Rpublique Franaise

OFFICE PARLEMENTAIRE DVALUATION DES CHOIX SCIENTIFIQUES ET TECHNOLOGIQUES

La Biomtrie
Audition publique du jeudi 4 mai 2006
organise par M. Christian Cabal, Dput de la Loire LOffice parlementaire dvaluation des choix scientifiques et technologiques a dcid dassurer le suivi du rapport de M. Christian Cabal, dput, sur les mthodes scientifiques didentification des personnes partir des donnes biomtriques, publi en juin 2003 (rapport Assemble nationale n 938 et Snat n 355), afin de dresser un tat des lieux des volutions en cours et de mieux cerner les enjeux des applications des systmes didentification.

Synthse
I - Les volutions scientifiques et technologiques
En trois ans, des volutions technologiques notables se sont produites. Cependant les normes ont peu volu, et les propositions de mise en place dinstances de concertation et de nouvelles modalits de rgulation faites par lOPECST nont pas t suivies deffet. passeports biomtriques qui intgrent dsormais dans la puce la photographie numrise du visage. Sur les grandes bases de donnes, le taux derreur a t divis par deux depuis 2002. Des systmes permettant didentifier des visages la vole ou encore didentifier des personnes recherches dans des contextes oprationnels particuliers sont dsormais envisageables. La technologie de la forme de la main, utilise pour les contrles daccs, a peu volu. Les empreintes digitales sont toujours la technologie phare, en termes de performance et de dploiement. Liris donnant de bons rsultats est utilis dans les systmes didentification et de contrle daccs. Si on arrive le capter distance (il existe dj plusieurs expriences), cette modalit pourra tre utilise pour la surveillance. La technologie actuelle permet de reconnatre des iris la vole , plusieurs mtres de distance. Entre 2003 et 2005, le taux derreur a t rduit 1 % lenregistrement et les faux rejets varient dsormais entre 1 et 2 %. Le temps de vrification est dornavant descendu environ 4 secondes. Les veines sont une modalit sans contact qui se dveloppe en Asie o, sous rserve de validation, elle pourrait se substituer terme la reconnaissance par la longueur des doigts. La reconnaissance vocale demeure difficile utiliser pour linstant, mais de nombreux travaux sont mens sur les performances en ambiance bruite. Si cette modalit samliore, elle pourra tre utilise dans le domaine de la surveillance. LADN ncessitant un laboratoire, il faudra effectuer des progrs en matire dautomatisation pour obtenir un rsultat rapide, afin que cette modalit soit performante grande chelle.

1. Les recherches en cours

Dans le domaine mdical, des travaux sont envisags : dictionnaire rassemblant les donnes biomtriques essentielles, dfinitions et mesures, recherches sur les normes, les moyennes, la variabilit du corps (changement de taille, de couleur de liris, etc.) et sur le thme gntique et biomtrie. Dans le domaine industriel, les industries ddies la biomtrie cherchent accrotre la fiabilit et les performances des diffrentes modalits. Par ailleurs, lInstitut franais du textile et de lhabillement est lorigine dune campagne nationale de mensuration des Franais. Les recherches dans le domaine des sciences humaines montrent que lidentit change de nature et de signification, entranant une requalification de la notion didentit dsormais accessible la mesure. On observe le passage dune reconnaissance sociale par lenvironnement -village, quartier- la validation automatique par linformatisation, laide de documents numriques didentit. Il ne sera plus aussi ncessaire de lier un individu un nom ou un prnom, une date et lieu de naissance etc, il suffira de le relier lune de ses caractristiques physiques. Les tudes en cours sur la faon dont la biomtrie affecte le rapport entre ltat et les individus rvlent une bonne acceptabilit des techniques biomtriques, sans rejet a priori. Toutefois, la plupart des personnes interroges lors dune consultation publique lance en mars 2006 dans le cadre du projet europen thique des technologies didentification biomtrique (ETIB) estime que le public nest pas correctement inform.

