Un cas d’école, où la biométrie passe à tort pour un moyen de protéger la vie privée
Baptisée "Carte à Pouce", une carte de fidélité délivrée à partir d’une empreinte digitale est proposée aux visiteurs de l’aquarium du Grand Lyon depuis son inauguration en octobre 2002. Diffusée à plus de 100 000 exemplaires, cette carte est présentée par la direction de l’aquarium comme "parfaitement anonyme". "Faux", déclare à Transfert la Commission nationale de l’informatique et des libertés (Cnil), qui reconnaît n’avoir pas encore obtenu de l’aquarium la mise en conformité de son fichier d’empreintes.
La Cnil a été alertée le 23 juin par Michel Bouissou, un informaticien lyonnais spécialiste de la protection de la vie privée, qui dénonce "une collecte abusive de données biométriques". La Cnil s’apprête maintenant à mettre en demeure l’aquarium du Grand Lyon afin qu’il déclare son fichier. Ce qui aurait dû être fait dès octobre 2002...
La "Carte à Pouce" permet de bénéficier d’une réduction de 50 % sur le tarif d’entrée à l’aquarium lyonnais (11 euros pour un adulte). Pour l’obtenir, l’aquarium demande à ses visiteurs d’apposer le pouce sur un lecteur informatisé d’empreintes digitales. Selon Michel Bouissou, cet usage apparemment anodin de données biométriques constitue un "abus injustifiable". Dans un mail transmis le 22 juin à la direction de l’aquarium, l’informaticien, membre fondateur de la Fédération informatique et libertés (FIL), écrit : "Les moyens technologiques tendent à réduire comme peau de chagrin la sphère privée des individus (...) Ces moyens devraient être limités aux cas où ils peuvent être considérés comme absolument nécessaires, et ce dans un cadre légal strict."
La direction de l’aquarium se défend en expliquant que son système est "anonyme" puisque l’empreinte digitale est le seul élément d’identification demandé aux visiteurs. Ce serait justement grâce à elle que ceux-ci n’ont pas besoin de fournir nom, prénom et adresse pour se voir délivrer leur carte de fidélité.
Jean-Marie Pédron, directeur de l’aquarium affirme : "Nous ne stockons pas les empreintes digitales en tant que telles. Notre système informatique transforme l’empreinte dès son enregistrement en un code barre unique et infalsifiable." A chaque fois que le client retourne à l’aquarium, il appose à nouveau son pouce sur le lecteur, qui vérifie si l’empreinte correspond au code barre qui figure sur la carte.
Anonymat "illusoire"
Depuis l’ouverture de l’aquarium, plus de la moitié des visiteurs de l’aquarium ont souhaité bénéficier de cette carte gratuite. Jean-Marie Pédron précise que jusqu’ici, Michel Bouissou est la première personne à avoir contesté ce système.
Jean-Marie Pédron interroge : "Si l’on pose le problème de la protection de la vie privée, que vaut-il mieux faire : donner ses nom, prénom et adresse, quitte à voir ensuite le fichier correspondant cédé à des sociétés de prospection commerciale, ou bien fournir une simple empreinte, qui ne permet en soi de remonter jusqu’à la personne à qui elle appartient ?"
Pour Michel Bouissou, "l’anonymat du système est illusoire". Il explique : "Si jamais la police veut savoir si Untel est passé par l’aquarium, elle peut très bien croiser un fichier d’empreintes digitales lui appartenant avec l’algorithme qui permet de créer les codes barres des cartes de fidélité."
Une analyse que confirme aujourd’hui Thierry Jarlet, directeur de la communication de la Cnil, pour qui ce fichier d’empreintes est "indirectement nominatif". Jarlet déclare : "Le fichier de codes barres de l’aquarium est une simple série de chiffres, sur lequel n’apparaît effectivement aucun nom. Mais il est très possible de le croiser avec un fichier nominatif. Il tombe donc sous le coup de la loi Informatique et libertés, et doit donc être rapidement mis en conformité."
Plus que le cas spécifique de l’aquarium de Lyon, Michel Bouissou évoque un problème de principe. Il affirme : "On ne peut pas mettre en place ce genre d’outils à la légère, sous le prétexte que pour l’instant, les gens trouvent que c’est un gadget futuriste et rigolo. Le jour où ils vont réellement commencer à se généraliser dans les lieux publics, les systèmes biométriques vont créer un environnement que les citoyens risquent de ne plus trouver rigolo du tout."
Le site de l’aquarium du Grand Lyon:
http://dzoo.free.fr/html/europe/zoo...
Le site de la Commission nationale de l’informatique et des libertés (Cnil):
http://www.cnil.fr
Le site personnel de Michel Bouissou:
http://www.bouissou.net/
Le site de la Fédération informatique et libertés (Fil), dont Michel Bouissou est l’un des membres fondateurs:
http://www.vie-privee.org/
Knoppix-MiB, un CD-Rom qui protège la vie privée - développé par Michel Bouissou (Transfert.net):
http://www.transfert.net/a8620