel[14]. Par suite, il ne suffit pas que ces données soient stockées dans un support individuel, il faut encore que la personne ait « la maîtrise de sa donnée biométrique»[15]. Dans le cas contraire, l’autorisation de la CNIL est nécessaire, à l’instar des dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel pour contrôler l’accès aux locaux professionnels[16], même si la nature du support a toutefois conduit l’autorité administrative indépendante à prévoir un système simplifié d’autorisation unique.
A cette aune, il convient de s’intéresser aux conditions dans lesquelles les empreintes digitales numérisées sont stockées et conservées par l’iPhone 5S. Si l’on en croit Dan Riccio, directeur des équipes d’ingénieurs en charge de cette technologie, « toutes les informations sont encryptées au cœur du téléphone, dans l’enclave sécurisée de la puce A7, seulement accessible par TouchID [la touche du capteur biométrique]. [Ces informations] ne seront jamais disponibles à d’autres logiciels, jamais stockées sur les serveurs d’Apple ni sauvegardées sur iCloud. »[17]. Si le fabriquant indique que la fonctionnalité pourra être utilisée pour déverrouiller le téléphone, télécharger une application depuis l’ « App store » ou encore assurer une transaction sur « iTunes », celui-ci ne réceptionnerait qu’une simple signature électronique sans exploiter l’empreinte digitale en tant que telle. Si ces informations sont exactes, alors l’absence de demande d’autorisation adressée à la CNIL par le responsable du groupe Apple en France est légale. Cependant, si en l’état, la commercialisation de l’iPhone 5S est permise, la technologie propre au capteur biométrique est susceptible d’évoluer et d’emporter avec elles des menaces pour la vie privée des utilisateurs.
II Les risques à craindre du capteur biométrique de l’iPhone 5S pour la protection des données personnelles in futuro
Les modalités technologiques du lecteur d’empreinte digitale du dernier smartphone d’Apple ne sont pas figées pour l’avenir. L’entreprise multinationale américaine n’exclut pas, non sans conséquences juridiques, de modifier le mode de traitement des données biométriques enregistrées (A). De plus, rien ne permet à l’avance d’affirmer que la sécurité de ces données résistera au piratage informatique, ouvrant ainsi l’accès à des données personnelles sans retour en arrière possible (B).
A) Le risque lié à la modification par le fabriquant du mode de traitement des données biométriques enregistrées
En l’état, Apple exclut que les empreintes digitales numérisées puissent être accessibles par d’autres entreprises qui pourraient les intégrer dans des applications informatiques. En effet, à l’inverse du traditionnel code d’accès composé à partir d’une donnée modifiable, les données biométriques constituent des données immuables qui en principe, ne sont pas séparables de l’homme puisqu’elles font parties intégrantes de sa personne. L’empreinte digitale numérisée constitue donc une signature électronique susceptible d’intéresser de nombreuses sociétés compte tenu des gages de sécurité de cette technologie. L’intégration, à grande ampleur, de données biométriques dans les téléphones mobiles pourrait ouvrir une nouvelle ère technologique : « Le Touch ID va démocratiser le recours à la biométrie sur les smartphones », prédit le site américain spécialisé dans les nouvelles technologies The Next Web[18].
Dans ce contexte, une perspective d’utilisation de l’empreinte digitale numérisée plus large que celle actuellement prévue dans le dernier modèle du smartphone d’Apple, reste ouverte. Tim Cook, directeur général d’Apple, a précisé, sans être plus disert, que pouvaient être « imaginés de nombreux autres usages dans le futur »[19]. Néanmoins, l’évolution potentielle de cette technologique reposera, le cas échéant, de nouvelles interrogations du point de vue de la protection des données personnelles.
L’absence d’autorisation requise de la CNIL est fonction des données technologiques telles qu’annoncées par Apple. Toute modification du mode de traitement des données biométriques enregistrées devra reposer la question de l’applicabilité de la loi informatique et libertés. Si l’empreinte digitale numérisée devait ne plus être exclusivement stockée dans l’enclave de la puce du smartphone mais dans un fichier central, ou encore si elle faisait l’objet d’un traitement automatisé par certains logiciels d’applications, tout défaut d’autorisation préalable de la CNIL emporterait des conséquences juridiques certaines.
Sur le plan pénal, le législateur a prévu un régime répressif pouvant aller jusqu’à cinq ans d’emprisonnement et 1,5 million d’euros d’amende (pour les personnes morales) en cas de traitement de données à caractère personnel contraire à la loi[20], et notamment à des fins de prospection commerciale[21]. Sur le plan administratif, la CNIL peut procéder à un arrêt du traitement, à une mise en demeure et à l’application d’amendes[22]. Enfin, récemment, dans un arrêt rendu le 25 juin 2013, la chambre commerciale de la Cour de cassation a infirmé l’arrêt de la Cour d’appel en jugeant que la vente d’un fichier informatisé contenant des données à caractère personnel sans déclaration auprès de la CNIL est contraire à l’article 1128 du Code civil[23]. En conséquence, sur la base de cette jurisprudence et en cas de modification du système de stockage et de protection de leurs données biométriques, les acheteurs de l’iPhone 5S pourraient obtenir l’annulation du contrat de vente.
