droitdu.net

Un site utilisant Plateforme OpenUM.ca

Acheter son diner avec son visage, pratique ou excessif?

Anarchimedia sur Flickr.com

Anarchimedia sur Flickr.com

28 octobre 2021
Commentaires
Permalien

En avez-vous assez que votre enfant perde les billets et pièces que vous lui donnez chaque jour pour acheter son repas du midi ? Lui donner votre carte de crédit n’est sûrement pas une solution non plus, nous avons déjà vu ce que ça pouvait entraîner comme conséquences. Des écoles du Royaume-Uni vous proposent une autre solution : des outils de reconnaissance faciale. Tout ce dont votre enfant aura besoin pour se procurer son repas, ce sera de se présenter devant une caméra ! Le futur est là, mais les questionnements juridiques, éthiques et sociaux l’accompagnent.

Vérification de l’identité

La reconnaissance faciale est une technologie faisant partie des outils de vérification de l’identité se basant sur la biométrie, c’est-à-dire en associant l’identité d’une personne à certaines de ses caractéristiques physiques propres. Par exemple, les ordinateurs et téléphones utilisent la reconnaissance d’empreintes digitales et les coffres forts de films d’espions utilisent la reconnaissance des iris.

Au Québec, la Loi concernant le cadre juridique des technologies de l’information (la « Loi ») contrôle la mesure dans laquelle des outils de reconnaissance biométrique peuvent être utilisés. En effet, la reconnaissance de l’identité se fait par défaut à l’aide d’un document, par exemple un permis de conduire ou une pièce d’identité. La Loi, à son article 44, permet en sus de vérifier l’identité d’une personne au moyen de caractéristiques biométriques. Il existe toutefois des limites à ce genre de vérifications :

« Nul ne peut exiger, sans le consentement exprès de la personne, que la vérification ou la confirmation de son identité soit faite au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques. L’identité de la personne ne peut alors être établie qu’en faisant appel au minimum de caractéristiques ou de mesures permettant de la relier à l’action qu’elle pose et que parmi celles qui ne peuvent être saisies sans qu’elle en ait connaissance.

[…]

Ces caractéristiques ou mesures ainsi que toute note les concernant doivent être détruites lorsque l’objet qui fonde la vérification ou la confirmation d’identité est accompli ou lorsque le motif qui la justifie n’existe plus. »

Entre autres, il faut que la personne dont l’identité est vérifiée par des mesures biométriques y consente, et il ne faut utiliser et conserver ces données que pour les fins auxquelles la vérification est destinée. Cela signifie que si la version numérique de votre empreinte digitale est conservée par votre employeur pour vous donner accès à ses locaux, il devra détruire toute trace de celle-ci si vous quittez votre emploi.

Ces obligations sont claires, mais elles n’empêchent pas une école de déployer un système de vérification biométrique pour acheter un repas, ou le CEPSUM, centre sportif de l’Université de Montréal, d’utiliser des lecteurs d’empreintes pour donner accès à ses locaux.

Enjeux de l’identité biométriques

Au fait, pourquoi une vérification biométrique poserait-elle problème ? À l’évidence, ce genre de contrôles permet de rendre certaines tâches beaucoup plus efficaces, rapides, et hygiéniques. Plus besoin de faire la file pendant cinq minutes pour acheter votre café, ça ne prend plus que cinq secondes pour payer avec votre visage ! Les maux de tête engendrés par toutes les potentielles façons de transmettre des bactéries et virus ne voient même plus le jour. L’enjeu n’est pas dans l’utilité des vérifications biométriques, car leur efficacité est, à quelques exceptions près, incontestable.  

