Réglementation de la biométrie : Approches globales et questions urgentes

L’AI Now Institute a publié un recueil d’études de cas sur les approches réglementaires de la technologie de reconnaissance biométrique, les leçons tirées et les futures actions de sensibilisation

Dans un contexte de surveillance publique accrue, l’intérêt pour la réglementation des technologies biométriques telles que la reconnaissance faciale et vocale s’est considérablement accru dans le monde entier, sous l’impulsion de la recherche et de la défense des intérêts des communautés. Il se dégage de ce moment un sentiment croissant que des technologies comme la reconnaissance faciale ne sont pas inévitables, et peut-être même pas nécessaires ou utiles.

“Regulating Biometrics: Global approaches and urgent questions”, par Amba Kak, présente huit études de cas détaillées d’universitaires, avocats et experts politiques qui examinent les tentatives actuelles de réglementation des technologies biométriques et donnent un aperçu des promesses et des limites de ces approches. Dans quels domaines la réglementation est-elle capable de déterminer si et comment les technologies biométriques sont utilisées, et dans quels domaines est-elle insuffisante ? En examinant ces questions, ces auteurs experts éclairent les domaines d’engagement, de défense et de réglementation futurs.

Ces essais brossent un tableau du paysage mondial complexe de la réglementation de la biométrie, en mettant en évidence les nombreuses approches adoptées par les partisans de la biométrie, qui réclament un contrôle accru de ces technologies, ainsi que la manière dont les gouvernements ont utilisé la loi comme outil pour étendre ou consolider l’utilisation de la biométrie.

Projet de loi australien sur les services de rapprochement des identités (p.44)

Jake Goldenfein (Faculté de droit de Melbourne) et Monique Mann (Université Deakin) suivent les manœuvres institutionnelles et politiques qui ont conduit l’Australie à créer une grande base de données centralisée de reconnaissance faciale (“The Capability”) à l’usage de divers acteurs gouvernementaux. Ils examinent les échecs de la réglementation pour remettre en cause de manière significative la construction de ce système, voire pour façonner son architecture technique ou institutionnelle.

L’économie (et la pratique réglementaire) que la biométrie inspire : Une étude du projet Aadhaar (p.52)

Nayantara Ranganathan (avocate et chercheuse indépendante, Inde) explique comment le droit et la politique autour du projet indien d’identification biométrique (“Aadhaar”) ont finalement servi à construire des données biométriques comme ressource pour l’extraction de données de valeur par des entreprises privées. Elle explore comment la réglementation a été influencée par les logiques et les cultures du projet qu’elle cherchait à réglementer.

Une première tentative de réglementation des données biométriques dans l’Union européenne (p.62)

Els Kindt (KU Leuven) fournit un compte-rendu détaillé de l’approche du Règlement général sur la protection des données (RGPD) de l’Union européenne en matière de réglementation des données biométriques. Comme de nombreux pays sont sur le point de mettre en œuvre des lois nationales rédigées de manière similaire, elle identifie les lacunes potentielles et souligne les domaines clés pour la réforme.

Réflexion sur la politique biométrique du Comité international de la Croix-Rouge : Réduire au minimum les bases de données centralisées (p.70)

Ben Hayes (Agence AWO, conseiller juridique consultant auprès du Comité international de la Croix-Rouge [CICR]) et Massimo Marelli (chef du Bureau de la protection des données du CICR) expliquent le processus décisionnel du CICR pour formuler sa première politique en matière de biométrie, qui visait à éviter la création de bases de données et à minimiser les risques pour les populations vulnérables dans les contextes humanitaires.

Utilisation par la police de la reconnaissance faciale en live au Royaume-Uni (p.78)

Peter Fussey (Université d’Essex) et Daragh Murray (Université d’Essex), principaux auteurs de l’étude empirique indépendante du procès de la police métropolitaine de Londres sur la reconnaissance faciale en live (LFR-Live Facial Recognition), expliquent comment les normes juridiques et les outils de régulation existants n’ont pas réussi à empêcher la prolifération d’un système dont les effets néfastes ont été démontrés. Ils tirent ainsi des enseignements plus larges pour la réglementation de la LFR au Royaume-Uni et des technologies similaires ailleurs.

