4. Les précautions nécessaires à une mise en place réussie d'un titre d'identité biométrique

Quel que soit le système biométrique retenu, certaines conditions sont indispensables à une mise en oeuvre efficace et réussie d'un titre biométrique.

a) Ne pas surestimer la fiabilité de la biométrie

Nos sociétés ont depuis quelques années un fort besoin d'identification. Or, la biométrie est la seule technologie permettant l'identification de personnes parmi des masses humaines de plusieurs dizaines, voire centaines de millions d'individu.

Ce constat ne doit pas faire oublier que cet outil puissant et unique a également ses limites comme l'a indiqué Mme Bernadette Dorizzi, chercheur à l'Institut national des télécommunications, devant les membres de la mission.

Il ne s'agit pas là de remettre en cause la fiabilité de la biométrie. M. Christian Cabal, député, constatait et mettait en garde contre les excès de confiance et de défiance à l'égard de la biométrie dans un rapport ^{70 ( * )} de juin 2003 sur les méthodes d'identification par la biométrie : « Une analyse objective des performances techniques des systèmes biométriques et de leurs faiblesses éventuelles se heurte à diverses difficultés. D'une part, il est malaisé d'isoler dans les systèmes biométriques les défaillances imputables aux dispositifs eux-mêmes de celles liées à l'environnement technique, physique, voire juridique dans lequel ils sont implantés. D'autre part, la diversité des techniques biométriques [...] rend les analyses plus compliquées encore. »

Toutefois, ce rapport estimait que certaines techniques biométriques, notamment les empreintes digitales, avaient acquis ou étaient sur le point d'acquérir une maturité satisfaisante et pouvaient servir d'identifiant pour des populations de plusieurs millions de personnes.

M. Christian Cabal, lors de son audition par la mission, a fait état des progrès importants de ces technologies depuis deux ans. Concédant, comme il le faisait déjà dans son rapport, qu'aucune technique ne pouvait se prétendre infaillible et apporter la preuve d'une performance à 100 %, il a, néanmoins, déclaré que l'utilisation de la biométrie à des fins d'authentification ou d'identification de groupes humains de plusieurs dizaines de millions d'individus était fiable.

M. Philippe Wolf, responsable du centre de formation de la direction centrale de la sécurité des systèmes d'information qui est placée sous l'autorité directe du Premier ministre, a toutefois douté de la maturité des technologies biométriques, soulignant le et d'études sérieuses et indépendantes. En outre, il a estimé que la meilleure sécurité informatique restait l'utilisation d'un code secret révocable. Or, les données biométriques ne sont ni secrètes, ni révocables. Il a conclu son propos en soulignant qu'il ne fallait pas abandonner complètement des systèmes traditionnels ayant fait leur preuve au profit de systèmes nouveaux encore mal connus.

Les premières expériences à grande échelle de la biométrie, notamment le programme US-Visit aux États-Unis, semblent devoir valider la fiabilité de ces technologies .

• Ne pas abandonner les sécurités traditionnelles

La sécurité ne doit pas reposer sur la seule biométrie . Selon M. Pierre Garcia, capitaine à la direction centrale de la police aux frontières, un système d'identité doit prévoir plusieurs degrés de contrôles : examen visuel (premier niveau), utilisation d'appareils pour tester les sécurités cachées ou lire la puce (deuxième niveau), consultation du fichier de gestion (troisième niveau).

Un titre biométrique doit donc conserver les sécurités traditionnelles permettant une première authentification du titre en l'absence de l'équipement nécessaire à l'exploitation de la biométrie . Comme on l'a vu, l'expérience de la carte nationale d'identité sécurisée nous enseigne que les lecteurs de certains éléments de sécurité, comme le luminophore, n'ont jamais été distribués à la police et à la gendarmerie

Ces sécurités forment aussi un filet indispensable en cas de panne du système biométrique.

• Utiliser au moins deux éléments biométriques

Appliqué à des populations de plusieurs dizaines de millions d'individus, un système biométrique doit prendre en compte ses propres faiblesses dès sa conception. Il doit être souple et capable de traiter la différence .

En effet, les études scientifiques et les premiers retours d'expérience à grande échelle évaluent à 2-3 % la fraction d'une population inadaptée à l'utilisation d'un type de données biométriques. Dans le cas des empreintes digitales, il peut s'agir de personnes aux mains coupées, ayant travaillé le ciment ou ayant eu les doigts attaqués par des acides. Dans le cas de l'iris, certaines maladies en troublent la lecture.

En outre, sur de grandes populations , les risques d'erreur sont statistiquement accrus . La probabilité que deux signatures biométriques soient identiques ou soient si proches que le traitement informatique les confonde est plus importante. En théorie, ce risque met à mal le principe d'unicité qui relie un individu à une donnée biométrique. En pratique, ce problème peut être réglé, la probabilité variant selon la technique utilisée. Ainsi, pour dix points de comparaison, la probabilité de trouver les mêmes points disposés de façon identique sur les empreintes digitales de deux personnes différentes serait d'une chance sur un million et, pour quatorze à dix-sept points, d'une chance sur dix-sept milliards.

