Les cartes d’identité belges font peau-neuve, avec notamment l’ajout obligatoire des empreintes digitales sur la puce électronique. Mesure nécessaire ou disproportionnée ? Mammouth décrypte.
Photo : Unsplash/George Prentzas (CC BY NC SA)
Les empreintes digitales sont des outils précieux pour lutter contre la fraude à l’identité et le terrorisme. C’est en tout cas l’avis de l’ancien Ministre de l’Intérieur, Jan Jambon, puis de l’Europe en 2019. Cette marque indélébile, une signature que l’on dépose au moindre contact, est extrêmement précise. Telles les rayures des zèbres, elles sont uniques pour chaque individu. Une fois prélevée, la donnée biométrique fiche à vie les criminels, puisqu’elle n’évolue pas avec le temps. Ces facteurs identifiants sont donc des traces sans faille pour pouvoir (ré)identifier les malfrats.
Depuis fin novembre 2020, nos empreintes font partie intégrante des nouvelles cartes d’identité électronique (eID). Conservée dans la puce interne de l’eID, cette donnée biométrique s’accompagne de six autres changements.
Source : service public fédéral intérieur (ibz.be)
Derrière ces changements de façade se cache la stratégie de lutte contre le terrorisme mise en place par le ministre de l’Intérieur de l’époque, Jan Jambon (N-VA). La prise d’empreinte “est essentielle pour la lutte contre les personnes en séjours irréguliers”, nous apprend le programme électoral du parti nationaliste. Pour entraver les fraudes à l’identité des terroristes, le ministre plaide pour une complexification du système des cartes. L’idée est débattue le 1er mars 2016, avant les attentats de Bruxelles.
Une mesure disproportionnée
Très rapidement, les critiques fusent. Même les libéraux, partenaires de la N-VA au gouvernement, se montrent sceptiques. La pose des empreintes digitales sur toutes les cartes d’identité est jugée disproportionnée par rapport aux quelques fraudes. En plus de la nature coûteuse de la mesure, les critiques soulignent la menace pour la vie privée : les citoyens sont soumis à une collecte de données jusqu’alors réservée aux personnes incarnant un risque pour la société.
La fondation Ministry of Privacy a lancé la campagne Stop de vingerafdruk (Stop à l’empreinte digitale). Chien de garde des données privées, la campagne résume les dysfonctionnements de la mesure en cinq mots : disproportionnée, dispensable, insécurisée, immorale et coûteuse.
Même si l‘Autorité de Protection de Données (APD) a reconnu toutefois la facilité de falsifier les cartes d’identité, elle est également montée au créneau. La comparaison avec le passeport, sur lequel les empreintes sont déjà conservées depuis 2010, est rejetée par le gendarme de la gestion des données. La carte d’identité a de multiples usages, notamment dans le secteur privé, contrairement au passeport qui se résume à un titre de voyage.
L’Europe a tranché
La loi votée en novembre 2018 en Belgique, appliquée dans les administrations communales depuis novembre 2020, anticipe le projet européen.
Alors que le gendarme européen des données a lui aussi rendu un avis négatif, les débats sur la proportionnalité et la vie privée se scellent par le règlement européen de juin 2019 qui entend harmoniser les empreintes sur les cartes d’identité dans les pays membres d’ici le mois août 2021. Comme en Belgique, l’Europe met en avant les fraudes à l’identité pour légitimer son texte de loi.
La décision supranationale entérine tout débat. Comme la législation européenne est ‘supérieure’, aucun argument ne peut plus entraîner un retour en arrière à l’échelle nationale. De plus, le SPF Intérieur belge brandit l’attention qu’il porte au RGPD (Règlement général sur la protection des données) comme argument compensatoire. « Puisque les données biométriques sont uniquement conservées sur la carte, la mesure est conforme aux textes qui balisent l’utilisation de données sensibles ».
Législation floue et fuite de données
Jean-Michel Dricot, professeur de cybersécurité à l’Université Libre de Bruxelles, évoque une législation floue et pointe le risque d’une fuite des données. Si on peut changer ses mots de passe à sa guise, il n’en va pas de même pour nos empreintes. Lors que les empreintes digitales fuitent, elles sont compromises à vie, car elles n’évoluent jamais.
Conservées uniquement sur la puce électronique de la carte d’identité, nos empreintes digitales ne devraient pas pouvoir être compromises. Théoriquement. Mais la zone d’ombre qui plane sur leur stockage provisoire -trois mois sur une base de données centralisées pendant la création de la carte- comporte néanmoins des risques. Des milliers d’empreintes digitales sont conservées un trimestre sur cette base de données, avec la possibilité d’être compromises. Or, plusieurs communes ont déjà été victime d’une cyberattaque.
La récente affaire du projet de croisement des données personnelles des citoyens belges, portée par Frank Robben et la Smals (l’ASBL informatique de l’Etat), sans aucun contrôle démocratique, n’ont pas de quoi rassurer la population. L’Etat peine à gérer la sécurisation de la masse grandissante de ces données sensibles avec toutes les précautions éthiques et les garde-fous démocratiques nécessaires. Dès lors que nos empreintes digitales arrivent dans le lot, il s’agira de redoubler de vigilance.