Une taxonomie des approches législatives pour la reconnaissance faciale aux États-Unis (p.86)

Jameson Spivack et Clare Garvie (Georgetown Center on Privacy and Technology) écrivent sur les dizaines de lois d’interdiction et de moratoires sur l’utilisation de la reconnaissance faciale par la police aux États-Unis, la plupart d’entre elles menées par des avocats et des organisations communautaires. Les auteurs fournissent une taxonomie détaillée qui va au-delà des grandes catégories d’interdiction et de moratoire, et réfléchissent aux leçons tirées de leur mise en œuvre.

BIPA : La plus importante loi biométrique sur la protection de la vie privée aux États-Unis ? (p.96)

Woodrow Hartzog (Northeastern University) explore les promesses et les pièges de la loi sur la confidentialité des informations biométriques (BIPA) de l’État de l’Illinois et, plus largement, du droit des particuliers à engager leurs propres actions contre des entreprises privées. Il s’interroge sur les limites inévitables d’une loi centrée sur le “consentement éclairé”, un système qui donne l’illusion d’un contrôle tout en justifiant des pratiques douteuses que les gens n’ont pas assez de temps ou de ressources pour comprendre et agir.

Réglementation biométrique ascendante : La réponse de la Communauté à l’utilisation de la surveillance faciale dans les écoles (p.104)

Stefanie Coyle (NYCLU) et Rashida Richardson (Rutgers Law School ; AI Now Institute, NYU) examinent la décision controversée d’un district scolaire de Lockport, New York, de mettre en place un système de reconnaissance faciale et d’objets pour surveiller les élèves. Elles mettent en lumière la réponse de la communauté qui a suscité un débat national et a conduit à une législation à l’échelle de l’État réglementant l’utilisation des technologies biométriques dans les écoles.

Lire le rapport complet (PDF)

La France lance un programme national d’identification faciale à l’échelle nationale

La France est sur le point de devenir le premier pays européen à utiliser la technologie de reconnaissance faciale pour donner aux citoyens une identité numérique sécurisée, qu’ils le souhaitent ou non.

Le gouvernement du président Emmanuel Macron, qui dit vouloir rendre l’État plus efficace, fait avancer le projet de déploiement d’un programme d’identification, baptisé Alicem “Authentification en ligne certifiée sur mobile”. Il sera déployée en novembre. Le régulateur des données du pays affirme que le programme viole la règle européenne du consentement et qu’un groupe de protection de la vie privée le conteste devant la plus haute juridiction administrative de France. Il a fallu un peu plus d’une heure à un pirate informatique pour pirater une application de messagerie “sécurisée” du gouvernement cette année, ce qui soulève des inquiétudes quant aux normes de sécurité de l’État.

Rien de tout cela ne décourage le ministère de l’intérieur français.

“Le gouvernement veut amener les gens à utiliser Alicem et la reconnaissance faciale”, a déclaré Martin Drago, un avocat membre du groupe de protection de la vie privée La Quadrature du Net qui a porté plainte contre l’État. “Nous nous dirigeons vers une utilisation massive de la reconnaissance faciale. Peu d’intérêt pour l’importance du consentement et du choix.” L’affaire, déposée en juillet, ne suspendra pas Alicem.

Identités numériques

La France rejoindra ainsi les Etats du monde entier qui s’empressent de créer des “identités numériques” pour donner aux citoyens un accès sécurisé à tout, de leurs impôts et de leurs banques aux factures de sécurité sociale et de services publics. Singapour utilise la reconnaissance faciale et a signé un accord pour aider le Royaume-Uni à préparer son propre système d’identification. L’Inde utilise la balayage de l’iris.

La France affirme que le système d’identification ne sera pas utilisé pour surveiller les résidents. Contrairement à la Chine et à Singapour, le pays n’intégrera pas la biométrie de reconnaissance faciale dans les bases de données d’identité des citoyens. En fait, le ministère de l’Intérieur, qui a développé l’application Alicem, affirme que les données de reconnaissance faciale recueillies seront supprimées lorsque le processus d’inscription sera terminé. Cela n’a pas empêché les gens de s’inquiéter de son utilisation abusive potentielle.

“Se lancer dans la reconnaissance faciale à ce stade est un risque majeur” en raison des incertitudes sur son utilisation finale, a déclaré Didier Baichere, un législateur du parti au pouvoir qui siège à la commission “technologies du futur” du Parlement et qui est l’auteur d’un rapport sur ce sujet en juillet. Permettre l’utilisation de masse avant de mettre en place des freins et contrepoids appropriés est “ridicule”, a-t-il déclaré.

