mercredi 1 septembre 2010

Au Mexique, une ville généralise la reconnaissance d'iris à distance


La ville de Leon, au Mexique,  forte de plus d'un million d'habitants, a accepté de se transformer en sorte de gated community à elle toute seule, voire en ville-sandwich fonctionnant comme publicité expérimentale à grande échelle pour la firme américaine Global Rainmakers Inc. (GRI).

Celle-ci vient en effet de passer un contrat avec une société locale, Portoss, afin d'équiper la ville d'un système de reconnaissance d'iris à distance, le fichier ayant vocation à s'étendre à toute la population locale.

Alors que les dispositifs de reconnaissance de l'iris classique ne fonctionnent que si le sujet place son œil devant la machine pendant quelques dizaines de secondes, la technologie déployée par GRI permet, une fois les caractéristiques biométriques enregistrées sur le fichier central, de reconnaître à distance les sujets en mouvement, et ce, à raison de 15 à 50 personnes par minutes selon les scanners (voir cette vidéo de promo ou celle-ci).

Analyse d'une opération de com' et de ses implications sociales et politiques...  

Le contrôle d'identité 24h/24

Le déploiement du système se fera en deux phases: la première (5 millions de dollars d'investissement) consiste à équiper tous les locaux liés à la police et autres agences de maintien de l'ordre (centres de détention, etc.), afin de scanner l'iris de tous les "criminels". La seconde phase sera l'enrôlement des résidents, effectué sur une base volontaire. Des milliers de câbles de fibre optique vont être installés, l'accès au dispositif central devant être étendu aux sociétés commerciales. Selon la promo de GRI amplement reprise par différents sites, ceci ferait de Leon la "ville la plus sûre du monde". Slogan porteur, à défaut d'être réaliste...

Si la reconnaissance d'iris est déjà utilisée dans certains secteurs (la CNIL - Commission nationale informatique et libertés - l'autorise pour des locaux à périmètre défini et limité et seulement si les enjeux de sécurité justifient une telle menace sur la vie privée), c'est la première fois qu'elle est utilisée à une telle échelle. Cela revient, ni plus ni moins, à généraliser dans le temps et l'espace le contrôle d'identité, effectué en France par la police dans le cadre réglementaire édicté par le Code de procédure pénal. En bref, tout résident de Leon sera en permanence contrôlé et identifié.

Inutile de dire que pour la CNIL, un tel projet serait proche de la folie totalitaire. En effet, les données biométriques sont enregistrées sur un fichier central (devant concerner un million de résidents!), ce qui pose de graves problèmes de sécurisation de l'accès: comment s'assurer que ces données ne seront pas détournées?

De plus, l'accès n'est même pas réservé à la police, mais étendu à n'importe quel supermarché. Selon le PDG de GRI, il pourrait être utilisé à des fins publicitaires, en faisant usage de la détection de l'orientation du regard, ou eye-tracking (les caméras pourront détecter ce que vous regardez et établir des statistiques en fonction des achats qui s'ensuivront). 

Le cynisme de la firme

Le cynisme de GRI vaut... le coup d'œil. Selon l'un de ses cadres dirigeants, Jeff Carter, toute la planète sera intégrée à un réseau de reconnaissance d'iris d'ici 10 ans.

Loin de considérer Minority Report comme une dystopie, Carter signale fièrement que contrairement au film, le fait de présenter un globe oculaire détaché de son porteur (mort ou vif) ne fonctionne pas avec cette technologie. Et d'indiquer que tout commerçant pourra ainsi contrôler l'accès à ses magasins et le refuser aux "délinquants" fichés (ou à toute personne portant un nom qui ne lui plaît pas...). "Les banques savent déjà tout sur nous", raconte Carter, pour qui il ne sert plus à rien de protéger sa vie privée dans un monde où cette notion aurait déjà perdu tout sens.

Carter est tellement sûr du caractère génial de la camelote vendue qu'il ne pense pas un instant au risque que les résidents de Leon refusent de s'enrôler volontairement dans le fichier central. En effet, selon lui, tout le monde s'enrôlera parce que... tout le monde l'aura fait! Ne pas s'enrôler, alors que "tout le monde l'aura fait", sera en effet d'autant plus soupçonneux. Le raisonnement est impeccable, à condition qu'en effet, "tout le monde" se soit enrôlé...

Ce n'est pas tout. Le raisonnement développé dans cet entretien publié sur Fast Company semblerait presque irréprochable, à défaut d'être démocrate - ou tout simplement libéral, nouvelle preuve de la dissociation grandissante entre libéralisme économique et libéralisme politique.

