mercredi 7 novembre 2012

Biométrie: la CNIL s'inquiète, Auchan fonce !

Tandis que la CNIL annonce, sans fanfares, qu'elle retirait son autorisation unique portant sur l'usage de la biométrie afin de pointer au boulot (AU n°007), le groupe Auchan (Auchan, Leroy-Merlin, banque Accord, etc.) lance avec fierté le paiement biométrique "au doigt", c'est-à-dire la carte VISA biométrique

Si l'usage de la biométrie à des fins de contrôle des horaires est désormais jugée "non proportionnel", la CNIL effectuant ainsi un revirement de jurisprudence, celle-ci continue à considérer que la "biométrie de confort", ou plutôt, la biométrie de management, c'est-à-dire à des fins de gestion des flux, que ce soit dans les cantines ou les supermarchés, est légitime. La biométrie dévoile ainsi son véritable visage, servant davantage à faciliter la gestion qu'à assurer la sécurité. Mise en perspective.

Le revirement de la CNIL suite à la contestation sociale

La CNIL motive son retrait de l'autorisation unique de la pointeuse biométrique en constatant une généralisation des "techniques de contrôle des salariés" depuis 2006, l'ayant incité à "recueillir l'avis d'organisations syndicales et patronales, de la Direction Générale du travail ainsi que de certains professionnels du secteur" (délib. n°2012-322 du 20 septembre 2012, portant sur l'AU n°7 du 27 avril 2006: "autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail").

Au cours de ces consultations, "un consensus s'est clairement exprimé considérant l'utilisation de la biométrie aux fins de contrôle des horaires comme un moyen disproportionné d'atteindre cette finalité", notamment en raison du "risque accru de détérioration du climat social, allant à l'encontre de la relation de confiance employeur-salarié", la pointeuse à badge apparaissant suffisante.

Il faut dire que la pointeuse biométrique devenait l'enjeu de conflits sociaux inquiétants pour les promoteurs de ces technologies (cf. La gauche et l'avenir de la reconnaissance faciale (1), Vos Papiers!, 18/05/12). Nous avions alors cité le reportage de France-3 (17/05/12) sur l'opposition des employés de la mairie de Garges-lès-Gonnesses :

Dans la suite de cette délibération, la CNIL effectue un véritable revirement de jurisprudence, déclarant:
Dès lors, même si le contour de la main est une biométrie dite « sans trace », son recours implique d'utiliser une partie de son corps, ce qui en soi est disproportionné au regard de la finalité de gestion des horaires.
Félicitons-ici la CNIL d'avoir compris, sous la pression du mouvement social et après six ans de promotion de la biométrie en tant qu'outil de flicage des salariés, qu'elle s'était trompée en considérant que la gestion biométrique des horaires était conforme au principe de proportionnalité de la loi Informatique et libertés de 1978.
Le contrôle dans les cantines, scolaires et professionnelles, demeure légal
 
En revanche, la CNIL nage dans l'incohérence la plus totale, en n'effectuant qu'un retrait partiel de l'AU-007, puisque les autres formes de contrôle biométrique dans l'entreprise, et notamment ceux effectués à la cantine, sont considérées comme "proportionnelles":
La Commission estime qu'il n'en est pas de même en ce qui concerne les contrôles d'accès aux locaux ainsi qu'au restaurant d'entreprise ou administratif reposant sur un dispositif de reconnaissance du contour de la main, notamment pour des raisons de sécurité et au regard des risques plus limités pour la vie privée des personnes.
On ne voit pas bien pourquoi la pointeuse biométrique à la cantine porterait un "risque plus limité" à l'égard de la vie privée, puisqu'il s'agit de la même technique. Par ailleurs, invoquer la sécurité alors qu'il s'agit de gestion des flux est parfaitement hypocrite. Dès 2000, la CNIL savait de quoi il en retournait : en rejetant la demande du lycée Jean Rostand de Nice, elle indiquait ainsi (délib. n°00-015, 21-03-00):
le traitement ainsi mis en œuvre ayant pour finalité de faciliter l'accès à la cantine scolaire et la gestion des comptes et de la facturation ; qu'il permettrait, en outre, aux dires de l'établissement, d'éviter toute manipulation d'espèces et les difficultés généralement liées à la perte ou à l'oubli des cartes de cantine...
Cette finalité a été un temps oubliée: en autorisant le premier contrôle biométrique, par contour de la main, dans les cantines, au collège Joliot-Curie de Carqueiranne (Var) en 2002 - initiative coûteuse financée par le conseil général - elle prétendait qu'il ne s'agissait que de s'assurer que "seules les personnes habilitées peuvent accéder au service" (délib. 02-70). Le collège présentait pourtant le système comme visant à "mieux gérer les absences", c'est-à-dire à mieux fliquer les élèves: une sorte de pointage horaire à l'école (Libération, 28-10-02).