Image publicitaire du ministère de l’Intérieur pour Alicem.

Sans consentement

L’application exclusivement Android et portant le blason de la République française, que Bloomberg a pu consulter, sera le seul moyen pour les résidents de créer une identité numérique légale et la reconnaissance faciale en sera l’unique catalyseur. Un identifiant sera créé par le biais d’une inscription unique qui consiste à comparer la photo de l’utilisateur figurant dans son passeport biométrique à une vidéo selfie prise sur l’application qui capturera les expressions, les mouvements et les angles. Le téléphone et le passeport communiqueront via leurs puces intégrées.

Les opposants affirment que l’application enfreint potentiellement le règlement général européen sur la protection des données, qui rend obligatoire le libre choix. Emilie Seruga-Cau, qui dirige le service des affaires régaliennes à la CNIL, le régulateur indépendant du pays pour la protection de la vie privée, a déclaré que ses préoccupations étaient “très claires”.

La sécurité est une autre préoccupation. Les autorités disent que la sécurité d’Alicem est au “plus haut niveau de l’Etat”. Pourtant, en avril, Robert Baptiste, un pirate informatique qui se fait appeler Elliot Alderson sur Twitter, a pu accéder en 75 minutes à l’une des applications “hautement sécurisées” du gouvernement, ce qui soulève des questions sur la résilience de la sécurité en ligne de l’État.

“Le gouvernement ne devrait pas se vanter que son système est sécurisé, mais accepter d’être contesté”, a déclaré Baptiste.” Ils pourraient débloquer des primes pour la découverte de bugs critiques avant de commencer, parce que ce serait grave si des failles étaient découvertes après que les gens commencent à l’utiliser, ou pire si l’application est piratée lors de l’inscription, lorsque les données de reconnaissance faciale sont recueillies”.

Fuite d’une base de données de reconnaissance faciale en Chine

Les législateurs de l’opposition s’inquiètent de l’intégration de la reconnaissance faciale dans les lois permettant de suivre les manifestants violents, comme lors des manifestations du gilet jaune. Drago, qui conteste les projets du gouvernement sur les questions de confidentialité et de consentement, a déclaré que l’absence de débat “permet à l’État d’aller de l’avant, sans entraves”.

Pendant ce temps, les tests de reconnaissance faciale se multiplient. La surveillance par caméra en direct dans les rues du Pays de Galles a été jugée légale ce mois-ci par un tribunal de Londres. L’Allemagne, les Pays-Bas et l’Italie l’utilisent pour accélérer les contrôles aux frontières. En août, l’autorité suédoise de protection des données a infligé une amende à la municipalité de Skelleftea pour avoir testé la reconnaissance faciale d’élèves du secondaire afin de mesurer leur fréquentation. Apple Inc. a banalisé l’utilisation de la biométrie pour déverrouiller les téléphones portables.

La nouvelle Commission de l’UE, dont le mandat débute en novembre, a notamment pour objectif la construction d’une “Europe digne de l’ère numérique”. Un document de politique interne de la Commission décrivait en détail les mesures que l’UE devrait prendre pour maîtriser les technologies de l’intelligence artificielle, y compris la reconnaissance faciale.

“L’utilisation généralisée d’un équivalent de l’ADN public est un défi pour les régulateurs”, a déclaré Patrick Van Eecke, spécialiste de la vie privée et des données chez DLA Piper à Bruxelles. “L’utilisation par la France de la reconnaissance faciale pour l’identité numérique peut être envisagée de deux façons : elle va trop loin en termes de respect de la vie privée, ou elle utilise la nouvelle technologie la plus sûre.

Bloomberg, Numerama

L’Inde numérise tout, de l’argent à l’identification du citoyen

En novembre dernier, dans le cadre d’un plan directeur controversé pour faire de l’Inde une société sans numéraire et numérisée, le Premier Ministre Narendra Modi a annoncé que les billets de Rs500 et Rs1000 devaient être démonétisés, ce qui enlevât efficacement 86 % de la valeur des espèces en circulation.

