بطاقة التعريف البيومترية: مقايضة الخدمات الناجعة بالخصوصية

Carte d'identité biométrique : Sacrifier la vie privée au profit de l'efficacité des services

En février 2022, le ministère de l'Intérieur a présenté les grandes lignes de son nouveau projet de loi sur la carte d'identité biométrique lors d'une journée d'étude organisée par la Direction générale des frontières et des étrangers. Ce projet semble annuler tous les accords précédents et reprend la première version de la loi qui avait fait l'objet de plusieurs controverses. 
Par | 06 Avril 2022 | reading-duration 10 minutes

Disponible en arabe
Depuis son introduction en 2016, le projet de loi sur la carte d'identité biométrique a fait l'objet d'un long processus. Les derniers débats au sein de la commission des droits et libertés et des relations extérieures, en 2021, ont abouti à un accord sur les points litigieux, qui menacent les données personnelles d'une part, et la vie privée des citoyen·nes de l'autre. Toutefois, cet agrément est devenu obsolète puisque le ministère a repris certains des points de désaccord figurant dans la première version.

De nombreux projets de loi n'ayant pas fait l’objet d’un consensus national, et considérés comme une atteinte aux libertés individuelles ou collectives, refont surface au lendemain du 25 juillet, après la proclamation de l’état d’exception. Ainsi, des tentatives de révision du décret-loi n° 88-2011, sur la formation des associations, ou encore l'adoption d'un décret sur les cartes d'identité et les passeports biométriques, un projet de loi menaçant la vie privée des citoyen·nes, réapparaissent.    

Le duel : entre la transition numérique et la protection des données personnelles 

Le ministère de l’Intérieur annonce la reprise du projet de loi relatif à la carte d’identité et au passeport biométriques dans son communiqué du 17 janvier 2022, et ce, malgré le large rejet civil impliquant notamment l’Instance nationale de Protection des Données personnelles (INPDP). 

Lors d’un séminaire tenu le 17 mars 2022 par l’organisation Al Bawsala pour discuter des dernières évolutions du projet de loi, le président de l’Instance, Chawki Gaddes, déclare que la version actuelle du projet de loi est en contradiction avec l’article de la Constitution tunisienne, car elle ne tient pas compte du principe de proportionnalité. 

Il précise : “Le chapitre 49 de notre constitution fait référence à la nécessité et à la proportionnalité, et dans ce cas, la nécessité ne fait aucun doute. Puisque tout est devenu numérique, la création d'une carte d'identité et d'un passeport biométriques est impérative. Cependant, il faut tenir compte de la proportionnalité, si le but est d'identifier une personne avec certitude en fonction de ses données biométriques, alors la simple présence de ces données sur la puce est suffisante. J'insiste sur le fait que ces données ne doivent pas être stockées dans une base de données biométriques.”

Chronologie du projet de loi sur la carte d’identité biométrique

5 août 2016
Dépôt du projet de loi n°62-2016.
19 mai 2017
Début de la discussion du projet de loi au sein de la Commission des droits et libertés et des relations extérieures.
18 juillet 2017
Approbation du projet de loi au sein de la Commission.
9 janvier 2018
Retrait de la loi par l’entité initiatrice le jour même de sa soumission au vote en séance plénière.
24 juin 2020
Dépôt d’une nouvelle version du projet de loi.
27 janvier 2021
Début de la discussion du projet de loi au sein de la Commission des droits et libertés et des relations extérieures.
11 mars 2021
Dernière séance de discussion du projet de loi à l’ARP.
17 janvier 2022
Reprise de la mise en place du projet de loi sur la carte d’identité biométrique annoncée par le ministère de l’Intérieur.
26 février 2022
Journée d’étude organisée par le ministère de l’Intérieur pour présenter la nouvelle version du projet de loi.

La carte d’identité biométrique représente une étape importante dans le développement des services administratifs. Elle contribue également à la transition numérique, facilitant ainsi les transactions et les opérations à distance dans une époque où le développement technologique bat son plein. La Tunisie a grand besoin d’une telle transition, compte tenu de la dégradation des services et de la faible efficacité des administrations.

Toutefois, cette technologie, en plein essor ces dernières années dans le monde, doit s’inscrire dans un système de droits et de libertés, selon Cherif El-Kadhi, de l'organisation Acces Now qui milite pour les droits numériques, qui se demande si le ministère de l’Intérieur a évalué le projet et ses risques pour les droits de l’homme.

Il déclare à cet égard : “Le plus important pour nous dans la réalisation de toute mesure numérique, qu’elle soit biométrique ou autre, c’est le respect des droits de l’Homme. Si les droits de l'Homme, la vie privée ou la protection des données personnelles sont menacés, comme c'est le cas ici, notre position est claire au niveau international : ce projet doit être arrêté, évalué et mis en œuvre sur de bonnes bases.”