Depuis, la CNIL reprend inlassablement la même rengaine : elle autorise les fichiers et la biométrie à des fins de "contrôle de l'accès au restaurant d'entreprise ou administratif et [de] gestion de la restauration ainsi que la mise en place d'un système de paiement associé" (délib. n°02-001 du 08 janvier 2002, sur les fichiers "mis en œuvre sur les lieux de travail pour la gestion des contrôles d'accès aux locaux, des horaires et de la restauration"; délib. n°2006-101 du 27 avril 2006 sur l'AU-007 ; délib. n°2012-322 précitée, abrogeant la précédente).

Affirmer que des cantines requièrent d'être "sécurisées" en faisant usage de la biométrie est tout autant ridicule qu'hypocrite. Et prétendre que le principe de proportionnalité est respecté devient d'autant plus difficile dès lors que la CNIL s'est déjugée en ce qui concerne le contrôle des horaires. Reste donc à la CNIL de prendre acte des nombreuses protestations contre la biométrie à l'école et le flicage des enfants ! 

L'expérience Accord-Auchan sur le paiement biométrique, une collaboration Etat-industrie-grande distribution

Il s'agit-là, en fait, de la mise en place de "l'expérimentation" - peut-être faudrait-il dire de l'acculturation des consommateurs - autorisée par la CNIL dans sa délibération de décembre 2009 que nous avions largement commenté dans La carte VISA biométrique débarque en France (02/04/10)

La CNIL, dont l'un de ses membres, Dominique Castera, a travaillé chez Sagem de 1973 à 2010, étant même DRH, de 2005 à 2010, de ce groupe à la pointe du lobbying pro-biométrique, la CNIL donc, dans sa grande indépendance, remarquait alors que c'était "la première fois qu’elle [était] appelée à se prononcer sur le recours à une technologie biométrique dans le cadre d’une application potentiellement de masse".

L'expérimentation actuelle, qui commence à l'Auchan de Villeneuve-d'Ascq, est ainsi le fruit d'une véritable collaboration entre la CNIL, plusieurs banques, la grande distribution, une start-up, Natural Security (sic), financée par ces derniers, et enfin Ingenico, leader mondial des terminaux de paiement - dans lequel l'Etat détient une minorité de blocage à travers Safran, et qu'il avait d'ailleurs utilisé en 2010 au nom du "patriotisme économique", empêchant son rachat par les Américains (cf. Vos Papiers!, 02/02/11). La Tribune (23/10/12) précise ainsi :
Les sept actionnaires de Natural Security que sont Auchan, Leroy Merlin, BNP Paribas, Crédit Agricole, Crédit Mutuel Arkéa ainsi que le leader mondial des terminaux de paiement Ingenico financent à hauteur de plusieurs dizaines de millions d'euros les travaux de cette start-up depuis sa création en 2006. Début 2011 sortait le premier prototype en partenariat avec MasterCard.
Comme le souligne bien 01Net (23/10/12), il s'agit d'une "double identification : biométrique et sans contact", puisqu'il faut poser ses doigts sur un terminal biométrique qui reconnaît le réseau veineux, et permet ensuite la transmission des données du terminal à la carte VISA, gardée dans le portefeuille, via une puce RFID (pour les détails techniques du procédé, cf. Vos Papiers!, 02/04/10). 

Si l'Auchan de Villeneuve-d'Ascq se limite au réseau veineux, l'expérimentation s'étendra à celui d'Angoulême, où l'empreinte digitale sera utilisée. Or, il s'agit d'une technologie "à trace" selon la CNIL, qui pose davantage de problèmes relatifs à la protection contre l'usurpation d'identité... biométrique (sur les faux chiffres qui circulent concernant l'usurpation d'identité civile, cf. Le Canard Enchaîné du 24/10/12, ci-contre). La CNIL a autorisé cette "légère" modification par sa délibération n°2011-200 du 30 juin 2011 :
Par une délibération n°2009-700 du 17 décembre 2009, la Commission a autorisé la mise en place de cette expérimentation, en 2011-2012, pendant une durée de six mois chez les commerçants participants avec, pour biométrie utilisée, le réseau veineux du doigt. Banque Accord sollicite une modification de cette autorisation afin de recourir à deux nouvelles biométries : le réseau veineux de la paume de la main et l'empreinte digitale exclusivement stockée sur support individuel.
Comme en 2009, elle prend acte que cette technique consiste principalement à faciliter la gestion des flux, affirmant qu'elle vise "à réduire le temps nécessaire à la réalisation d'un paiement et à répondre au mieux aux exigences de sécurité en vigueur" - cf. Vos Papiers!, 02/04/10, sur la priorité gestionnaire ("à l'automatisation des frontières répond l'automatisation des caisses", écrivions-nous alors), la sécurité pouvant être assurée par d'autres moyens, non biométriques: l'autorisation constitue donc une entorse, sinon une violation, du principe de proportionnalité.