La mesure a été l’une des dernières étapes du plan, après que les travaux préliminaires ont été posés en introduisant la base de données biométriques Aadhaar, qui a donné à 95 % de la population une preuve d’identité numérique en 2016. Aadhaar s’est accru près d’India Stack, ce qui a permis aux gens de stocker et de partager des informations telles que les adresses, les relevés bancaires, les dossiers d’emploi, et les déclarations fiscales – par le système Aadhaar qui ont tous été ratifiés.

L’aspect clé d’India Stack donnait à tout le monde l’accès à l’une des 11 banques de paiement pouvant gérer les paiements et les transferts mais pas les prêts. L’élimination de l’argent obligeait les individus à adopter cette nouvelle infrastructure numérique, ce qui a amené 270 millions de personnes à ouvrir des comptes bancaires et de 10 milliards de dollars à déposer au cours des trois premières années – cela a généré une dynamique pour ce qui pourrait évoluer vers la première société sans numéraire dans le monde.

Vers une économie sans argent liquide

La décision a des conséquences importantes non seulement pour l’Inde, mais aussi pour le reste du monde. Pour l’Inde, il y aura des frictions initialement en raison de la prééminence des transferts en espèces dans la société : il a été estimé plus tôt cette année que 78 pour cent des transactions dans le pays utilisaient toujours du cash.

Ceci pourrait être justifié, cependant, par les gains de long terme. La mesure pourrait infléchir la corruption et “l’argent au noir” en Inde ainsi qu’introduire un système fiscal plus efficace et robuste. Cela pourrait également faire des paiements une affaire complètement sécurisée – amenant une bureaucratie moderne et une formalité sans précédent à l’économie Indienne.

Les ramifications mondiales de la numérisation de l’Inde sont également sérieuses. Raoul Pal, ancien gérant de GLG Global Macro Fund, a écrit dans un éditorial pour Mauldin Economics, “Cela pourrait bien être le tueur du bitcoin ou au mieux fournir le cadre sur la manière d’appliquer la technologie blockchain dans le monde réel”.

Même si cela n’annonce pas la fin du bitcoin, la mesure se révélera une expérience intéressante à observer pour d’autres pays cherchant à être sans numéraire, comme la Suède, qui a vu une une réduction de 40 pour cent de l’encaisse et des pièces en circulation.

traduction Benjamin Prissé

Business Insider, Financial Times, Mauldin Economics

La révolution génomique du renseignement

Nous sommes entrés dans une nouvelle phase de l’histoire du séquençage complet du génome (WGS). « Linformation est le nouveau pétrole ». Disent les scientifiques de l’Université de Toronto.

Toronto devient l’un des principaux producteurs mondiaux de données biologiques (biodata)

L’Université de Toronto a lancé un projet massif visant à séquencer le génome entier de 10 000 personnes par an, positionnant Toronto comme un chef de file dans la course mondiale pour comprendre les maladies complexes.

Stephen Scherer U of T
photo by Johnny Guatto

« Avec une population parmi les plus diversifiées dans le monde, le projet fournira une largeur inhabituelle de matériel génétique à étudier », a déclaré le professeur Stephen Scherer, directeur de l’Université de Toronto McLaughlin Centre et le Centre de génomique appliquée à l’hôpital pour enfants malades (SickKids).

Il a dit que le mouvement permettra d’accélérer la révolution des données et de créer une nouvelle génération de thérapie de précision.

« Le séquençage marié à des calculs à grande échelle, je crois que nous pouvons aider à ouvrir la voie pour une médecine de précision. L’information génomique est le nouveau pétrole. C’est la ressource qui va diriger la technologie dans la nouvelle ère. »

« Nous produisons le pétrole que les chercheurs utiliseront pour permettre des découvertes et pour créer de nouveaux produits dans le domaine du logiciel, de la biotechnologie et de la gestion de l’information qui permettront de réaliser des médicaments de précision. »

En 2015, les scientifiques de Toronto, dirigés par Scherer, ont obtenu un financement concurrentiel de la Fondation canadienne pour l’innovation pour acheter le système de séquençage Illumina HiSeq X Ten, ainsi que des ordinateurs puissants qui peuvent traiter ensemble les 10 000 génomes par année. Auparavant, les chercheurs de Toronto avaient été obligés d’envoyer des génomes à des laboratoires offshores pour le séquençage, causant des retards dans la recherche et des coûts nettement plus élevés. Le projet engendrera des données provenant de milliers de génomes témoins servant de contrôle crucial pour les chercheurs du monde. Les génomes à séquencer dans le laboratoire de Scherer, fourniront aux chercheurs médicaux le critère nécessaire pour comparer les maladies.

