Carte d'identité biométrique : la CNIL tire le signal d'alarme
CNIL vs CNI
La CNIL a décidé de rendre public ses observations sur un débat parlementaire en cours : c’est celui sur la Carte Nationale d’Identité sécurisée. Une initiative signée Isabelle Falque Pierrotin, toute récente présidente de la CNIL, qui vient pointer plusieurs bugs et risques dans le dispositif soutenu par Claude Guéant, tout juste arrivé en seconde lecture au Sénat
La future carte comprendra deux puces. L’une régalienne, avec, outre les informations d’Etat civil, des données biométriques (taille, couleur des yeux, empreintes digitales, photographie). Une seconde puce, optionnelle, distincte et cloisonnée, sera destinée à sécuriser les transactions de e-commerce. Au niveau serveur, une base commune avec les passeports centralisera le fichage des porteurs. Ce fichage pourra accueillir ceux des 45 millions de personnes âgées de 15 ans et plus qui voudraient basculer sur cette CNI sécurisée.
Les données biométriques, des données pas comme les autres
Dans sa consultation, la CNIL souligne et explique d’entrée pourquoi les données biométriques ne sont pas des données comme les autres. « Elles présentent en effet la particularité de permettre à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s’affranchir ». La Commission poursuit : « à la différence de toute autre donnée à caractère personnel, la donnée biométrique n’est donc pas attribuée par un tiers ou choisie par la personne : elle est produite par le corps lui-même et le désigne ou le représente, lui et nul autre, de façon immuable. Elle appartient donc à la personne qui l’a générée et tout détournement ou mauvais usage de cette donnée fait alors peser un risque majeur sur l’identité de celle-ci »
Les données à trace
La sensibilité de ces données est encore plus forte quand elles sont dites « à trace » comme les empreintes digitales, qui ont « la particularité de pouvoir être capturées et utilisées à l’insu des personnes concernées, comme par exemple à des fins d’usurpation d’identité ». Même situation pour les caractéristiques du visage. « Si [ces caractéristiques] ci ne donnent pas lieu à dépôt de traces, l’association entre vidéoprotection et dispositifs de reconnaissance faciale aboutit à un résultat similaire en créant des traces informatiques en lieu et place des traces physiques laissées par les empreintes digitales ».
Base centralisée, lien fort ou faible ?
Voilà justement la difficulté soulevée par la CNI sécurisée : elle intègrera ces deux données biométriques (empreintes et visage) en plus d’être couplée à une base centralisée. Autre chose, un débat oppose actuellement le ministère de l’Intérieur et le Sénat sur l’exploitation de cette base. Les sénateurs veulent une étanchéité de ce fichier. Ils militent pour la technique du « lien faible » entre cette base centralisée et les données biométriques afin d’interdire l’exploitation aux fins de recherches criminelles. Ce « lien faible » est cependant suffisant pour détecter 99,9% des cas d’usurpation de titre.
Claude Guéant lui veut décloisonner les bases pour permettre les recherches dans tous les sens à partir de cette base, avec pour pas, à l’avenir un système permettant d’identifier à la volée les personnes par captation de leur visage… « La reconnaissance faciale, qui n’apporte pas, à l’heure actuelle, toutes les garanties de fiabilité nécessaires, est une technologie qui évolue très rapidement : on peut donc penser que, très bientôt, elle sera aussi fiable que la reconnaissance digitale ».
Grille de lecture de la CNIL
Pour la CNIL, la grille de lecture est simple et évidente : compte tenu de la sensibilité de ces informations et de la généralisation de ces titres d’identité, un dispositif biométrique doit impérativement répondre à deux principes. Le principe de finalité (les traitements de données doivent poursuivre des finalités « déterminées, explicites et légitimes ») et le principe de proportionnalité (les données traitées doivent être « adéquates, pertinentes et non excessives » au regard des finalités attribuées au traitement, leur durée de conservation ne doit pas excéder la durée nécessaire à ces finalités et elles ne doivent être rendues accessibles qu’aux destinataires ayant un intérêt légitime à en connaître).
Partant de là, l’analyse de la CNIL n’est pas la même selon qu’elle se penche sur le titre sécurisé ou la base centralisée.
Le titre sécurisé
Pour le premier, la Commission considère qu’abriter une reconnaissance biométrique dans un titre répond aux impératifs énumérés. Pourquoi ? Car « la personne concernée, et elle seule, conserve la maîtrise de ses données biométriques qui restent sous sa responsabilité et ne peuvent pas être utilisées pour l’identifier à son insu ». C’est là « une mesure efficace de protection contre la falsification ou la contrefaçon des documents dès lors qu’elle permet de s’assurer par des mécanismes cryptographiques de l’authenticité de la puce et de l’intégrité des données qu’elle contient »
La base centralisée
Pour la base centralisée, la CNIL se montre évidemment plus tatillonne compte tenu des risques importants en termes de sécurité ou de menace pour les libertés individuelles.
