Avec le lancement de l’iPhone 5s vendredi 20 septembre à 8 heures tapantes dans tous les Apple store, la polémique de l’utilisation de la biométrie dans le commerce n’en a pas fini d’être alimentée. Retour sur le cocktail technologique du moment et premières impressions après la gorgée d’inauguration.
La fonction Touch ID : le nouvel ingrédient qui crée la controverse
Parmi tous les produits créés par Apple, le IPhone 5S est celui qui présente LA fonction dont tout le monde parle, tant en éloges qu’en critiques. Inutile de citer à nouveau les propos tranchés du commissaire de la CNIL allemande, Johannes Caspar dont l’article du Journal du Net résume bien la position et qui ont fait le tour de la toile.
Alors précisément, de quoi parle-t-on ? Tel qu’Apple s’en vante sur son site, cette technologie « futuriste » est composée d’un capteur haute-résolution intégré dans le bouton principal de l’iPhone. Pour faire simple (et en invitant les plus curieux à s’en remettre à la notice explicative d’Apple, scannant et analysant votre empreinte sous un angle de 360 degrés, ledit capteur va produire une image haute-définition de votre empreinte. Cette image est traduite en une représentation mathématique qui est conservée dans l’iPhone et qui sert de base de comparaison pour chaque scan ultérieur afin de vous identifier.
L’intérêt est de ne plus avoir à se rappeler d’un mot de passe quelconque, que n’importe quel hacker peut casser sans difficulté. Outre le gain de temps, l’avantage notamment mis en avant par le géant de la pomme est le caractère unique de l’empreinte digitale de chacun et donc son côté sécuritaire. Certes, personne n’a la même emprunte que vous, mais il est loin d’être impossible de se la procurer. Les paris sont déjà lancés concernant le craquage de la fonction Touch ID, et le doute vient déjà d’être installé par un groupe de hackers européen.
Mais bien plus que cela, Apple va plus loin que le simple déverrouillage de l’iPhone puisque sur la page descriptive des fonctionnalités, vous pouvez lire que « Votre empreinte vous permet également de confirmer vos achats sur l’iTunes Store, l’App Store et l’iBooks Store, ce qui vous évite d’avoir à entrer chaque fois votre mot de passe. » A cette étape-là, il convient vraiment d’ajouter un ingrédient essentiel pour réussir le cocktail.
Quid du droit, ingrédient indispensable ?
En premier lieu, ce qui a alerté la communauté par rapport au droit à la vie privée et la protection des données personnelles, c’est le fait que les données biométriques soient susceptibles d’être stockées sur les serveurs d’Apple et exposées au risque d’être piratées ou utilisées par des organismes gouvernementaux. Il y aurait alors toutes les raisons de brandir les articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne, L’article 5 de la Charte des droits et libertés de la personne (Québec), et autre 4e amendement (Constitution des Etats-Unis) garantissant le droit à la vie privée et/ou la protection des données personnelles de toute personne comme étant des droits fondamentaux.
Apple avait anticipé la critique en précisant dans son communiqué de presse du 10 septembre 2013, révélant le nouvel iPhone 5s que les données biométriques sont « chiffrée[s] et stockée[s] en sûreté dans le processeur Secure Enclave, à même la puce A7 d’iPhone 5s ». Autrement dit, ces données nominatives sont protégées par le fait que pour y accéder, il faut avoir en main l’appareil dans lequel elles sont stockées.
Nous voici éclaircis sur ce point, mais ce qui a le plus retenu notre attention, c’est l’utilisation de l’empreinte pour confirmer les achats sur les stores précités d’Apple. L’utilisation des données biométriques à des fins de commerce électronique, vraiment ? Dans cette hypothèse, il ne s’agit plus simplement de conserver l’empreinte digitale « à même la puce de l’iPhone » pour reprendre les termes d’Apple, ces achats impliquent une connexion à l’Internet et l’envoi des données biométriques pour confirmer l’identité de l’acheteur auprès du store concerné.
De plus, en insérant l’utilisation de l’empreinte digitale dans les achats auprès de ses stores, Apple n’a pas simplement projeté l’utilisation des données biométriques dans ses transactions électroniques, mais dans le commerce électronique en général. C’est en effet un pas en avant qu’Apple a effectué dans son industrie mais également une porte que le leader des smartphones a ouverte. Comme l’indique l’article du Business Insider, l’iPhone 5s pourrait bien être le précurseur de la future industrie des smartphones. La standardisation de l’utilisation de la biométrie dans l’industrie des smartphones aurait alors des retombées énormes, tant du point de vue de la protection des données personnelles que de celui du commerce électronique. On aurait alors une banalisation de l’utilisation des données biométriques pour des opérations commerciales, qui ne seraient pas forcément de haute importance et pourtant augmenteraient les risques de mise en jeu de la sécurité de ces données.
Le sénateur américain Al Franken (Minnesota), actuel président de la sous-commission « Privacy, Technology and the Law » a d’ailleurs écrit un courrier plus que pertinent au PDG d’Apple, Tim Cook. Courrier qui fait état d’une série d’interrogations concernant la fonction Touch ID notamment au regard du Stored Communications Act (18 U.S.C. Chapter 121 §§ 2701–2712) qui concerne la vie privée et les télécommunications aux Etats-Unis. Ainsi, ledit texte prohibe la divulgation par une entité du contenu d’une communication concernant les clients sans leur consentement, une des questions étant de savoir si les empreintes digitales sont considérées comme du contenu.
En outre, un tel développement de l’industrie des smartphones serait un argument convaincant pour repousser encore l’adoption de la proposition de règlement général sur la protection des données du Parlement Européen et du Conseil, qui se donne pour objectif d’assurer une meilleure protection des données à caractère personnel dans l’Union et d’en demander de nouveaux amendements, afin de prendre le caractère particulièrement sensible des données biométriques.
Finalement, c’est peut-être la législation québécoise, notamment la Loi concernant le cadre juridique des technologies de l’information, qui pourrait être à ce jour la mieux adaptée à ce nouveau pas technologique. L’article 44 (dont il convient de lire une analyse plus approfondie dans le billet de Julie M. Gauthier) de ladite loi impose en effet le consentement exprès de la personne dont les mesures biométriques sont utilisées à des fins d’identification. Dans le cas de la fonction Touch ID, le fait d’activer ou non l’utilisation de l’empreinte pour iTunes et l’App Store dans les paramètres (qui se fait par un simple slide) apparaît pour le moins critiquable au regard de cette condition. Outre cette problématique du consentement, si on usait d’un raisonnement a pari et qu’on apparentait l’empreinte digitale au document technologique personnalisé visé par l’article 41 de la même loi, il pèserait sur Apple une obligation d’autant plus lourde de protection de ces données biométriques contre l’interception qui pourrait en être faite lors de la confirmation des transactions effectuées dans iTunes ou l’App Store. Et c’est relativement à cet aspect transactionnel qu’Apple a été le moins explicite.
C’est donc là un cocktail dont bien des effets restent encore à venir. En attendant, la balle est dans le camp d’Apple.