Pour ces différentes raisons, l'utilisation d'au moins deux données biométriques semble nécessaire, le visage et les empreintes digitales, constituent un bon compromis. Ce choix permet de couvrir l'ensemble de la population et de réduire considérablement les erreurs du système (fausse reconnaissance ou faux rejet). Il convient également d'enrôler les empreintes digitales de plusieurs doigts afin de réduire la probabilité que deux personnes présentent des signatures biométriques très proches.

Lors de son déplacement à Washington, la délégation de la mission a constaté que les autorités américaines, dans le cadre du programme US-Visit, envisageaient d'accroître prochainement le nombre d'empreintes digitales relevées au moment de l'entrée sur le territoire américain. A l'heure actuelle, seuls les index droit et gauche sont enrôlés. Or, la population enregistrée dans la base de données croît très rapidement et comptera à terme plusieurs dizaines ou centaines de millions de personnes. Le Department of Homeland Security devrait rapidement passer à six empreintes.

• Maintenir une présence humaine

Pour un système biométrique, le maintien d'une présence humaine est indispensable même s'il est aussi une source de dysfonctionnement.

Il est indispensable car un système biométrique ne peut pas bien fonctionner s'il est abandonné à lui-même . Le tout technologique n'est pas fiable.

Ainsi, lors de la phase cruciale ^{71 ( * )} d'enrôlement des données biométriques, une présence humaine est nécessaire afin de s'assurer, par exemple, que ce sont les bons doigts qui sont enregistrés. Elle permet également de lutter contre les tentatives de fraude. Bien que les capteurs les plus récents détectent les faux doigts ou les doigts morts, il faut rester prudent face à l'imagination des fraudeurs. Une présence humaine avertie doit détecter et dissuader les tentatives de contournement du système.

Une présence humaine est encore nécessaire pour gérer la différence , notamment pour traiter le cas des personnes dont les caractéristiques ne peuvent être relevées (doigts coupés, maladie de l'oeil, borgnes...).

Enfin, elle doit servir à réguler le système en cas d'erreur (faux rejets, non reconnaissance).

Cet aspect humain est fondamental pour l'acceptabilité de la biométrie . Les usagers ne doivent pas se trouver seuls face à une machine . Selon Mme Bernadette Dorizzi, chercheur à l'Institut national des télécommunications, les premières études sociologiques et psychologiques réalisées sur des populations en situation réelle démontrent la bonne perception a priori de ces systèmes. Toutefois, des réactions de panique peuvent naître lorsqu'une personne se trouve seule face à une machine qui lui refuse un accès ou un droit. Le rejet doit donc toujours être décidé par une personne et non par la machine seule.

Indispensable, la présence humaine est aussi source de dysfonctionnement. Cela implique d'apporter un soin particulier à la formation des agents . Seuls des personnels spécialement formés doivent manipuler et surveiller les appareils biométriques. Ce principe est lourd en terme de gestion administrative et des ressources humaines, mais il ne doit pas souffrir d'exception.

Enfin, pour bien fonctionner, un système biométrique doit être favorablement perçu par les personnes qui s'y soumettent. D'une part, un effort d'information et de transparence doit être entrepris afin de dissiper les craintes infondées. D'autre part, le système doit être le plus simple et le moins intrusif possible pour l'usager.

b) Une durée de validité des titres d'identité réduite à cinq ans

Les titres en vigueur (carte nationale d'identité et passeport) ont une durée de validité de dix ans. Cette durée, déjà très longue pour des titres traditionnels, ne convient pas pour des titres d'identité électroniques et biométriques.

Les experts rencontrés lors des déplacements de la mission au Centre national de production des titres et en Belgique ont souligné la fragilité de la cryptographie au delà d'une période de cinq ans. La résistance aux attaques extérieures ne peut pas être assurée au delà. Ceci a encore été confirmé par M. Jean-Pierre Buthion, responsable « produits et services » du Groupement des cartes bancaires, et les industriels du secteur. L'exemple des cartes bancaires en témoigne, puisqu'elles sont renouvelées tous les deux ans afin de maintenir un niveau optimal de sécurité.

De plus, l'usure de la puce (rayure, décollement, oxydation...) exige également un renouvellement régulier.

Enfin, les données biométriques des individus peuvent exceptionnellement évoluer en raison de l'âge, de maladies ou d'accident. Un renouvellement tous les cinq ans permettrait de mieux prendre en compte ces évolutions.

c) Un titre obligatoire ?

Cette question déjà abordée à propos des titres classiques se pose de manière différente pour les titres biométriques.