« Le travail révolutionnaire que l’Université de Toronto et SickKids ont fait pour le MSSNG Autism Genome Sequencing Project (projet de séquençage du génome autistique) et le Canadian Personal Genome Project (projet de génome personnel canadien) a préparé le terrain pour la création d’un grand génome de référence pédiatrique qui aura une utilité de grande envergure dans les maladies complexes », Christian Henry, vice-président exécutif et directeur commercial d’Illumina. « Nous croyons que la communauté de recherche de Toronto est déjà liée à de vastes dépôts de données sur la santé des patients et s’engage à trouver des réponses dans des maladies complexes. »

MSSNG est une collaboration innovante entre Google Cloud et Autism Speaks pour créer la plus grande base de données génomiques au monde sur l’autisme. Prononcé missing”, les voyelles sont laissées de côté, symbolisant « les pièces manquantes du puzzle de l’autisme ».

Le projet complet de génome de Toronto travaille avec des innovateurs en technologie de la santé de premier plan, dont Verily Life Sciences, une société Alphabet.

« Le séquençage complet du génome rapproche les mondes des sciences de la vie et de la science des données », a déclaré David Glazer, membre du comité directeur de Global Alliance for Genomics and Health (Alliance mondiale pour la génomique et la santé), fondateur de Google Genomics et directeur de l’ingénierie chez Verily Life Sciences. “La combinaison de ces deux disciplines est l’une des frontières les plus passionnantes de la médecine d’aujourd’hui. Notre collaboration sur le projet de 10 000 génomes MSSNG est un bon exemple de l’opportunité ; Nous sommes impatients de voir les nombreux autres projets de ce type permis par l’annonce d’aujourd’hui. »

Le Big Data, les flux massifs d’informations engendrés par les progrès de la puissance de calcul, transforment la recherche médicale. Le séquençage du génome complet est utilisé pour comprendre la vie à son niveau le plus fondamental, mais aussi pour trouver des défauts génétiques uniques qui sous-tendent la maladie chez les individus, et concevoir des diagnostics et des traitements de précision pour eux.

« Toronto a des avantages uniques au monde qui nous permettent de générer des ensembles de données de haute qualité et de les gérer de façon sécuritaire et éthique », a déclaré le professeur Trevor Young, doyen de la Faculté de médecine de l’Université de Toronto, qui regroupe près de 6 000 membres du corps professoral de 33 hôpitaux de la région du Grand Toronto.

Dans un rayon d’un mile, nous avons l’une des plus importantes écoles de médecine au monde, reliée à la plupart des hôpitaux les plus importants du Canada et à d’autres domaines de recherche clés comme l’informatique et l’ingénierie, ainsi que le siège des principales institutions financières du Canada.

University of Toronto

Microsoft prêt à mettre à jour Skype pour l’authentification Aadhaar

Microsoft a présenté plusieurs scénarios au gouvernement indien concernant l’utilisation de Skype pour l’authentification d’identité basée sur le système Aadhaar.

Aadhaar est un code d’identification unique composé de 12 chiffres décerné par le gouvernement indien à chaque personne résidant en Inde. Le projet vise à fournir un identifiant unique, qui capture tous les détails démographiques et biométriques de chaque résident indien. Actuellement, Aadhaar a généré 900 millions de numéros d’identification qui ont été attribués à 850 millions de personnes. L’objectif final est d’inscrire 1,28 milliard de personnes.

Les banques indiennes testent la blockchain, l’IA, la biométrie, les API ouvertes et les paiements

Le programme, piloté par l’Unique Identification Authority of India (UIDAI), est déjà employé pour sécuriser la distribution de services sociaux tels que l’accès à l’école, les subventions pour le gaz naturel accordé aux populations rurales pauvres ou bien le paiement direct des salaires sur les comptes bancaires. Le système permet également aux personnes nées sans certificat de naissance de bénéficier d’une identité.