La transition vers les services en ligne est désormais indispensable pour rompre avec les longues files d’attente devant les administrations. Cependant, il faudrait, d’abord , s’interroger sur les domaines d’utilisation des données biométriques qui ouvriront la voie à cette transition, sur la nécessité de rassembler ces renseignements dans des bases de données, et sur ce qu’il en adviendra après leur collecte.  

Des points litigieux menaçant les données personnelles 

D’après la loi tunisienne, l’obtention et le port de la carte d’identité sont obligatoires. Celle-ci constitue l’un des documents les plus importants pour les citoyen·nes et les accompagne dans la majorité de leurs opérations bancaires et démarches administratives. De ce fait, toute transition numérique doit passer par la modification des caractéristiques de la carte d’identité, et c’est précisément ce que visait le ministère de l’Intérieur en proposant ce projet.  

Le principal objectif d’une carte d’identité est de vérifier qu’elle est bien portée par son ou sa propriétaire, pour lui permettre d’effectuer ses transactions. Pour ce qui est de la carte biométrique, l’opération s’effectue via un lecteur spécifique où la personne insère sa carte d’un côté et dépose son empreinte digitale de l’autre. Ces données, stockées dans sa carte d’identité biométrique, permettent à l’agent·e, de sécurité ou administratif·ve, de vérifier si l’empreinte enregistrée sur la carte correspond à celle de son détenteur·trice, et éliminer ainsi le risque d’usurpation d’identité.  

Le lecteur de la carte n’est censé être connecté à aucune base de données, car il ne fait que lire les données enregistrées sur la puce électronique insérée dans la carte d’identité et les compare à celles de la personne concernée, ce qui est suffisant pour procéder à l’authentification.  

Cette caractéristique, bien que mise en avant par le ministère de l’Intérieur, ne l’a pas empêché de vouloir centraliser les données biométriques de l’ensemble des citoyen·nes dans une base de données. Selon Gadess, le ministère justifie l’inscription de cette base de données dans les normes de l'Organisation de l'aviation civile internationale. Il déclare : “Le ministère de l'intérieur affirme dans son discours sur le passeport ne pas avoir la liberté d'intervenir parce que les normes internationales de l'Organisation de l'aviation civile internationale sont appliquées, Cela est vrai, mais en partant de ce principe, d'où vient l'idée - d'après eux - qu'il existe une clause relative à la centralisation d'une base de données biométriques ? Bien entendu, elle n'existe pas, et elle n'existera pas. Ce genre de pratique est inacceptable dans les pays démocratiques, et il n'y a aucun avantage en premier lieu." 

De son côté, d'après la présentation du projet lors de la journée d’étude, le ministère de l'Intérieur justifie son intention d'établir la base biométrique par son utilité dans les cas d'accidents où il serait impossible d'identifier les victimes.

Création d’une base de données biométriques 

Dans de nombreux pays tels que l’Allemagne et le Portugal, les lois interdisent la constitution de bases de données biométriques relatives aux cartes d’identité. Les lois des deux pays stipulent que les données d’une carte doivent impérativement être supprimées de la base de données dans un délai n'excédant pas la date de la restitution de la carte à son propriétaire.  

Cette mesure s'explique principalement par le fait qu'il n'y a aucune raison de créer ce type de base de données, car dans les faits, les données stockées ne sont pas utiles à la vérification de l’identité, ce qui va à l’encontre du principe de proportionnalité énoncé dans l’article 49 de la Constitution tunisienne. Par ailleurs, la collecte de données sensibles peut les exposer au piratage et au détournement. Compte tenu du caractère immuable et définitif de ces données, toute perte serait irrémédiable.

Le fameux incident de l’Argentine est l’une des illustrations les plus saillantes et les plus graves de ces failles sécuritaires. En octobre 2021, plus de 45 millions de citoyen·nes argentin·es se sont fait dérober leurs données, aujourd’hui vendues aux enchères sur le dark web pour des utilisations illégales et illicites. C’est ce que Chérif Kadhi a confirmé dans sa déclaration “Aucun moyen numérique ou base de données ne comporte de risque zéro. Si un dispositif se repose sur un outil numérique, le risque de violation existe (...) Si les données biométriques font l’objet d’une fuite ou d’un piratage, toute personne qui peut y accéder peut usurper l’identité d’autres personnes dans n’importe quelle opération.”  

De son côté, le peuple tunisien traverse des circonstances exceptionnelles, et nombre d’acteur·trices de la société civile craignent une régression des droits et les libertés. La fuite des données collectées présente, à ce titre, un danger sur la vie privée et la sécurité des citoyen·nes, puisque ces données permettent de tracer leurs déplacements et suivre leurs actions pacifiques. C’est ainsi à l'État d’assumer la responsabilité de protéger les données personnelles de ses citoyen·nes.  