Mais la CNIL voit là un progrès considérable, annonçant même, dans sa délibération sus-citée de juin 2011, que "ce projet devrait à terme favoriser le développement de nouveaux services d'authentification, par exemple pour la banque en ligne ou la signature de documents". 
Outre la banque Accord, le Crédit Agricole Mutuel de Charente Périgord a bénéficié d'une autorisation d'expérimentation analogue (délib. n°2012-039 du 2 février 2012), ainsi que le Crédit Mutuel ARKEA (délib. n°2012-033, 2 fév. 2012). Parmi les actionnaires de la start-up Natural Security, ne reste plus que BNP-Paribas qui n'a pas encore fait sa demande.

La doctrine biométrique de la CNIL : le pointage, ça suffit ! la gestion des flux, oui !

 Le revirement de jurisprudence opéré par la CNIL quant à l'AU-007, qui se limite, sous la pression du mouvement social, à considéré comme non-proportionnel l'usage de la biométrie à des fins de contrôle des horaires, est un aveu de l'incohérence de sa doctrine. En effet, si l'usage à ces fins n'est pas proportionnelle, en quoi le contrôle biométrique à des fins de management, autorisé tant dans les cantines scolaires que la restauration d'entreprise, ou encore dans ces expériences-pilotes de "paiement biométrique", visant essentiellement à accélérer le passage en caisse, seraient-ils "proportionnels" ?

Alors que dans les années 1990, la biométrie était principalement présentée comme une technologie de paiement, l'enjeu sécuritaire post-11 septembre a durablement éclipsé cette fonction. Ceci a permis, en retour, la CNIL d'autoriser la généralisation de ces systèmes de reconnaissance dans l'ensemble de la société, au prétexte de la "sécurité" nécessaire dans le cadre de "contrôles d'accès". Et ceci, alors même qu'elle reconnaissait clairement la finalité avant tout gestionnaire et commerciale.

Avec l'expérimentation de paiement biométrique, qui prévoit la généralisation massive de la biométrie à des fins commerciales, et non plus seulement à des fins souveraines de contrôle d'identité et de circulation, le vrai visage, commercial, de la biométrie refait surface. Avec l'appui enthousiaste de l'Etat, qui participe pleinement à la commercialisation de cette technologie, au nom de la constitution de "champions nationaux".  Au détriment du respect de la vie privée et de nos libertés.

Pourtant, outre le célèbre livre bleu du GIXEL, le lobby de la biométrie, préconisant d' "habituer" les consommateurs dès leur plus jeune âge à ces techniques de contrôle (cf. ici L'identité électronique, pour l'Etat, les enfants ou le marché ?, 28 mai 2012), cette extension était prévue dès le départ, et la CNIL ne pouvait guère l'ignorer. Ainsi, le quotidien économique belge Trends-Tendance évoquait, en septembre 2002 ("Montre-moi ton œil, je te dirai qui tu es", 19-09-02), le modèle de diffusion économique formulé par le cabinet de consultant Arthur D. Little:  
La première étape, dite de haute sécurité, consiste en une phase d'expérimentation et d'application en conditions de contrôle et d'environnement de sécurité maximum, réservée à un petit nombre d'utilisateurs.
La deuxième étape, dite de contrôle d'accès, implique un plus grand nombre d'utilisateurs dans un nombre restreint de situations: la plupart des applications concernent ici  le contrôle physique et les accès à des réseaux.
La troisième étape, celle du contrôle de transactions, fournit des applications à grande échelle, principalement dans l'identification et les zones d'accès: e-commerce, infrastructures publiques et services financiers.
La quatrième étape, d'authentification et d'identification de masse, offre de très nombreuses applications: intégration complète avec les infrastructures publiques, premières solutions pour le marché consommateur.
Nul complot ici, mais une stratégie commerciale pleinement mûrie et réfléchie, à laquelle les Etats, et notamment Paris et Washington, ont apporté leur soutien le plus total.  Qu'importe si le modèle d'Arthur Little a été démenti par les faits ? Puisqu'en effet, l'identification de masse a joué dès le départ, via la mise en place du passeport et du visa biométrique, et que le contrôle des transactions demeure marginal. L'idée était bien de procéder à une généralisation progressive de cette technologie, à des fins purement commerciales.

La victoire remportée par les salariés luttant contre le pointage biométrique montre néanmoins que ce processus n'a rien d'irréversible, et que le mouvement social a un rôle à part entière dans l'élaboration du droit. Ne reste plus qu'aux lycéens à intensifier leur contestation, souvent relayée dans la presse régionale mais presque toujours ignorée de la presse nationale, et aux associations de consommateurs de se saisir de ce nouvel enjeu.


 Creative Commons License Merci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.