Lorsque le système biométrique retenu est un système d'identification permettant d'autres usages que la simple sécurisation de la délivrance des titres (police judiciaire, contrôle d'identité...), la performance de ces systèmes repose essentiellement sur l'existence d'un fichier central et la possibilité de comparer une donnée biométrique avec l'ensemble des données de la base. En conséquence, la performance est réduite si une grande partie de la population reste en dehors de la base . Le rapport coût-avantage n'est plus aussi favorable.

Toutefois, il n'y a pas d'automaticité entre un titre biométrique et un titre obligatoire.

Ainsi, les systèmes dits d'authentification avec ou sans fichier central n'impliquent pas un titre obligatoire . Le libre choix peut être laissé à chaque individu de se prémunir ou non contre une usurpation d'identité.

d) Une nouvelle répartition des compétences entre les communes

A ce jour, les quelque 36.000 communes de France sont le lieu de dépôt et de retrait des demandes de titres. Les agents vérifient que le dossier papier est complet avant de la transmettre à la sous-préfecture qui assure le contrôle qualitatif des dossiers.

Avec le passage à un titre biométrique, le maintien de la possibilité de déposer une demande dans chacune des 36.000 communes poserait des difficultés techniques et financières . En effet, lors de cette phase, il est nécessaire de relever les données biométriques de la personne.

Financièrement, le coût serait élevé : achat des capteurs, équipement informatique, déploiement du réseau...

Techniquement, l'efficacité et la sécurité du système seraient moins fortes. La formation des agents en charge du système doit être irréprochable afin que la qualité des données biométriques enregistrées soit la meilleure. Des agents formés spécialement seraient également plus aptes à détecter les tentatives de fraude. La production d'un titre d'identité est d'autant plus sûre qu'elle est relativement centralisée.

Dans le cadre du projet INES, il est envisagé d'équiper au moins 340 sites, soit un par arrondissement, le nombre de sites pouvant évidemment être supérieur dans les agglomérations importantes ^{72 ( * )} .

Les communes choisies ^{73 ( * )} pourraient être les communes chefs-lieux d'arrondissement ou les communes sièges des établissements publics de coopération intercommunale à fiscalité propre d'une taille suffisante. Toutefois, une autre possibilité serait de rendre l'ensemble de cette compétence à l'État en la confiant aux sous-préfectures ^{74 ( * )} . Consulté sur le projet INES, M. Jacques Pélissard, président de l'Association des maires de France (AMF) a indiqué que le Bureau de l'AMF unanime, sur la base des éléments dont il avait connaissance sur le projet INES, s'était déclaré favorable à cette dernière solution, estimant que la délivrance d'un titre d'identité biométrique relevait des missions régaliennes de l'État.

Compte tenu des enjeux liés à l'aménagement du territoire et au maintien de la continuité des services publics , votre mission d'information juge nécessaire de procéder à une large concertation avec les élus et leurs représentants avant de privilégier une option . Il pourrait être laissé aux communes membres d'un établissement public de coopération intercommunale à fiscalité propre le choix de désigner la commune responsable de la délivrance des titres. Des solutions innovantes doivent être imaginées, notamment la mise en place de stations mobiles d'enrôlement des données biométriques financées par l'Etat pour accéder aux régions isolées. Rappelons toutefois que les communes garderaient toutes leurs compétences en matière d'état civil.

En conclusion , la biométrie offre des solutions nouvelles pour mieux sécuriser les titres d'identité. Elle est toutefois complexe à mettre en oeuvre et nécessite au préalable une réflexion globale pour être performante. Elle ne doit pas non plus être considérée comme une solution miraculeuse. En tout état de cause, sa mise en oeuvre exige de la prudence. Telles sont les raisons pour lesquelles, un éventuel recours intensif à la biométrie pourrait faire l'objet d'une introduction progressive ou être précédé d'une phase d'expérimentation.

En outre, les priorités diffèrent selon qu'il s'agit du passeport ou de la carte nationale d'identité. Si des synergies évidentes sont possibles, ne serait-ce que pour mutualiser les coûts de production, il s'agit toutefois de documents distincts n'appelant pas nécessairement un traitement uniforme. A cet égard, le Forum des droits sur l'internet recommande de découpler le projet INES du projet passeport.

* ⁷⁰ Rapport n° 355(Sénat) ou n° 938 (Assemblée nationale)(2002-2003) de l'Office parlementaire d'évaluation des choix scientifiques et technologiques.

* ⁷¹ De la qualité de l'enrôlement dépend la performance du processus d'authentification et d'identification. A défaut, les risques d'erreur se multiplient.

* ⁷² Le coût d'une station de base serait évalué à 10.000 euros, un site pouvant disposer de plusieurs stations. Une station nécessite 1,5 agent à temps plein.

* ⁷³ Selon le projet INES, un site doit délivrer 2500 titres par an au minimum pour être efficace.

* ⁷⁴ Dans son discours de politique générale du mercredi 8 juin, M. Dominique de Villepin, Premier ministre, a souhaité rapprocher l'État des citoyens en donnant de nouvelles responsabilités aux sous-préfectures.