La CNIL va aussi émettre une série d’observation au dispositif soutenu par Claude Guéant.
Les observations de la CNIL sur la CNI sécurisée
Il faut déjà prévoir de manière claire et nette, une dispense de collecte pour les enfants.
La comparaison entre la donnée enregistrée et l’empreinte lue en direct peut ne pas passer par un système centralisé, mais se faire directement par la technique du « match on card » tout en prévoyant des garanties pour éviter la copie de ces informations.
Pour le système centralisé, on le sait, Guéant veut doubler sa finalité : garantir la sécurité des titres mais également fournir un nouvel outil à la police judiciaire sur réquisition judiciaire. Pour la CNIL, « une consultation systématique du fichier [sur réquisition, NDLR] aurait pour effet de le doter de facto d’une finalité de police judiciaire, qui constitue une finalité distincte ». Et la CNIL d'évoquer un détournement de finalité.
Autre critique : la Commission considère que toutes les mesures destinées à sécuriser les titres « devrait être précisément évaluée avant d’envisager la généralisation du traitement en base centralisée des identifiants biométriques des individus ». Or en l’état actuel, « la proportionnalité de la conservation sous forme centralisée de données biométriques, au regard de l’objectif légitime de lutte contre la fraude documentaire, n’est pas à ce jour démontrée. »
La CNIL milite aussi pour la limitation du nombre d’empreintes digitales enregistrées dans la base centrale. « La limitation à deux doigts constituerait une garantie matérielle contre le détournement de finalité du système, en empêchant les recherches en identification sur la base des empreintes digitales, tout en permettant de vérifier la correspondance entre l’identité revendiquée et les empreintes présentées ».
La Commission soutient, contrairement au ministère de l’intérieur, qu’il faut limiter les possibilités d’utilisation de la base de données biométriques à la seule fin de lutte contre la fraude à l’identité. Comment ? En interdisant le « lien univoque entre les données biométriques enregistrées dans le traitement central et les données d’état civil des personnes auxquelles ces données correspondent » ou encore en interdisant « de procéder à des recherches en identification sur la base des éléments biométriques enregistrées dans la base ».
Autre chose, la CNIL se méfie comme de la peste des systèmes de reconnaissances faciales, en cette période où les caméras de vidéosurveillances pullulent. Du coup, elle « exprime sa plus grande réserve sur la possibilité, ouverte par la proposition de loi, de recourir à de telles fonctionnalités dans le cadre des demandes de titres d’identité et de voyage »
Enfin, la CNIL considère que la puce optionnelle, si elle est une idée légitime ne doit pas faire oublier qu’elle peut permettre « la constitution d’un identifiant unique pour tous les citoyens français ainsi que la constitution d’un savoir public sur les agissements privés ». D’où l’importance des garanties qui doivent encadrer son utilisation et son déploiement. Par exemple ? Imposer une divulgation sélective des données selon la nature du téléservice, tout en informant clairement le citoyen avant la transaction.
Enfin, « de telles fonctionnalités ne devraient pas permettre le suivi des personnes sur internet ou l’exploitation par l’État d’informations sur les transactions privées effectuées par les citoyens. Une telle interdiction serait utilement rappelée dans le texte prévoyant ces nouvelles fonctionnalités de la carte électronique ».
Claude Guéant réintroduit un amendement pour casser le "lien faible"
Claude Guéant n’a visiblement que peu à faire de ces remarques sur la base centralisée. Alors que les sénateurs militent pour ce système de lien faible, le ministère de l’intérieur vient de réintroduire un amendement pour permettre le lien univoque entre les données, exception faite de la biométrie du visage.
La future carte comprendra deux puces. L’une régalienne, avec, outre les informations d’Etat civil, des données biométriques (taille, couleur des yeux, empreintes digitales, photographie). Une seconde puce, optionnelle, distincte et cloisonnée, sera destinée à sécuriser les transactions de e-commerce. Au niveau serveur, une base commune avec les passeports centralisera le fichage des porteurs. Ce fichage pourra accueillir ceux des 45 millions de personnes âgées de 15 ans et plus qui voudraient basculer sur cette CNI sécurisée.