Selon Jeff Carter, seul l'iris et l'ADN fournissent une capacité de discrimination suffisante des individus pour pouvoir être utilisée à grande échelle en tant que "clé d'identification". En France, une telle clé est fournie par le NIR (plus connue en tant que numéro de sécurité sociale), et la CNIL a plusieurs fois averti les autorités, sans que celles-ci n'écoutent réellement, du danger d'utiliser les empreintes digitales comme clé. Une telle clé sert, par définition, à connecter des fichiers entre eux; or, contrairement au mythe perpétré par les séries policières, les empreintes digitales sont loin d'être assez uniques pour fournir des clés d'identification stables.

Avec ces 2 000 points [tirés de la photographie de l'iris], déclare Carter, vous pouvez créer une suite unique de chiffres de 16 000 bits qui représente chaque être humain sur la planète. Ceci créé un point de référence qui peut connecter tout ce que vous faites dans tous les aspects de la vie, pour la première fois.
Il faut se méfier des déclarations de Carter. Il enchaîne en effet en prétendant que les Etats-Unis utilisent avec efficacité la reconnaissance vocale pour identifier la voix des terroristes sur les réseaux de communication (écoutés en permanence par des systèmes tels qu' Echelon) et ensuite les assassiner via des drones. Or, la fiabilité de la reconnaissance vocale est encore très incertaine. Mais Carter n'est pas là pour nous mettre en garde contre la fiabilité de la biométrie, encore moins pour défendre les droits de l'homme, mais pour vendre. 

Et là, en convainquant le maire de Leon d'autoriser cette opération sécuritaire, il vient d'effectuer une opération commerciale géniale! La preuve, on en parle... Et c'est pas les gros sous qui manquent, dans cette affaire: 3M, spécialisé dans les passeports biométriques, vient d'annoncer le rachat de Cogent, spécialisé dans la biométrie aux frontières, pour 943 millions de dollars. Selon le groupe, la biométrie pèse actuellement 4 milliards de dollars par an, et devrait croître de 20% par an.

Vers une rupture juridico-culturelle dans la vie privée?

On parle de plus en plus de perceptions différenciées de l'importance de la vie privée en fonction de l'âge, des milieux sociaux, de l'habitude des nouvelles technologies ou de l'inconscience face aux capacités informatiques. L'autorisation donnée par le maire de Leon de transformer "sa" ville en vitrine de ce que d'aucuns n'hésiteront pas à qualifier de "totalitarisme (post-)derne" tendrait à confirmer cette thèse.

A condition de ne pas oublier que le Mexique est un Etat fédéral, et que jusqu'à peu, seul le district fédéral de Mexico (la capitale) bénéficiait, depuis 2008, d'une loi de protection des données personnelles (qui semble toutefois très a minima) et d'une agence s'assurant, tant bien que mal, du respect de celle-ci (aucune sanction n'est prévue en cas de violation de la loi). La réforme de l'art. 6 de la Constitution, en 2007, avait introduit la protection des données personnelles en tant qu'objectif constitutionnel; il a fallu attendre juillet 2010 pour qu'une loi fédérale de protection des données personnelles soit promulguée. Et cette année, le gouvernement a annoncé l'encartement généralisé des Mexicains, le projet de carte d'identité biométrique comprenant l'iris, les empreintes digitales et la photographie du visage.

Le projet inquiétant de Leon est hors de question en France, qui n'est pourtant pas à la pointe de la défense de la vie privée, comme l'a montré la récente polémique sur le STIC, ou encore l'absence totale de débats concernant la décision d'instruction européenne ou le projet européen d'utilisation des fichiers à des fins de surveillance des "processus de radicalisation violente".

Néanmoins, l'idée que le contrôle d'identité ne devrait pas demeurer une procédure régie par un cadre réglementaire limitant celui-ci strictement aux policiers ou à certaines opérations définies, notamment bancaires, semble perdre du terrain (voir notre contribution au débat sur le voile). L'identification devient de plus en plus une obligation, au risque de transformer chacun en flic d'autrui.

Ce n'est pas seulement le Nouveau-Monde qui se distingue de la "vieille Europe" en matière de vie privée - même si le fait d'utiliser des capteurs d'empreintes digitales pour contrôler l'accès à un club de gym (inimaginable en France) ne fait tout de même pas l'unanimité en Californie. Non seulement certaines associations américaines sont très actives: l'EPIC (Electronic Privacy Information Center) vient d'avoir la preuve que les scanners corporels, à la mode depuis janvier 2010, enregistraient les images des corps nus. Mais en Europe même, les perceptions diffèrent.
   
Ainsi, au Royaume-Uni, on fait un emploi beaucoup plus large de la biométrie, la CNIL locale étant beaucoup plus timide qu'ici (on utilise ainsi la reconnaissance de l'iris pour le contrôle de l'accès aux cantines scolaires). D'un autre côté, les Britanniques sont traditionnellement rétifs à l'égard de tout projet d'encartement, et la nouvelle coalition libérale vient d'abandonner le projet d'inclure les empreintes digitales dans le passeport biométrique, se contentant d'enregistrer la photographie numérique et d'améliorer les autres dispositifs techniques (images, hologrammes, etc.) du passeport. Le prix de ce dernier est tout de même passé de 21£ en 1999 à 77,50£ aujourd'hui (112,50£ pour l'avoir en une semaine). N'étant pas partie de l'espace Schengen, le Royaume-Uni n'est en effet pas soumis au règlement européen n°2252/2004 ayant établi le passeport biométrique.

