L'on assiste depuis quelques années au développement exponentiel de l'usage des données biométriques, en particulier pour contrôler l'accès à des services ou à des locaux professionnels, commerciaux, scolaires ou de loisirs. À côté des dispositifs de reconnaissance des empreintes digitales sont en effet apparues de nouvelles formes de biométrie dont la fiabilité et les risques ne sont pas totalement identifiés, telles que la reconnaissance faciale ou vocale, le « keystroke » (reconnaissance de la frappe au clavier) ou encore la reconnaissance de la dynamique de signature qui sont venus s'ajouter aux systèmes d'identification par le contour de la main ou l'iris de l'oeil. À cette mutation technique, qui n'en est qu'à son commencement, s'ajoute une volonté de diversification des usages pour répondre à des enjeux soit de contrôle social (comme le contrôle des horaires de travail via un mécanisme de recueil d'empreinte à l'entrée ou à la sortie du bureau ou de l'atelier) soit de simple confort commercial (accès à un restaurant scolaire, une piscine après vérification du contour de la main, etc).
Cette évolution, encadrée par un régime d'autorisation confié à la CNIL, appelle une clarification législative dans la mesure où elle met en jeu des principes fondamentaux au regard de la protection de la vie privée et du corps humain qui doivent être rappelés et défendus.
La question qui nous est posée est en effet de savoir si nous sommes prêts à consentir à une banalisation de l'usage de données tirées du corps humain ou si nous voulons que cet usage soit limité à des situations exceptionnelles.
Répondre à une telle interrogation suppose de définir au préalable ce qu'est une donnée biométrique. Ce qui en fait la spécificité, c'est qu'elle est par nature issue ou tirée du corps humain. Elle est en quelque sorte « produite » par celui-ci, ce qui entraîne deux conséquences.
La première, c'est que la donnée biométrique est effectivement distincte du corps humain. Elle ne peut relever en ce sens de la protection absolue que la loi garantit à celui-ci à travers l'article 16 du code civil et suivants, à savoir l'inviolabilité et l'indisponibilité.
La seconde, en revanche, c'est que la donnée biométrique, si elle ne se confond pas avec le corps humain, en est néanmoins le prolongement direct. À la différence de toute autre donnée personnelle, elle ne peut être fournie que par moi et ne concerne par définition que moi. Des lors, sa collecte et son utilisation ne doivent pouvoir se faire qu'en fonction de règles « inspirées » de celles protégeant le corps humain. Si, en raison du caractère propre de leur objet, ces règles peuvent être moins rigoureuses, elles doivent être en tout état de cause « influencées » par cette rigueur. Elles baignent nécessairement dans le même environnement juridique. Ce qui doit naturellement conduire à n'accepter qu'une utilisation stricte et contrôlée des données biométriques et uniquement pour des finalités particulières définies par la société comme justifiant qu'on y recoure. De ce point de vue, il semble que seules des exigences de sécurité (incluant y compris la lutte contre l'usurpation d'identité) devraient conduire à autoriser ces pratiques.
D'autant qu'au-delà du souci d'assurer la protection des personnes, cette limitation du recours à la biométrie devrait traduire également notre volonté, qui doit rester forte dans notre société, de garantir la dignité des personnes à laquelle cette technologie est susceptible d'apporter d'indiscutables atteintes. La collecte, la transcription ou la reconnaissance de la donnée biométrique implique en effet, pour celui qui s'y soumet, une discipline de comportement qui ne devrait être acceptée, pour cette raison, que dans des cas limités et pour des motifs impérieux. L'intuition seconde d'ailleurs ce raisonnement : n'éprouve-t-on pas une réticence instinctive à donner ses empreintes ou coller l'oeil à un boîtier, comme s'il s'agissait d'une contrainte ou d'une conduite anormale ?
Or, la loi ne tire pas aujourd'hui toutes les conséquences de ces principes puisque si elle soumet à autorisation la collecte et le traitement des données biométriques, elle ne les conditionne nullement à une finalité particulière. C'est en ce sens qu'il vous est proposé de compléter la loi du 6 janvier 1978 relative à l'informatique et aux libertés en conditionnant l'usage des données biométriques à une nécessité stricte de sécurité (entendu comme la sécurité des personnes et des biens, ou la protection des informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible), pour autant naturellement que le risque soit élevé et qu'il y ait proportionnalité entre la nature de l'information ou du site à sécuriser et la technologie utilisée.
C'est ce mardi que le débat s'engage au Sénat.
A suivre...
Commentaires