D’après plusieurs rapports publiés, l’UIDAI négocie avec Microsoft afin d’intégrer cette technologie d’identification aux smartphones. Plutôt ce mois-ci, BiometricUpdate.com a rapporté que les responsables gouvernementaux indiens ont invité les dirigeants d’Apple Inc., Microsoft Corp., Samsung Electronics Co. et Google Alphabet pour discuter de l’intégration du protocole Aadhaar à leurs technologies mobiles.

Si Apple a refusé la proposition, Microsoft semble avoir montré son intérêt pour collaborer avec le gouvernement indien sur Aadhaar ainsi que d’autres projets d’authentification.

Le président de la filiale indienne de Microsoft, Bhaskar Pramanik a indiqué aux médias: “Nous avons présenté plusieurs scénarios sur la façon dont Skype peut-être utilisé. Nous soutenons déjà l’identification de l’iris sur Windows 10. Désormais, l’évolution du projet dépend de leur volonté.”

D’après certaines sources, le géant mondial a déjà établi un partenariat avec le gouvernement de l’État d’Andhra Pradesh, pour le test d’un projet innovant destiné à réduire le taux de décrochage scolaire. Grâce à l’analyse de données, le système prédit combien d’élèves vont abandonner l’école, permettant ainsi aux enseignants à prendre de meilleures décisions pour limiter le phénomène. Microsoft compte étendre le programme au Pendjab et est également en discussion pour l’étendre à travers l’Inde.

Microsoft est également impliqué dans un autre projet pilote destiné à aider les agriculteurs à obtenir des notifications SMS indiquant le meilleur moment pour semer des graines, de sorte qu’ils puissent obtenir de meilleurs rendements.

En prenant la décision de travailler avec les gouvernements centraux et de l’État, Microsoft est bien positionné pour participer dans les projets associés à Aadhaar estimés à plusieurs milliards de dollars.

Traduction Benjamin B.

3 octobre 2016, par Rawlson King, BiometricUpdate

Les banques indiennes testent la blockchain, l’IA, la biométrie, les API ouvertes et les paiements

D’après un rapport de Live Mint, plusieurs banques indiennes expérimentent et lancent de nouvelles technologies telles que la blockchain, l’intelligence artificielle, la biométrie, les API ouvertes ainsi que les paiements tant dans les banques de détail que d’affaires. Les banques étudient ces technologies de manière indépendante ou bien en coopération avec les sociétés FinTech.

En juillet, la Banque de réserve de l’Inde (RBI) a mis en place un groupe de travail interinstitutionnel afin d’étudier les problématiques liées à la FinTech, la digitalisation bancaire et d’acquérir une meilleure compréhension des innovations relatives à la FinTech ainsi que des nouveaux canaux, produits et technologies adoptées par les marchés en Inde.

Axis Bank Ltd, ICICI Bank Ltd et Kotak Mahindra Bank Ltd testent actuellement la technologie blockchain afin de l’employer dans le financement du commerce international et pour les versements. “Nous considérons la possibilité d’utiliser la blockchain dans les versements internationaux et les transferts de fonds. Nous sommes en ce moment même en phase de test”,  affirme Deepak Sharma, Chief Digital Officer à la Kotak Mahindra Bank. L’utilisation d’applications basées sur la technologie blockchain par les banques indiennes ne devrait pas se répandre rapidement puisque cette technologie requiert un réseau et est donc incompatible avec un développement indépendant.

Un nombre croissant de banques indiennes expérimentent également les chatbots. Il s’agit de programmes qui emploient l’intelligence artificielle pour générer des conversations naturelles avec les utilisateurs. Des banques, comme HDFC Bank Ltd et Kotak Mahindra Bank, projettent de mettre à profit ces chatbots dans la gestion de la relation client afin d’offrir une expérience plus authentique. En avril, DBS Bank Ltd a lancé une application bancaire en Inde intégrant une intelligence artificielle. Tandis que les entreprises de FinTech, telles que niki.ai, développent des chatbots construits sur le même procédé et destinés aux banques.