2. Les volutions technologiques

Les modalits Le visage est une modalit dynamise par les

Office parlementaire - Assemble nationale 233 bd Saint Germain 75355 Paris 07 SP - tl : 01 40 63 88 15 - fax : 01 40 63 88 08 Snat 6 rue Garancire 75291 Paris Cedex 06 - tl : 01 42 34 25 58 - fax : 01 42 34 38 55 - www.assemblee-nationale.fr - www.senat.fr

La biomtrie
La validation des algorithmes Les variations du corps humain sont une donne extrmement importante, les recherches menes dans ce domaine ont pour objectif dappliquer la norme de qualit Six Sigma pour limiter les erreurs et augmenter la fiabilit des techniques. La multi-modalit La combinaison de plusieurs modalits biomtriques permet daugmenter les performances globales, de diminuer les taux derreur et dimpossibilit de captage. Elle associe distinctement le visage et les empreintes digitales de diffrents doigts dans un passeport. Mais ce systme plus coteux ncessite plusieurs capteurs et implique des conditions dacquisition plus difficiles. Utilisera-t-on alors ces deux biomtries de manire alternative ? Y gagnera-t-on en performance? Lamlioration de la scurisation des donnes personnelles est essentielle et fait lobjet de recherches. Lorsque les donnes sont stockes sur le document du porteur, le mcanisme de scurisation est similaire celui dun code PIN. Quand elles sont stockes dans une base, la base ntant pas nominative, on dtecte simplement que la personne tait dj dans la base sans identification possible. Pour empcher les accs malveillants la base, la scurisation physique fonctionne

-2-

M. Christian Cabal, Dput

marins. En 2005, le standard de gabarit biomtrique Minutiae des empreintes digitales est sorti. En 2006, le National Institute of Standards and Technology (NIST) a confirm linteroprabilit de gabarits dempreintes digitales Minutiae avec des performances oprationnelles acceptables. Lvaluation Le 30 mars 2005, la Commission europenne a rendu public le rapport Biometrics at the frontiers : assessing the impact on society qui montre que les tats ont un rle jouer dans lmergence dune industrie biomtrique europenne dynamique. Mais ce rapport dplore labsence de donnes indpendantes et souligne lurgence dorganiser des essais grande chelle sur le terrain. Sinscrivant dans cette logique, le projet europen BIODEV (Biometric Data Experimented in Visas) vise tester lintroduction de la biomtrie dans les visas pour entrer dans lespace Schengen et valuer la faisabilit de cette opration. Le premier volet de cette exprimentation pilote par la France sest termin fin mai 2006. Plusieurs logiciels et matriels ont t tests par des postes consulaires rpartis sur chaque continent. Les temps denregistrement des donnes biomtriques et ceux passs au contrle la frontire ont t progressivement rduits. Sur le plan technique, le systme bas sur la prise dempreintes des dix doigts poss plat a t valid pour viter les faux rejets ou les fausses acceptations, et donc rduire les marges derreurs ; le support sur une base de donnes centralise a t galement valid. Le projet BIODEV, qui implique que tous les requrants se prsentent en personne pour la prise dempreintes digitales, est coteux, car il entrane une augmentation de la frquentation des locaux consulaires et des effectifs la frontire. Nanmoins la Commission Europenne a jug les rsultats intressants et a autoris le lancement du deuxime volet de lexprimentation afin de tester linteroprabilit de systmes informatiques avec des appareils et des quipements provenant de pays diffrents.

si la base nest pas relie au rseau ; les changes seffectuent alors par transit des donnes sur des supports physiques, sans possibilits daccs distance. Une scurisation totale est ltude pour que les donnes ne sortent jamais du document du porteur qui disposerait ventuellement de son capteur. Par ailleurs, des liaisons unidirectionnelles partir de diodes optiques permettent denvoyer des informations dans une base en tant sr quelles ne repartent pas dans lautre sens. On gre ainsi le sens des transmissions. Des recherches sont menes pour extraire un code identifiant unique, stable, dune donne biomtrique. Les standards En 2003, un groupe de rfrence au Centre Europen de Normalisation (CEN) consacr la biomtrie a t cre ainsi quun Comit Biomtrique lAFNOR en 2004. Ds 2004, le Bureau International du Travail (BIT) a conduit des certifications dinteroprabilit dans le cadre du projet de la carte didentit des