Le risque est toutefois moins à craindre de la part du fabriquant du produit que de tierces personnes, dès lors qu’elles sont en mesure de neutraliser le système de sécurité et d’accéder aux données biométriques contenues dans la puce du smartphone.
B) Le risque lié au piratage des données biométriques : un dommage irréversible
S’il est avéré que les empreintes digitales numérisées par l’iPhone 5S sont destinées à un usage exclusivement personnel, il n’en reste pas moins que ces données biométriques « à trace », constituent des données personnelles sensibles. Aussi, nonobstant la volonté du fabriquant de vouloir assurer la plus grande sécurité possible au système de collecte de ces données personnelles, celui-ci ne se prononce qu’en l’état actuel de la technologie ou, faudrait-il ajouter, qu’en l’état de ses connaissances actuelles en la matière. Car à l’évidence, la sécurité des données biométriques enregistrées est fonction de l’ingénierie des pirates informatiques, dit « hackers », capables d’ébranler, comme le montre régulièrement l’actualité, les secrets d’Etat les mieux protégés. Par le passé, des données biométriques implantées dans des smartphones ont déjà fait l’objet d’attaques réussies, à l’instar du système de reconnaissance faciale d’Android 4.0. Plus généralement, la direction centrale du renseignement intérieur a publiquement expliqué comment, à partir d’un simple logiciel, il est possible de pirater un smartphone et d’accéder à l’intégralité des informations qu’il contient[24]. Egalement, des chercheurs en cryptographie de l’université de Louvain sont parvenus, en 2007, à accéder aux informations contenues dans des passeports électroniques par le moyen d’un lecteur de puce acheté dans le commerce[25]. Aussi, les données biométriques sont d’autant plus exposées au risque de piratage informatique lorsqu’elles sont utilisées pour effectuer des transactions en ligne. Comme le craint le groupe des commissaires en charge de la protection des données, les conséquences d’une subtilisation des empreintes digitales seraient redoutables[26].
Face à ces risques, Apple n’explique en aucun cas dans quelle mesure le système de sécurité de l’iPhone 5S est capable de résister au piratage informatique. Le Washington Post prévoit un « changement de règles du jeu » pour la protection de la vie privée et juge les « bases de données vulnérables » aux attaques[27]. Certes, comme l’affirme la CNIL, le risque de soustraction des empreintes digitales est diminué dès lors qu’« en cas de vol ou de perte du support de stockage [sur un support individuel], on ne peut avoir accès qu’à une seule donnée biométrique éventuellement associée à l’identité de la personne. »[28]. Mais rien n’empêche les pirates informatiques de stocker les empreintes digitales numériques subtilisées dans un fichier central qu’ils alimenteraient au fur et à mesure. L’aveu de cette hypothèse se manifeste indirectement dans le projet de loi relatif à la consommation actuellement en discussion au Parlement. Au terme du texte adopté le 13 septembre 2013 en 1ère lecture par les deux assemblées, le législateur prévoit d’attribuer à la CNIL un nouveau pouvoir d’investigation sur les serveurs en ligne afin notamment d’accéder, sans être accusée de piratage, aux données personnelles piratées, et de les retranscrire dans un document pour les besoins du contrôle[29].
La maîtrise de données biométriques, que ce soit par le grand public depuis une plateforme dite « open data » ou par quelques individus malveillants sur un fichier isolé, entraînerait des dommages irréversibles du point de vue de la protection personnelle des victimes. Transformée en informations numérisées ou en codes d’accès, les caractéristiques physiques se retourneraient contre les droits et libertés de la personne détentrice. Il faut alors admettre que c’est le droit relatif à la protection des données personnelles qui s’adapte aux nouvelles technologies, et non l’inverse.
[1] A. Türk, réflexions proposées à l’occasion de la Conférence internationale des commissaires à la protection des données, Londres, 2 et 3 novembre 2006, disponible sur Internet à l’adresse : http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/Pdt-initiativeConfLondres06112006.pdf, p. 10.
[2] Les informations retranscrites ci-après sur les caractéristiques de l’iPhone 5S ont été récoltées sur le site Internet d’Apple, principalement à partir des vidéos de présentation du produit mis en ligne le 10 septembre 2013. Celles-ci sont disponibles sur les sites suivant http://www.apple.com/fr/apple-events/september-2013/ et http://www.apple.com/fr/iphone-5c/videos/#video-product.
[3] Le groupe HP avait déjà équipé, en 2003, l’un de ses produits, l’iPAQ Pocket PC h5500, d’un dispositif analogue ; également, Motorola avait tenté d’utiliser cette technologie sur sa gamme de smartphone Atrix 4G avant de l’abandonner en raison de difficulté technique.
[4] Chiffre donné par le baromètre trimestriel réalisé par la Mobile Marketing Association France, en partenariat avec comScore, GFK et Médiamétrie, disponible sur Internet à l’adresse : http://www.mmaf.fr/search/node/smartphone.