La biométrie constitue peut-être une des technologies les plus populaires puisque certaines banques indiennes emploient la reconnaissance d’empreinte digitale, la reconnaissance vocale et la reconnaissance de l’iris à des fins d’identification. De grandes banques commerciales telles qu’ICICI Bank, HDFC Bank ou Kotak Mahindra Bank sont en train de tester des éléments d’identification biométriques, tandis que des banques d’envergure plus modeste telle que DCB Bank Ltd ont déjà déployé des distributeurs de billets dotés de lecteurs d’empreintes digitales grâce à la plate-forme Aadhaar. Les API ouvertes gagnent de plus en plus d’intérêt dans le secteur bancaire à la faveur de la politique du gouvernement indien sur ces interfaces appliquée à cinq programmes : Aadhaar, e-KYC (Know Your Customer), e-Sign (signature électronique), le partage de la confidentialité des données protégées et l’interface de paiement unifié (privacy-protected data sharing and the Unified Payments Interface (UPI)).

De nombreuses banques commerciales sont à différents stades d’utilisation d’Aadhaar et d’e-KYC et offrent des produits associés à ces technologies tels que l’usage de l’authentification biométrique compatible avec Aadhaar afin d’accéder aux comptes bancaires. Le National Payments Corp. of India (NPCI) propose également l’UPI pour la transaction, ce qui élimine la nécessité d’échange de données sensibles telles que les numéros de comptes bancaires lors d’une transaction financière.

Finalement, ces dernières années ont vu une augmentation dans les banques et les sociétés de portefeuille électronique (e-wallet) mettant l’accent sur les technologies de paiement numériques afin de faciliter les transactions. Le secteur bancaire continue de tester ces nouvelles technologies, y compris les cartes virtuelles, les ondes sonores, les QR codes et le NFC (communication en champ proche). Le système d’authentification biométrique Aadhaar a servi de base pour au moins neuf startups qui capitalisent sur le système pour développer différentes technologies incluant des bases de données ou des solutions de paiement.

traduction Benjamin B.

Biometric Update

Fichier PNR : surveillance électronique de masse ou nouveau paradigme de la sécurité ?

Note du CREOGN n° 19, juillet 2016 → Télécharger le PDF, Rédacteur : Chef d’escadron Jérôme LAGASSE

Amérique, Europe et la libre circulation des données

Introduction :

Le 16 avril 2016, les Députés européens adoptaient par 463 voix contre 174 la directive dite « fichier PNR » (passenger name record) qui encadre la collecte et le partage des données à caractère personnel* des passagers du transport aérien. Le contenu de ce texte, par les débats qu’il a suscités, demeure encore très controversé en raison des enjeux touchant aux libertés publiques.

En effet, l’utilisation des données des dossiers passagers (DP) a pour finalité entre autre de faciliter la mise en œuvre de techniques dite de profilage à l’aide d’un système de traitement automatisé. À ce stade, nombre de détracteurs appellent à la vigilance, dénonçant l’avènement d’une société où la surveillance électronique de masse serait érigée en système. Les DP vont compléter la traçabilité du trajet réalisé par tout passager empruntant la voie aérienne. En effet, les compagnies aériennes collectent déjà des données dite API (advanced passenger information) qui comprennent les données d’identification des passagers ou des membres de l’équipage, provenant du passeport ou d’un autre document de voyage ainsi que des informations générales concernant le vol.

De manière plus spécifique au transport aérien, les fortes réserves émises dans l’usage des données des DP porteraient notamment sur l’existence d’un risque avéré d’erreur manifeste d’appréciation vis-à-vis du comportement d’un individu qui serait a priori suspect en raison des déplacements réalisés et du profil qu’il présente par au regard des résultats issus des données à caractère personnel transmis par une compagnie de transport aérien. La crainte d’une surveillance de masse et d’atteintes à la vie privée expliquent en grande partie que la directive PNR ait été bloquée au stade de la discussion depuis 2011 au Parlement européen.

Les attentats de Paris et de Bruxelles ont eu pour premier effet une demande accrue de sécurité de la part des opinions publiques choquées. Cette inquiétude des populations a pesé sur la nécessité de faire aboutir les débats de fond. Cependant, en l’absence de visibilité sur la période d’entrée en vigueur du projet de Directive PNR, des États européens, comme la France, avaient déjà fait le choix de légiférer en cette matière. Le gouvernement français a mis à profit l’adoption de la loi de programmation militaire 2014-2019 pour prévoir dans son article 17 que les transporteurs aériens puissent recueillir et transmettre les données d’enregistrement relatives aux passagers des vols à destination et en provenance du territoire national en excluant les vols internes.