Biometry par µµ CC BY-SA 2.0
Les données biométriques, des données pas comme les autres
Dans sa consultation, la CNIL souligne et explique d’entrée pourquoi les données biométriques ne sont pas des données comme les autres. « Elles présentent en effet la particularité de permettre à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s’affranchir ». La Commission poursuit : « à la différence de toute autre donnée à caractère personnel, la donnée biométrique n’est donc pas attribuée par un tiers ou choisie par la personne : elle est produite par le corps lui-même et le désigne ou le représente, lui et nul autre, de façon immuable. Elle appartient donc à la personne qui l’a générée et tout détournement ou mauvais usage de cette donnée fait alors peser un risque majeur sur l’identité de celle-ci »
Les données à trace
La sensibilité de ces données est encore plus forte quand elles sont dites « à trace » comme les empreintes digitales, qui ont « la particularité de pouvoir être capturées et utilisées à l’insu des personnes concernées, comme par exemple à des fins d’usurpation d’identité ». Même situation pour les caractéristiques du visage. « Si [ces caractéristiques] ci ne donnent pas lieu à dépôt de traces, l’association entre vidéoprotection et dispositifs de reconnaissance faciale aboutit à un résultat similaire en créant des traces informatiques en lieu et place des traces physiques laissées par les empreintes digitales ».
Base centralisée, lien fort ou faible ?
Voilà justement la difficulté soulevée par la CNI sécurisée : elle intègrera ces deux données biométriques (empreintes et visage) en plus d’être couplée à une base centralisée. Autre chose, un débat oppose actuellement le ministère de l’Intérieur et le Sénat sur l’exploitation de cette base. Les sénateurs veulent une étanchéité de ce fichier. Ils militent pour la technique du « lien faible » entre cette base centralisée et les données biométriques afin d’interdire l’exploitation aux fins de recherches criminelles. Ce « lien faible » est cependant suffisant pour détecter 99,9% des cas d’usurpation de titre.
Claude Guéant lui veut décloisonner les bases pour permettre les recherches dans tous les sens à partir de cette base, avec pour pas, à l’avenir un système permettant d’identifier à la volée les personnes par captation de leur visage… « La reconnaissance faciale, qui n’apporte pas, à l’heure actuelle, toutes les garanties de fiabilité nécessaires, est une technologie qui évolue très rapidement : on peut donc penser que, très bientôt, elle sera aussi fiable que la reconnaissance digitale ».
Grille de lecture de la CNIL
Pour la CNIL, la grille de lecture est simple et évidente : compte tenu de la sensibilité de ces informations et de la généralisation de ces titres d’identité, un dispositif biométrique doit impérativement répondre à deux principes. Le principe de finalité (les traitements de données doivent poursuivre des finalités « déterminées, explicites et légitimes ») et le principe de proportionnalité (les données traitées doivent être « adéquates, pertinentes et non excessives » au regard des finalités attribuées au traitement, leur durée de conservation ne doit pas excéder la durée nécessaire à ces finalités et elles ne doivent être rendues accessibles qu’aux destinataires ayant un intérêt légitime à en connaître).
Partant de là, l’analyse de la CNIL n’est pas la même selon qu’elle se penche sur le titre sécurisé ou la base centralisée.
Le titre sécurisé
Pour le premier, la Commission considère qu’abriter une reconnaissance biométrique dans un titre répond aux impératifs énumérés. Pourquoi ? Car « la personne concernée, et elle seule, conserve la maîtrise de ses données biométriques qui restent sous sa responsabilité et ne peuvent pas être utilisées pour l’identifier à son insu ». C’est là « une mesure efficace de protection contre la falsification ou la contrefaçon des documents dès lors qu’elle permet de s’assurer par des mécanismes cryptographiques de l’authenticité de la puce et de l’intégrité des données qu’elle contient »
La base centralisée
Pour la base centralisée, la CNIL se montre évidemment plus tatillonne compte tenu des risques importants en termes de sécurité ou de menace pour les libertés individuelles.
La CNIL va aussi émettre une série d’observation au dispositif soutenu par Claude Guéant.
Les observations de la CNIL sur la CNI sécurisée
Il faut déjà prévoir de manière claire et nette, une dispense de collecte pour les enfants.
La comparaison entre la donnée enregistrée et l’empreinte lue en direct peut ne pas passer par un système centralisé, mais se faire directement par la technique du « match on card » tout en prévoyant des garanties pour éviter la copie de ces informations.
Pour le système centralisé, on le sait, Guéant veut doubler sa finalité : garantir la sécurité des titres mais également fournir un nouvel outil à la police judiciaire sur réquisition judiciaire. Pour la CNIL, « une consultation systématique du fichier [sur réquisition, NDLR] aurait pour effet de le doter de facto d’une finalité de police judiciaire, qui constitue une finalité distincte ». Et la CNIL d'évoquer un détournement de finalité.