Bien que certains pays, comme les pays de l’UE, autorisent la mise en place d’une base de données biométriques pour les cartes d’identité, la mesure demeure optionnelle pour les personnes souhaitant utiliser leur carte d’identité comme document de voyage au sein de l’espace Schengen. Ce serait également le cas en Tunsie, si le décret-loi relatif à la carte d’identité biométrique est adopté. 

En outre, les arguments avancés par le ministère de l’Intérieur pour justifier la nécessité de créer une base de données biométriques sont l’identification des personnes gravement accidentées, comme dans l’accident d’Amdoun -dans lequel un groupe de jeune a péri sur le chemin de retour d’un circuit touristique-, ou encore les cas d’amnésie chez les personnes âgées, argument évoqué par le ministère pendant la journée d’études.

Cette raison, certes importante, ne suffit pas à justifier la création d’une base de données regroupant des données biométriques sensibles de près de 8,5 millions de citoyen·nes, d’autant qu’il existe d’autres moyens d’identification, comme les tests ADN. Dès lors, la constitution d’une telle base de données ne serait qu’un dangereux pari, peut-être lourd en conséquences. 

Le type de puce électronique intégrée à la carte 

Le deuxième point litigieux du projet de loi sur la carte d’identité biométrique concerne le type de puce électronique intégrée à la carte. Pendant sa journée d’étude organisée vers la fin de février dernier, le ministère de l’Intérieur annoncé que la puce électronique sera sans contact, c’est-à-dire lisible à distance. Il a toutefois précisé que le lecteur ne pourrait pas lire la puce à une distance supérieure à dix centimètres, afin d’éviter que les données stockées dans la carte ne soient dérobées à l’insu de son ou sa propriétaire.  

Mais cette condition, si importante soit-elle au sein de la procédure, n’est pas une garantie de protection contre les cyber-attaques. Celles-ci peuvent se produire même à distance, et il est possible que le lecteur soit modifié par des personnes sans autorisation de manière à pirater le contenu des puces électroniques dans un périmètre plus large. 

Dès lors, les données personnelles des citoyen·es sont dans la nature, y compris celles des agent·es de sécurité et des militaires, eux et elles aussi détenteur·trices de cartes d’identité, et donc exposé·es au risque de piratage. Il convient alors de préciser que la puce électronique doit être à contact pour éviter les intrusions à distance. Ainsi, la seule façon de vérifier la conformité des données stockées dans la carte à celles de son détenteur ou sa détentrice serait d’introduire la carte dans un lecteur permettant à une personne compétente l’accès exclusif à ces informations, au vu et au su du ou de la propriétaire. 

Quant au danger que représente la carte, Gaddes explique : “Il se peut que certains s'interrogent sur la différence entre la carte actuelle et une carte biométrique. La différence est évidemment de taille : la première porte des données qui ont été imprimées et placées sur un document d'identité, mais qui ne peuvent pas être traitées de manière numérique. C'est-à-dire qu'il ne peut y avoir un ordinateur ou un système d'information disposant de ces données qui reconnaît et lit à distance les données d'une personne en comparant son image stockée dans la base biométrique à sa véritable forme.” 

De son côté, le ministère de l’Intérieur avance qu’il faut distinguer l’aspect juridique de l’aspect technique de la question, étant donné que la technologie évolue beaucoup plus rapidement que la loi. Cependant, la question de la puce électronique demeure extrêmement critique et ne doit pas être omise des textes de loi car elle pourrait affecter la vie personnelle et mettre en péril des données confidentielles. 

Les débats autour de la carte d’identité biométrique ont relativement avancé pendant la journée d’étude tenue par le ministère de l’Intérieur, d’après certain·es responsables du ministère. Ils aboutissent notamment à la suppression de détails qui sont prétexte à harcèlement pendant des années, comme le métier ou encore l’adresse, laquelle sera omise de la carte dès la mise en place d’un registre national des adresses.

De même, l’accès aux données cryptées de la carte est enfin consenti à son ou sa propriétaire, après avoir été interdit dans la première version du projet de loi qui prescrivait une peine d’emprisonnement pour toute personne accédant aux données de sa carte.

Cela dit, si un décret-loi régissant la mise en place d’une carte d’identité biométrique est promulgué sans que ne soient réglées les questions de l’interdiction des bases de données biométriques et de la nécessité d’une puce à contact, la société tunisienne risque de perdre une grande part de ses droits et libertés chèrement acquises, et ce serait la porte ouverte aux dérives les plus irrécupérables.