II - Les applications de la biomtrie : actualit et perspectives

1. Lavenir des grands domaines dapplication

Le domaine identitaire exigera des performances accrues pour combattre les usurpations ou les changements didentit. Il faudra traiter des bases de 60 millions 100 millions de personnes et des flux de personnes interroges de lordre de 10 000 20 000 par jour tout en obtenant des taux de prcision extrmement levs pour identifier correctement les personnes et contrler leur identit. Le contrle daccs dont on recherche la plus grande fluidit se dcline de deux manires : laccs physique aux sites sensibles (entreprises, aroports, banques) ou laccs logique un ordinateur de bureau ou de poche, un tlphone, un distributeur de billets. La surveillance tend faire voluer les technologies vers lidentification distance, en mouvement, la

Office parlementaire - Assemble nationale 233 bd Saint Germain 75355 Paris 07 SP - tl : 01 40 63 88 15 - fax : 01 40 63 88 08 Snat 6 rue Garancire 75291 Paris Cedex 06 - tl : 01 42 34 25 58 - fax : 01 42 34 38 55 - www.assemblee-nationale.fr - www.senat.fr

La biomtrie

-3-

M. Christian Cabal, Dput

vole de personnes recherches grce la photo, la vido, bientt liris.

2. Le march de la biomtrie

membres de lUnion projettent de mettre en place ou disposent dj de documents didentit contenant de la biomtrie.

Les marchs biomtriques gouvernementaux et ceux des quipements personnels se sont davantage accrus que ceux usages industriels et commerciaux. Les marchs gouvernementaux restent toujours les moteurs du dveloppement dune industrie de la biomtrie. Le march grand public de la biomtrie par empreintes digitales se dveloppe plus rapidement que les autres. En 2004, plus de 2,4 millions de capteurs dempreintes digitales ont t vendus au travers dordinateurs portables, dassistants personnels et de tlphones mobiles. Ce nombre devrait doubler en 2005. Lusage de la biomtrie, comme technologie permettant de grer des grands flux de personnes aux frontires sans failles de scurit, devient le ferment dune biomtrie mondiale inter oprable. Les programmes de cartes didentit devraient faire lobjet dune modernisation. Dans les trois prochaines annes, des bases de plus de 100 millions de personnes, voire de plusieurs centaines de millions, feront lobjet de projets concrets.

4. Les applications et perspectives en France

Des projets pilotes significatifs ont t lancs : cest le cas du Programme dExprimentation et de Gestion Automatise et Scurise (PEGASE) ou encore de lexprimentation BIODEV. Ces deux programmes ont permis la France dacqurir en moins de trois ans une notorit internationale en matire de grands programmes biomtriques. Le projet didentit nationale lectronique scurise (INES) est en cours de rexamen.

III - Les principaux enjeux de lapplication des systmes didentification biomtrique

Il existe une tension fondamentale entre ceux qui soutiennent que les donnes engendres par le corps sont elles-mmes un corps bnficiant des mmes droits et protections que le corps humain et ceux qui pensent que les donnes engendres par le corps doivent tre considres comme des produits qui ne bnficient pas du mme statut et des mmes protections que celui-ci.