Autre critique : la Commission considère que toutes les mesures destinées à sécuriser les titres « devrait être précisément évaluée avant d’envisager la généralisation du traitement en base centralisée des identifiants biométriques des individus ». Or en l’état actuel, « la proportionnalité de la conservation sous forme centralisée de données biométriques, au regard de l’objectif légitime de lutte contre la fraude documentaire, n’est pas à ce jour démontrée. »
La CNIL milite aussi pour la limitation du nombre d’empreintes digitales enregistrées dans la base centrale. « La limitation à deux doigts constituerait une garantie matérielle contre le détournement de finalité du système, en empêchant les recherches en identification sur la base des empreintes digitales, tout en permettant de vérifier la correspondance entre l’identité revendiquée et les empreintes présentées ».
La Commission soutient, contrairement au ministère de l’intérieur, qu’il faut limiter les possibilités d’utilisation de la base de données biométriques à la seule fin de lutte contre la fraude à l’identité. Comment ? En interdisant le « lien univoque entre les données biométriques enregistrées dans le traitement central et les données d’état civil des personnes auxquelles ces données correspondent » ou encore en interdisant « de procéder à des recherches en identification sur la base des éléments biométriques enregistrées dans la base ».
Autre chose, la CNIL se méfie comme de la peste des systèmes de reconnaissances faciales, en cette période où les caméras de vidéosurveillances pullulent. Du coup, elle « exprime sa plus grande réserve sur la possibilité, ouverte par la proposition de loi, de recourir à de telles fonctionnalités dans le cadre des demandes de titres d’identité et de voyage »
Enfin, la CNIL considère que la puce optionnelle, si elle est une idée légitime ne doit pas faire oublier qu’elle peut permettre « la constitution d’un identifiant unique pour tous les citoyens français ainsi que la constitution d’un savoir public sur les agissements privés ». D’où l’importance des garanties qui doivent encadrer son utilisation et son déploiement. Par exemple ? Imposer une divulgation sélective des données selon la nature du téléservice, tout en informant clairement le citoyen avant la transaction.
Enfin, « de telles fonctionnalités ne devraient pas permettre le suivi des personnes sur internet ou l’exploitation par l’État d’informations sur les transactions privées effectuées par les citoyens. Une telle interdiction serait utilement rappelée dans le texte prévoyant ces nouvelles fonctionnalités de la carte électronique ».
Claude Guéant réintroduit un amendement pour casser le "lien faible"
Claude Guéant n’a visiblement que peu à faire de ces remarques sur la base centralisée. Alors que les sénateurs militent pour ce système de lien faible, le ministère de l’intérieur vient de réintroduire un amendement pour permettre le lien univoque entre les données, exception faite de la biométrie du visage.
Le 28 octobre 2011 à 10:06
(26 218
lectures)
Il y a 65 commentaires
INpactien
Schpountz42
Le vendredi 28 octobre 2011 à 11:32:57
#31
Inscrit
le jeudi 26 février 09
-
2579
commentaires
Ouais... on m'avait fait pas mal la reflexion avant de me l'expliquer
Bah tu fais bien de l'indiquer. C'est bon à savoir
INpactien
Schpountz42
Le vendredi 28 octobre 2011 à 11:33:50
#32
Inscrit
le jeudi 26 février 09
-
2579
commentaires
Tous fichés en fait..... ils veulent les mêmes jouets que dans les "Experts" .....Ça donne l'impression d'avoir la plus grosse
INpactien
tempusuk
Le vendredi 28 octobre 2011 à 11:35:34
#33
Inscrit
le mercredi 30 septembre 09
-
20
commentaires
Avant de faire une Carte d'identité ultra sécurisée, ils feraient bien de revoir leur méthode de renouvellement de celle-ci pour éviter l'usurpation d'identité.
Actuellement, il suffit d'un justificatif de domicile et d'un extrait d'état civil pour avoir une carte d'identité.
Pour avoir l'extrait d'état civil, il suffit d'aller sur le net avec les nom/prénom de la personne dont on veut usurper l'identité et son année de naissance approximatif à +- 7 ans (genre quand on demande un extrait d'état civil on ne connait pas sa date exacte de naissance...).
Donc faire une carte "incopiable" c'est bien.. mais donner l'impossibilité d'avoir une carte d'identité par une autre personne, c'est mieux
Actuellement, il suffit d'un justificatif de domicile et d'un extrait d'état civil pour avoir une carte d'identité.