[5] CNIL, « Les smartphones en questions », 28 juin 2010, article disponible sur le site Internet de l’institution à l’adresse : http://www.cnil.fr/linstitution/actualite/article/article/les-smartphones-en-questions/.
[6] Cf. l’arrêt CEDH, 4 décembre 2008, Affaire S. et Marper C. Royaume-Uni, requêtes n° 30562/04 et 30566/04.
[7] La Cour suprême du Canada estime (R.C. ([2005] 3 R.C.S. 99, 2005 CSC 61) que « contrairement à une empreinte digitale, [l’ADN] peut révéler les détails les plus intimes de la composition biologique d’une personne (…) » et ainsi porter, en cas de prélèvement, « une grave atteinte (…) au droit à la vie privée en ce qui concerne (…) ses renseignements personnels ».
[8] Cf. en ce sens la fiche pratique élaborée par la CNIL, intitulée « Biométrie : des dispositifs sensibles soumis à autorisation de la CNIL », publiée le 7 avril 2011 sur Internet à l’adresse : http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/biometrie-des-dispositifs-sensibles-soumis-a-autorisation-de-la-cnil/.
[9] Autorisation unique n° AU-009 – Délibération n° 2006-103 du 27 avril 2006 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire.
[10] Autorisation unique n° AU-007 – Délibération n° 2012-322 du 20 septembre 2012 portant autorisation unique de mise en œuvre de traitements reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la restauration sur les lieux de travail.
[11] L’article 25, 8° de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose que « sont mis en oeuvre après autorisation de la Commission nationale de l’informatique et des libertés (…) les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes. ».
[12] Selon le site officiel de l’administration française, « une autorisation préalable de la Cnil est obligatoire pour les fichiers qui présentent des risques particuliers d’atteinte aux droits et aux libertés : les données enregistrées portant sur des informations sensibles (origine, opinions politiques, religieuses, syndicales, etc.), biométriques ou génétiques, etc. », disponible sur Internet à l’adresse : http://vosdroits.service-public.fr/professionnels-entreprises/F24270.xhtml#N100B6.
[13] Avis n° 7/2004 sur l’insertion de la biométrie dans les titres de voyage adopté le 11 août 2004.
[14] Dans sa délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d’Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, la CNIL précise que « si légitimes soient-elles, les finalités invoquées [par les auteurs du décret] ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle ». L’institution « tient » toutefois « à rappeler qu’elle considère comme légitime le recours, pour s’assurer de l’identité d’une personne, à des dispositifs de reconnaissance biométrique dès lors que les données biométriques sont conservées sur un support dont la personne a l’usage exclusif. ».
[15] Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données, document non daté disponible sur Internet à l’adresse : http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/Communication-biometrie.pdf, p. 5.
[16] Autorisation unique n° AU-008 – Délibération n° 2006-102 du 27 avril 2006 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail.
[17] Cité dans la vidéo de présentation mise en ligne après la « keynote » organisée par Apple le mardi 10 septembre 2013, disponible sur Internet à l’adresse : http://www.apple.com/fr/iphone-5c/videos/#video-product.
[18] Cf le site Internet à l’adresse : http://thenextweb.com/apple/2013/09/10/apples-iphone-5s-touch-id-fingerprint-scanning-feature-will-kick-off-a-biometric-adoption-race/.
[19] Cf. le site Internet à l’adresse : http://www.apple.com/fr/apple-events/september-2013/.
[20] Art. 226-16 et 226-24 du Code pénal.
[21] Art. 226-18-1 du Code pénal.
[22] Articles 45 à 49 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[24] Cf. l’article « La DCRI explique comment pirater un smartphone », 7 décembre 2012, LePoint.fr, disponible sur Internet à l’adresse http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/la-dcri-explique-comment-pirater-un-smartphone-07-12-2012-1547075_506.php.
[25] P. Piazza, « La biométrie : usages policiers et fantasmes technologiques », in La frénésie sécuritaire, La Découverte, 2008, p. 129.
[26] Dans un avis n° 7/2004 adopté le 11 août 2004, le groupe des commissaires en charge de la protection des données sur l’insertion de la biométrie dans les titres de voyage précise : « En particulier, le risque n’est pas négligeable qu’un individu dont les empreintes digitales auraient été collectées ne communique par ailleurs pas sa véritable identité, en particulier si les circonstances de la collecte des empreintes ne garantissent pas une parfaite fiabilité; l’identité usurpée serait alors associée de manière permanente aux empreintes digitales en question. ».
[27] Informations disponibles sur le site Internet à l’adresse : http://www.washingtonpost.com/blogs/the-switch/wp/2013/09/10/the-new-iphone-might-have-a-fingerprint-scanner-thats-a-gamechanger-for-privacy/.
[28] Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données, document non daté disponible sur Internet à l’adresse : http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/Communication-biometrie.pdf, p. 5.
[29] L’article 48 bis (nouveau) du projet de loi relatif à la consommation adopté le 13 septembre 2013 en 1ère lecture par les deux assemblées prévoit d’ajouter, à l’article 44 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés les dispositions suivantes : « En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. ».