La présente note commentera le contenu des dispositions de la directive en s’attachant à mettre en évidence l’architecture générale et le rôle des différents acteurs privés et publics intervenants dans le processus d’exploitation des données des dossiers passagers (DP). Cette présentation effectuée, nous nous attacherons de mettre en évidence que ce texte veille au maintien de grands équilibres indispensables dans toute société démocratique organisée autour du principe de l’État de droit. Quatre annexes, dont deux issues in extenso de la directive, apportent un éclairage concret sur la nature des DP, la liste des infractions à prévenir et/ou à détecter grâce à ceux-ci. Les deux dernières annexes récapitulent sous la forme de tableaux l’encadrement juridique du traitement des données PNR ainsi que les modalités de partage de celles-ci dans le cadre de la coopération entre les États.

* définit une donnée à caractère personnel comme : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Google lance le traitement de votre ADN dans son cloud

Google lance Google Genomics, une API qui permettra aux chercheurs d’envoyer leurs séquences ADN pour les traiter avec le cloud de Google, et les partager avec la communauté scientifique.

La guerre commerciale que se livrent les géants du cloud pour posséder chez eux les informations génétiques de millions d’individus a commencé. Alors que nous rapportions en début de semaine que la firme IBM s’imaginait être capable d’ici cinq ans d’analyser l’ADN des patients pour proposer aux médecins un traitement adapté en quelques minutes, Google a annoncé vendredi la mise à disposition d’une API dédiée au traitement du génome, baptisée Google Genomics.

L’API permettra aux chercheurs d’envoyer les séquences ADN qu’ils doivent traiter sur les serveurs de Google, et de profiter de la puissance de calcul et des algorithmes de Google pour faciliter la lecture des séquences, et réaliser leur alignement à partir de séquences de référence. L’outil peut importer en masse les séquences ADN alignées au format BAM, importer des séquences non alignées, réaliser des traitements sur les données, et exporter les séquençages au format BAM.

Un ensemble de données peut être public ou privé, ce qui veut dire alors que l’accès est réservé aux propriétaires du projet de cloud“, précise Google.

Malgré son caractère particulièrement sensible, l’API Google Genomics n’est pas soumis à une politique particulière de protection des données. Les conditions d’utilisation proposées sont celles de tous les services de cloud de Google. Elles prévoient que les utilisateurs des API conservent la propriété des données envoyées sur le cloud.

Les pages de Google Genomics ne sont pas claires sur l’utilisation qui peut être faite des données génétiques, lorsque ces données sont déclarées “publiques” par les chercheurs qui les envoient. Or l’objectif est bien de pouvoir partager un maximum d’informations génétiques pour mettre les séquences en commun, et profiter de leur analyse comparée.

Google rejoint la Global Alliance for Genomics and Health

Imaginez l’impact si partout des chercheurs avaient des échantillons de plus grande taille pour faire la distinction entre les gens qui deviennent malades et ceux qui restent en bonne santé, entre les patients qui répondent à un traitement et ceux dont la maladie empire, entre les pathogènes qui causent des épidémies et ceux qui sont sans conséquences. Imaginez s’ils pouvaient tester des hypothèses biologiques en quelques secondes plutôt qu’en plusieurs jours, sans avoir à posséder un superordinateur“, se réjouit Google.

Un projet qui promet effectivement des avancées spectaculaires pour la médecine personnalisée, mais qui implique aussi en partie de confier ses données de santé aux quelques firmes privées qui disposeront des capacités de calculs et des algorithmes nécessaires. C’est tout le service public médical qui risque d’être remis en question, avec de très nombreuses autres questions éthiques et sociétales qui commencent tout juste à être abordées.

Pour conforter sa place dans le traitement des informations génétiques, Google a également annoncé jeudi qu’il rejoignait le consortium Global Alliance for Genomics and Health (GAGH), en cours de formation depuis juin 2013. “L’Alliance est un effort international pour développer des approches harmonisées pour permettre un partage responsable, sécurisé et efficace de l’information génomique et clinique dans le cloud“, explique Google, qui assure que le consortium respecte “les plus hauts standards d’éthique et de vie privée“.

Mais le livre blanc (.pdf) publié par l’Alliance en juin dernier n’apporte aucune garantie. Il expose les problèmes d’éthique et de vie privée, les différences de régulations entre les pays, et propose que l’Alliance joue un rôle d’harmonisation de ces politiques à l’échelle mondiale. En clair, il s’agit d’un lobby.

source