Pour avoir l'extrait d'état civil, il suffit d'aller sur le net avec les nom/prénom de la personne dont on veut usurper l'identité et son année de naissance approximatif à +- 7 ans (genre quand on demande un extrait d'état civil on ne connait pas sa date exacte de naissance...).
Donc faire une carte "incopiable" c'est bien.. mais donner l'impossibilité d'avoir une carte d'identité par une autre personne, c'est mieux
T'es sur de toi la ? La derniere fois que j'ai fait refaire ma carte d'identite, en 2008, il m'a fallu un extrait d'acte de naissance avec filiation, et pour en avoir un, a moins que ta mairie de naissance ne soit laxiste, il faut montrer patte blance...idealement, avec ta carte d'identite en cours de validite ou ton passeport...si tu demandes ta premiere carte, vu que tu en as besoin pour le bac, je suppose qu'ils demandent un truc des parents...donc c'est pas si simple que ca de les flouer au moment du renouvellement !
INpactien
...l’association entre vidéoprotection et dispositifs de reconnaissance faciale...
Et un coup de novlangue au passage
INpactien
Zorak Zoran
Le vendredi 28 octobre 2011 à 11:38:21
#35
Inscrit
le jeudi 13 avril 06
-
1577
commentaires
On se croirait revenu sous Vichy. Merci Monsieur Guéant. 
Post 7 pour le point godwin. Chapeau.
INpactien
Faut bien rester en avance sur la Chine et la Corée du Nord de toute façon ...
INpactien
Ricard
Le vendredi 28 octobre 2011 à 11:42:57
#37
Inscrit
le mercredi 12 avril 06
-
38451
commentaires
INpactien
CounterFragger
Le vendredi 28 octobre 2011 à 11:52:55
#38
Inscrit
le mardi 10 juin 08
-
2101
commentaires
Parfaitement d'accord avec les observations de la CNIL. Le problème n'est pas la CNI électronique en elle-même, mais l'utilisation détournée voire abusive qui peut être faite de la BDD centralisée qui lui est associée...
Ce qui donne un plein contrôle de ses données biométriques. A préférer à leur fichier de police biométrique déguisé...
Le problème n'est pas la CNI électronique en elle-même, mais l'utilisation détournée voire abusive qui peut être faite de la BDD centralisée qui lui est associée... La comparaison entre la donnée enregistrée et l’empreinte lue en direct peut ne pas passer par un système centralisé, mais se faire directement par la technique du « match on card » tout en prévoyant des garanties pour éviter la copie de ces informations.
Ce qui donne un plein contrôle de ses données biométriques.
A préférer à leur fichier de police biométrique déguisé...
INpactien
Gourmet
Le vendredi 28 octobre 2011 à 11:56:32
#39
Inscrit
le mercredi 22 février 06
-
1363
commentaires
ET n'OUBLIEZ PAS : votre CNI DEVRA être protégée par un étui métallique la recouvrant entièrement et relié à la terre (vous).
Sinon, on pourra voler vos secrets à distance.
db
Sinon, on pourra voler vos secrets à distance.
db
INpactien
T'es sur de toi la ? La derniere fois que j'ai fait refaire ma carte d'identite, en 2008, il m'a fallu un extrait d'acte de naissance avec filiation, et pour en avoir un, a moins que ta mairie de naissance ne soit laxiste, il faut montrer patte blance...idealement, avec ta carte d'identite en cours de validite ou ton passeport...si tu demandes ta premiere carte, vu que tu en as besoin pour le bac, je suppose qu'ils demandent un truc des parents...donc c'est pas si simple que ca de les flouer au moment du renouvellement !
Oui je viens de le faire par le net sur téléservice acte-etat-civil.fr , pour un acte avec filiation il faut le nom des parents en plus, c'est tout
Edité par cimeryl le vendredi 28 octobre 2011 à 12:11
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
EVGA Precision X se met à jour et passe en version 4.2.0
(1)
Facile, il faut tout pousser à droite -
GPU-Z 0.7.1 : les GeForce GTX 770 et 780 à l'honneur
(2)
Et les GPU des APU d'AMD aussi -
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
Le jeu FIFA 13 pour PC à 24,99 €
Valable jusqu'au 28 mai -
Xbox 360 de 250 Go avec Batman Arkham City et Darksiders II : 192,40 €
Valable jusqu'au 27 mai -
Sleeping Dogs pour 12,49 €
Valable jusqu'au 27 mai -
SimCity, Les Sims 3 et le DLC Saisons pour 59,99 €
Valable jusqu'au 29 mai