Votre identité biométrique, vous n’en avez qu’une (par caractéristique biométrique utilisée). Contrairement à un NIP (numéro d’identification personnelle) qui peut être changé en cas de vol ou de perte, vous êtes à vrai dire coincé avec vos empreintes digitales et votre visage. Des vols de données censées être sécurisées, il y en a eu et il y en aura toujours. Si votre empreinte digitale stockée numériquement sur des serveurs « sécurisés » est volée, vous n’aurez que le choix d’arrêter d’utiliser votre empreinte comme moyen de vérification de votre identité, ou de laisser le voleur en profiter…

De plus, nous avons vu que la Loi prévoit l’obligation d’obtenir le consentement d’une personne pour utiliser son identité biométrique à des fins de vérification de l’identité. Dans le cadre de l’utilisation de la reconnaissance faciale auprès d’enfants dans une école, il faut se demander si les enfants sont en mesure de donner leur consentement à ce genre d’utilisation de leur identité biométrique. Pour faire une comparaison, au Québec, l’âge à partir duquel une personne peut consentir seule à des soins requis par son état de santé est de 14 ans. Les écoles dans lesquelles la reconnaissance faciale a été déployée sont des écoles secondaires, et les étudiants seraient donc âgés de 12 à 18 ans. Est-ce qu’un étudiant âgé de 12 à 18 ans est vraiment en mesure de comprendre l’ampleur de la décision qu’il prend en acceptant d’utiliser la reconnaissance faciale pour acheter son diner ? J’irais jusqu’à dire que même pour des adultes, le consentement à l’utilisation de données biométriques n’est pas toujours éclairé et réfléchi. Comprend-on réellement les implications de l’utilisation de ces technologies ?

Finalement, un parent peut consentir pour son enfant à ce que ses données biométriques soient utilisées, mais encore une fois la prise d’une telle décision n’est pas forcément basée sur tous les éléments qui lui sont pertinents.

Justifications de l’utilisation de mesures biométriques

La Loi prévoit à son article 44 que l’identité biométrique ne peut être utilisée qu’à des fins de vérification de l’identité. Nous avons pourtant vu que la vérification de l’identité peut servir à plein de choses[1] : déverrouiller un téléphone, accéder à un dossier sécurisé, et maintenant acheter un lunch. À première vue, ce dernier exemple semble outrepasser les limites de la Loi (s’il était appliqué au Québec) puisque notre identité biométrique serait utilisée pour faire un achat, mais ce genre d’utilisation pourrait être justifié en expliquant que c’est bien une vérification d’identité. En fait, cette vérification d’identité ne sert qu’à confirmer que la personne devant la caméra est bien celle autorisée à effectuer des paiements avec le compte bancaire fourni au préalable ; ce ne serait pas un paiement à proprement parler.

Bien que ces différentes utilisations soient possibles et légales, il faut se demander si elles sont nécessaires. L’utilisation de données sensibles comme notre identité biométrique est-elle justifiable pour accélérer le processus d’achat d’un repas dans une école ? D’autant plus qu’une carte d’étudiant avec un code-barre pourrait tout aussi bien fonctionner, si l’on désire vraiment se défaire des cartes de crédit/débit et de la monnaie. Il existe mille-et-une façons d’éviter de recourir à l’utilisation de données sensibles pour optimiser des tâches anodines.

L’existence des lecteurs d’empreintes sur nos téléphones pourrait avoir normalisé l’utilisation de données biométriques pour des tâches ordinaires, et c’est probablement l’effet qu’aurait l’utilisation de la reconnaissance faciale pour l’achat de diners dans les écoles. Pour citer Silkie Carlo, du groupe Big Brother Watch : « “It’s normalising biometric identity checks for something that is mundane. You don’t need to resort to airport style [technology] for children getting their lunch, ».

Toutefois, il faudrait prendre le temps d’expliquer clairement ce que l’utilisation de données biométriques implique, car il est difficile d’imaginer le risque que cela représente. Ces données sont des clefs personnelles précieuses, irremplaçables et irrécupérables en cas de perte. Par leur nature même, elles ne devraient être utilisées que pour sécuriser des choses sensibles, comme l’accès à un coffre-fort, à des documents confidentiels ou encore à un compte bancaire. Bien que l’identification biométrique apporte une certaine facilité, pourquoi utiliserait-on nos données les plus sensibles pour acheter un yaourt ?


[1] À noter que l’utilisation de caractéristiques biométriques pour déverrouiller un téléphone, par exemple, n’a pas les mêmes implications de sécurité que l’utilisation faite par les écoles du Royaume-Uni. Dans le premier cas, les données biométriques ne sont stockées que sur l’appareil de l’utilisateur, alors que dans le second, elles sont stockées sur des serveurs.

Commentaires

Laisser un commentaire

Sur le même sujet

Derniers tweets