3. Les applications et perspectives ltranger

Aux Etats-Unis, la biomtrie est devenue, au cours de ces trois dernires annes, une technologie de souverainet et de scurit nationale. Le NIST a constitu des bases de tests de millions de donnes biomtriques. Ladministration fdrale met en uvre la biomtrie dans le cadre de programmes de gestion didentit des personnes pour les travailleurs du secteur des transports et pour les employs fdraux et leurs contractants, ou encore des systmes de contrle didentit biomtrique en pralable toute autorisation de travail sur une activit sensible. En 2006, le FBI doit lancer un programme dveloppant une nouvelle gnration de systmes de traitement automatique dempreintes digitales permettant de grer plusieurs centaines de millions de personnes. En Australie, un systme de contrle aux frontires par reconnaissance du visage est mis en oeuvre. Au Mexique, le systme lectoral grera terme les empreintes digitales et les visages de 72 millions de personnes. Par ailleurs des systmes didentification biomtrique existent au Kenya, au Cameroun, en Namibie et en Ethiopie. Dans lUnion Europenne, sous limpulsion de la Direction Gnrale Justice Libert et Scurit (JLS ), de grands programmes voient le jour et portent sur une gestion plus efficace des frontires de lUnion avec des projets comme BMS (Biometric Matching System), BIODEV ou lannonce pour 2008 de passeports biomtriques empreintes digitales. LUnion Europenne, contrairement aux tats-Unis, traitera de la mme faon ses citoyens et ses visiteurs. Par ailleurs, la plupart des pays

1. Les organisations internationales

LOCDE a rendu public, en novembre 2005, un rapport labor en 2003, sur lusage transfrontalier de lauthentification dans les pays de lOCDE. Il prsente les principales technologies biomtriques et traite des faiblesses des systmes biomtriques qui doivent tre protgs. Le Conseil de lEurope a labor un rapport dtape en fvrier 2005 sur lapplication des principes de la Convention pour la protection des personnes lgard du traitement automatis des donnes caractre personnel (n108). Il souligne la spcificit des donnes biomtriques, prconise une valuation des avantages et inconvnients possibles pour la vie prive, la biomtrie ne devant pas tre choisie parce quelle est pratique utiliser. Les donnes biomtriques, et toutes donnes associes gnres par le systme, doivent tre adquates, pertinentes et non excessives par rapport la finalit du traitement, tre utilises des fins dtermines, explicites et lgitimes, et ne pas tre ultrieurement traites dune manire incompatible avec ces finalits. Le rapport du Conseil de lEurope insiste sur limportance du systme de traitement des donnes qui doit tre protg, valu et utilis par un personnel comptent, tre configur de faon exclure la collecte et le traitement de plus de donnes biomtriques ou associes que sa finalit ne lexige. LOrganisation internationale de laviation civile (OACI) Le Conseil de lOACI a, en mars 2005, adopt une recommandation visant lintgration de donnes biomtriques dans les documents de voyage lisibles la machine (MRTD). Elle prvoit lutilisation de puces sans

Office parlementaire - Assemble nationale 233 bd Saint Germain 75355 Paris 07 SP - tl : 01 40 63 88 15 - fax : 01 40 63 88 08 Snat 6 rue Garancire 75291 Paris Cedex 06 - tl : 01 42 34 25 58 - fax : 01 42 34 38 55 - www.assemblee-nationale.fr - www.senat.fr

La biomtrie
contact pour stocker ces donnes, llaboration dune structure logique des donnes qui doivent tre protges par une signature numrise sur la base du systme de gestion des clefs publiques (PKI) pour en garantir linviolabilit. Les spcifications techniques pour lintgration

-4-

M. Christian Cabal, Dput

des donnes biomtriques dans les passeports seront publies lautomne 2006. LOACI a dcid dvaluer les technologies disponibles en fonction des exigences prcises quimpliquent la dlivrance et linspection des documents de voyage. La Confrence internationale des Commissaires la protection des donnes et la vie prive sest tenue en Suisse du 14 au 16 septembre 2005 et sest conclue par ladoption dune dclaration finale visant au renforcement du caractre universel des principes de la protection des donnes.