L'administration britannique vient également de décider de supprimer le fichier CONTACT-POINT, qui recensait 11 millions d'élèves selon le Collectif de résistance à Base-élèves. L'un des motifs invoqués était précisément l'impossibilité de sécuriser le fichier, auquel près de 400 000 professionnels avaient accès.

Enfin, s'agissant de la vidéosurveillance, technologie qui sera sans doute couplée à la reconnaissance de l'iris à l'avenir, le maire de Villeurbanne rappelait récemment qu'un lampadaire est parfois plus utile qu'une caméra, tandis qu'un rapport de la Cour des comptes régionale de Rhône-Alpes cité par J.-M. Manach sur Bug Brother soulignait qu'à près d'un million d'euros par an, il n'était pas sûr - euphémisme - qu'il s'agisse d'un investissement rentable (voir aussi les résultats de cette enquête sociologique sur le dispositif lyonnais).

Conclusions?

D'abord, le maire de Leon risque d'avoir un réveil désagréable, lorsque ce fichier central d'iris aura été utilisé à des fins douteuses sinon criminelles (voir les soucis concernant le transfert des données biométriques amassées par les Américains aux autorités irakiennes), et si une Cour des comptes décidait de fourrer son nez dans son dispositif. Global Rainmakers Inc., quant à elle, n'ira qu'à chercher un autre pigeon...

Ensuite, s'il y a une différence dans la perception de l'importance du droit à la vie privée, celle-ci n'obéit à aucune frontière massive et homogène: sur certains points, notamment la vidéosurveillance, les Français sont plus réservés, tandis que sur d'autres, notamment les cartes d'identité, les Anglo-Saxons se montrent plus précautionneux. La différence d'appréciation n'est pas seulement entre les personnes ("subjective"), mais également entre les objets ("objective"). Dans toute société, certains individus sont plus méfiants que d'autres vis-à-vis des promesses radieuses de la technologie sécuritaire. A Leon, en l'absence de toute législation protectrice, on peut parier que les gros sous l'ont emporté sur toute autre considération. Peut-être certains citoyens décideront que de tels essais réels en plein champ sont intolérables!

Avec les bénéfices engrangés, nul doute que les expert ès marketing arriveront à nous vendre d'autres merveilles technologiques: après tout, rendre la biométrie attrayante, y compris en passant par des opérations publicitaires à la Big Brother, c'est le premier souci des fabricants, qui ne s'en cachent pas... Raison de plus pour pousser à la création d'un cadre réglementaire mondial défendant la vie privée.


Rectificatif du 22 septembre 2010 concernant la nouvelle loi fédérale de protection des données personnelles, promulguée en juillet 2010.

Creative Commons License Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.




Austin Carr, The Eyes Have It: Why Iris Scanning Rules, entretien avec  Jeff Carter du GRI, 18 août 2010

Nouvel Observateur, Biométrie : 3M rachète Cogent pour 943 millions de dollars, 31 août 2010

Boston Globe, Worries about US data on Iraqis, 31 août 2010

Collectif national de résistance à Base-élèves, Un fichier recensant 11 millions d’enfants rend l’âme… au Royaume-Uni, 30 août 2010

Alan Travis, Cloudy skies protect new UK passports from counterfeiters, The Guardian, 25 août 2010


ABC Local (San Francisco), New 24 Hour Fitness ID system causes stir, 13 août 2010

Jay MacDonald, Meet the Next Generation of Credit Cards, Fox Business, 9 août 2010

EPIC, DOCUMENTS REVEAL THAT BODY SCANNERS ROUTINELY STORE AND RECORD IMAGES, 3 août 2010 (publié sur Statewatch)

Jean-Marc Manach, L’impact de la vidéosurveillance est de l’ordre de 1%, Bug Brother, 28 juillet 2010

Séverine Germain, Un contrôle institutionnel renouvelé : la vidéosurveillance de voie publique, Implications philosophiques, 2010 (étude sociologique sur le dispositif lyonnais ; la même revue comporte un article sur la biométrie)

Fabien Fournet, "Vidéosurveillance imposée" : le maire de Villeurbanne voit rouge, Lyon Capitale, 3 mars 2010 

Instituto Federal de Acceso a la Información Pública, LA PROTECCIÓN DE DATOS PERSONALES EN MÉXICO: UNA PROPUESTA PARA DELIBERAR, juillet 2008 (11 p.)

Aucun commentaire:

Enregistrer un commentaire