2. Les dbats en France

La lutte contre la fraude documentaire et les exigences des organisations internationales tendent justifier lintroduction de la biomtrie dans les passeports et les cartes didentit. Selon les associations regroupes dans le collectif Droits et Liberts face lInformatisation de la Socit (DELIS), la France et lUnion Europenne ont t contraintes, sous la pression des Etats-Unis, de donner certaines informations concernant les passagers se rendant aux Etats-Unis, les Personal Name Records (PNR), ainsi que de fabriquer des passeports biomtriques sans obtenir de garanties suffisantes quant lutilisation et au stockage des donnes y figurant. Ces associations sinquitent galement du risque de captage de ces donnes distance avec des puces didentification par frquence radio (RFID). Selon elles, la biomtrie associe aux supports RFID, dont personne ne connat la limite, cre un outil qui recle une vocation totalitaire. La lutte contre la fraude documentaire En France, 90 000 titres vierges ont t vols entre 1999 et 2004, 90 000 passeports dclars perdus ou vols par leur titulaire sur la mme priode. Les pertes ou vols de cartes nationales didentit sont passes de 37 000 en 1997 527 000 en 2003. La source dinformation

relative ltat-civil est extrmement poreuse la fraude car il nexiste ni registre dtat-civil national, ni systme de recueil automatis des donnes personnelles des citoyens. Le projet didentit nationale lectronique scurise (INES) fait lobjet dun rexamen portant notamment sur les usages lectroniques de la carte didentit qui nest pas obligatoire en France et sur la ncessit dune base de donnes biomtriques pour fiabiliser les donnes didentit. Amliorer significativement la fiabilit des titres implique lamnagement des procdures, pour que ltat-civil ne soit plus demand par un citoyen sa mairie de naissance, mais chang directement entre la mairie de naissance et celle de demande du titre. Selon le ministre de lIntrieur, il nexiste pas dautre moyen que la base de donnes pour dlivrer des titres non falsifiables dans le systme franais o il ny a ni registre de population, ni numro universel. La position de la Commission nationale informatique et liberts (CNIL) La loi du 6 aot 2004 soumet autorisation de la CNIL la biomtrie lorsquelle est mise en uvre par des organismes privs. Par ailleurs, la CNIL est saisie pour avis des projets de ltat en matire de biomtrie, ce qui la amene se prononcer sur le passeport lectronique, sur lexprimentation BIODEV et sur lexprimentation du programme dexprimentation et de gestion automatise et scurise (PGASE). En principe, la CNIL autorise la biomtrie quand elle ne laisse pas de trace quel que soit le mode de stockage. Si elle en laisse, comme dans le cas de lempreinte digitale, le support individuel permet dobtenir cette autorisation. Le recours une base centrale pose la question de lexistence dun impratif fort de scurit ou de la lgitimit du motif. Il ny a pas jusqu prsent de cas o la CNIL donne une autorisation en labsence dimpratif de scurit. La CNIL a adopt, au cours de sa sance du 27 avril 2006, des autorisations uniques pour les systmes de contrle de la main, dempreintes digitales avec cartes puce, lorsquun tel systme sert laccs aux locaux.

Conclusion
La biomtrie est en constante volution. On constate quapparaissent toujours de nouvelles modalits, ce qui exige une veille technologique permanente, des tudes comparatives effectues par des organismes indpendants et des instances de rgulation fiables car on ne plaque pas la biomtrie sur une organisation existante, on lintgre. La mise en place de normes dutilisation doit tre progressive. La finalit des utilisations de la biomtrie dans le domaine de lidentification des personnes doit tre dfinie avec prcision afin dviter la collecte et le traitement de plus de donnes biomtriques quil nen faut. Il y a des rgles respecter, des mthodes dfinir, des contrles effectuer rgulirement. Il est dailleurs important que la France et lUnion europenne continuent doccuper une position influente dans le domaine de la biomtrie pour peser sur lvolution des diverses techniques et sur la dfinition des normes.
Septembre 2006

Office parlementaire - Assemble nationale 233 bd Saint Germain 75355 Paris 07 SP - tl : 01 40 63 88 15 - fax : 01 40 63 88 08 Snat 6 rue Garancire 75291 Paris Cedex 06 - tl : 01 42 34 25 58 - fax : 01 42 34 38 55 - www.assemblee-nationale.fr - www.senat.fr